форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение		[Проследить за развитием треда]

"IPSec vpn from secondary ip"
Сообщение от ruff (??) on 02-Мрт-05, 10:51  (MSK)
Провайдер кинул шнурок (езернет) и выдал на нем несколько подсетей (для связи с филиалами). Соответственно, навесив несколько секондари айпи на интерфейс, имеем хороший конект по примари, а по секондари IPSEC(validate_proposal): invalid local address как дальше жить и как с этим бороться?
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "IPSec vpn from secondary ip"
Сообщение от Volume on 02-Мрт-05, 15:50  (MSK)
>Провайдер кинул шнурок (езернет) и выдал на нем несколько подсетей (для связи >с филиалами). Соответственно, навесив несколько секондари айпи на интерфейс, имеем хороший >конект по примари, а по секондари >IPSEC(validate_proposal): invalid local address > >как дальше жить и как с этим бороться? это лан-ту-лан впн-ы как я понимаю? тогда переконфигурить впн, создав туннели source-адресом в которых будет этот секондари, и на них уже повесить крипто-мапы
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "IPSec vpn from secondary ip"
	Сообщение от ruff (??) on 02-Мрт-05, 16:04  (MSK)
	>это лан-ту-лан впн-ы как я понимаю? >тогда переконфигурить впн, создав туннели source-адресом в которых будет этот секондари, и >на них уже повесить крипто-мапы угу, лан2лан, но провайдер маршрутизирует только пировый адрес, то есть если на интерфейсе примари ип 1.1.1.1 и секондари 2.1.1.1 то с пира 2.1.1.2 я не смогу увидеть адрес 1.1.1.1 а только 2.1.1.1 или я гоню? %)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "IPSec vpn from secondary ip"
	Сообщение от Volume on 02-Мрт-05, 16:07  (MSK)
	>>это лан-ту-лан впн-ы как я понимаю? >>тогда переконфигурить впн, создав туннели source-адресом в которых будет этот секондари, и >>на них уже повесить крипто-мапы > >угу, лан2лан, но провайдер маршрутизирует только пировый адрес, то есть если на >интерфейсе примари ип 1.1.1.1 и секондари 2.1.1.1 то с пира 2.1.1.2 >я не смогу увидеть адрес 1.1.1.1 а только 2.1.1.1 >или я гоню? %) почему нет? не пойму?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "IPSec vpn from secondary ip"
	Сообщение от ruff (??) on 03-Мрт-05, 12:14  (MSK)
	>>>это лан-ту-лан впн-ы как я понимаю? >>>тогда переконфигурить впн, создав туннели source-адресом в которых будет этот секондари, и >>>на них уже повесить крипто-мапы >> >>угу, лан2лан, но провайдер маршрутизирует только пировый адрес, то есть если на >>интерфейсе примари ип 1.1.1.1 и секондари 2.1.1.1 то с пира 2.1.1.2 >>я не смогу увидеть адрес 1.1.1.1 а только 2.1.1.1 >>или я гоню? %) > >почему нет? не пойму? ну потому что получается так                     -------|ISP1|-----|ISP2|---|PIX1| |CISCO|--<                     -------|ISP1|-----|ISP3|---|PIX2| и исп2 пропускает только с адреса 1.1.1.2 на адрес 1.1.1.1 а исп3 пропускает только с адреса 2.1.1.2 на адрес 2.1.1.1 т.е. если я на пикс2 скажу конектится на 1.1.1.1 то этот пакет обрежет исп3
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "IPSec vpn from secondary ip"
	Сообщение от ruff (??) on 03-Мрт-05, 16:41  (MSK)
	ну... хтонибуть... конфа моя вот тут http://www.opennet.me/openforum/vsluhforumID6/7396.html в ответе
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "IPSec vpn from secondary ip"
	Сообщение от Volume on 03-Мрт-05, 19:13  (MSK)
	>ну... хтонибуть... >конфа моя вот тут >http://www.opennet.me/openforum/vsluhforumID6/7396.html в ответе не доходит, завтра на работе гляну а все-таки, задачу то какую решаете?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "IPSec vpn from secondary ip"
	Сообщение от Volume on 03-Мрт-05, 20:43  (MSK)
	>>ну... хтонибуть... >>конфа моя вот тут >>http://www.opennet.me/openforum/vsluhforumID6/7396.html в ответе > >не доходит, завтра на работе гляну >а все-таки, задачу то какую решаете? и потом. исходную задачу, vpn с секондари адреса мы решили. в тексте у вас ОДИН провайдер, откуда взялись еще? какой смысл провайдеру делать недоступными друг для друга свои же сети? неясно...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "IPSec vpn from secondary ip"
	Сообщение от ruff (??) on 04-Мрт-05, 12:40  (MSK)
	>>не доходит, завтра на работе гляну >>а все-таки, задачу то какую решаете? > >и потом. исходную задачу, vpn с секондари адреса мы решили. >в тексте у вас ОДИН провайдер, откуда взялись еще? какой смысл провайдеру >делать недоступными друг для друга свои же сети? неясно... ничо мы не решили %) я так понимаю что если мне надо конектится на примари адрес, то с филиала 2.1.1.2 мне нада конектится на 1.1.1.1. Провайдеров несколько потому что филиалы по всей стране разбросаны, один пров такой географический диапазон не охватит %) т.е. у нас есть договор с провайдером о предоставлении точек. провайдер их и предоставляет, вот точка 1.1.1.1-1.1.1.2, точка 2.1.1.1-2.1.1.2. четные концы дает нам наш пров, нечетные - провы в тех городах де наши филиалы, и они пропускают пакеты тока на пировый адрес (и правильно делают %) сеть то корпоративная, защищенная %). Пропускать не могут т.к. это ваще разные подсети, фейковые, реальные, вобщем намешано много неужели это такой уникальный случай, и наш пров его специально разработал под нас, чтоб нам хуже жилось %))) суть вопроса - возможно ли вообще, в теории, на практике, запустить впн с секондари адреса?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "IPSec vpn from secondary ip"
	Сообщение от Volume on 04-Мрт-05, 15:24  (MSK)
	>>>не доходит, завтра на работе гляну >>>а все-таки, задачу то какую решаете? >> >>и потом. исходную задачу, vpn с секондари адреса мы решили. >>в тексте у вас ОДИН провайдер, откуда взялись еще? какой смысл провайдеру >>делать недоступными друг для друга свои же сети? неясно... > >ничо мы не решили %) ?? тема ipsec vpn from secondary ip - решение я предложил. решили. теперь условие несколько уточнено >я так понимаю что если мне надо конектится на примари адрес, то >с филиала 2.1.1.2 мне нада конектится на 1.1.1.1. Провайдеров несколько потому >что филиалы по всей стране разбросаны, один пров такой географический диапазон >не охватит %) т.е. у нас есть договор с провайдером о >предоставлении точек. провайдер их и предоставляет, вот точка 1.1.1.1-1.1.1.2, точка 2.1.1.1-2.1.1.2. >четные концы дает нам наш пров, нечетные - провы в тех >городах де наши филиалы, и они пропускают пакеты тока на пировый >адрес (и правильно делают %) сеть то корпоративная, защищенная %). >суть вопроса - возможно ли вообще, в теории, на практике, запустить впн >с секондари адреса? возможно. но для этого между адресами участвующими в впн должно быть ip connectivity. если его нет между разными адресами, как вы пишите, о каком впн может быть речь?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "IPSec vpn from secondary ip"
	Сообщение от ruff (??) on 04-Мрт-05, 15:42  (MSK)
	>>суть вопроса - возможно ли вообще, в теории, на практике, запустить впн >>с секондари адреса? > >возможно. но для этого между адресами участвующими в впн должно быть ip >connectivity. если его нет между разными адресами, как вы пишите, о >каком впн может быть речь? хе, но это будет впн с примари адреса, маршрутизируемого через секондари %) что не попадает под условия задачи. конективити есть между пирами, но крос пир конективити нет.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "IPSec vpn from secondary ip"
	Сообщение от Volume on 04-Мрт-05, 15:58  (MSK)
	>>>суть вопроса - возможно ли вообще, в теории, на практике, запустить впн >>>с секондари адреса? >> >>возможно. но для этого между адресами участвующими в впн должно быть ip >>connectivity. если его нет между разными адресами, как вы пишите, о >>каком впн может быть речь? > >хе, но это будет впн с примари адреса, маршрутизируемого через секондари %) > >что не попадает под условия задачи. конективити есть между пирами, но крос >пир конективити нет. тогда настройте рутинг так, чтобы коннективити был туда где надо через ваш рутер. еще есть DMVPN
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "IPSec vpn from secondary ip"
	Сообщение от ruff (??) on 04-Мрт-05, 16:09  (MSK)
	>>хе, но это будет впн с примари адреса, маршрутизируемого через секондари %) >> >>что не попадает под условия задачи. конективити есть между пирами, но крос >>пир конективити нет. > >тогда настройте рутинг так, чтобы коннективити был туда где надо через ваш >рутер. >еще есть DMVPN Та вы шо? %) Еслиб я мог это настроить у себя - я б не форкал топик %) для этого мне прийдеться читать своему провайдеру лекцию о пользе ипсек в корпоративных защищенных сетях, и то, я не уверен что этот вопрос решиться в мою пользу даже после прочтения лекции, с демонстративными пособиями %)) а дмвпн щас читаю, но из прочтенного уже мне кажется что это тоже сведется к интерконективити между пирами...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "IPSec vpn from secondary ip"
	Сообщение от Volume on 04-Мрт-05, 16:14  (MSK)
	ну если у вас столько иронии, извините :) я-то думал я один умный, а еще и вы есть :)
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "IPSec vpn from secondary ip"
	Сообщение от ruff (??) on 04-Мрт-05, 16:44  (MSK)
	>ну если у вас столько иронии, извините :) я-то думал я один >умный, а еще и вы есть :) та я вот тоже думал что тока я, хотел разубедить себя... мне может кто нить ответить возможен ли ипсек впн при заданых условиях с секондари ип, или это в принципе не реально и надо катать телегу провайдеру? з.ы. дмвпн неподходит так как требует мгре завернутый в ипсек, а у меня на филиалах стоят пиксы и линухи
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.