OpenForum RSS: Как заставить роутер обращаться через тунельный интерфейс https://opennet.dev/openforum/vsluhforumID6/1523.html Господа. Есть роуте 2911 и построенный тоннель до другой такой же железки . Как заставить сами железки видеть что-нибудь внутри тоннеля. <br>Сейчас все попытки обратиться с любой к хосту через тоннель приводят к уходу пакетов в дефолтовый шлюз .<br> Как заставить роутер обращаться через тунельный интерфейс (ShyLion) https://opennet.dev/openforum/vsluhforumID6/1523.html#12 Thu, 06 Nov 2014 04:32:48 GMT &gt; 1) есть значит надо.<br>&gt; 2) не вижу большой разници какой вид использовать криптомапы распространенный прием <br><br>Удачи.<br> Как заставить роутер обращаться через тунельный интерфейс (Doc) https://opennet.dev/openforum/vsluhforumID6/1523.html#11 Wed, 05 Nov 2014 18:53:17 GMT &gt; 1. На кой болт бридж между двумя гигабитами? Коммутатора мало чтоли?<br>&gt; 2. Между IOS железками не нужно использовать криптомапы, нужно использовать VTI, т.е. <br>&gt; IPSec профили и интерфейсы вида: <br>&gt; interface tunnelXXX <br>&gt; tunnel mode ipsec ipv4 <br>&gt; tunnel protection ipsec profile XXXX <br>&gt; 3. SDM зло <br>&gt; по делу: <br>&gt; #sho crypto isakmp sa <br>&gt; #sho crypto ipsec sa <br><br>1) есть значит надо.<br>2) не вижу большой разници какой вид использовать криптомапы распространенный прием<br>3) SDM я не использовал - использовали те кто первоначально настраивал роутер<br><br>sch1492-2911#sho crypto isakmp sa<br>IPv4 Crypto ISAKMP SA<br>dst src state conn-id status<br>10.136.87.254 10.136.104.126 QM_IDLE 1007 ACTIVE<br><br>IPv6 Crypto ISAKMP SA<br><br>sch1492-2911#sho crypto ipsec sa<br><br>interface: BVI100<br> Crypto map tag: SDM_CMAP_1, local addr 10.136.87.254<br><br> protected vrf: (none)<br> local ident (addr/mask/prot/port): (192.1.0.0/255.255.0.0/0/0)<br> remote ident (addr/mask/prot/port): (192 Как заставить роутер обращаться через тунельный интерфейс (RedD) https://opennet.dev/openforum/vsluhforumID6/1523.html#10 Wed, 05 Nov 2014 17:23:09 GMT &gt; 1. На кой болт бридж между двумя гигабитами? Коммутатора мало чтоли?<br>&gt; 2. Между IOS железками не нужно использовать криптомапы, нужно использовать VTI, т.е. <br>&gt; IPSec профили и интерфейсы вида: <br>&gt; interface tunnelXXX <br>&gt; tunnel mode ipsec ipv4 <br>&gt; tunnel protection ipsec profile XXXX <br>&gt; 3. SDM зло <br>&gt; по делу: <br>&gt; #sho crypto isakmp sa <br>&gt; #sho crypto ipsec sa <br><br>А где в конфиге видно тунель?<br>Ткните носом<br> Как заставить роутер обращаться через тунельный интерфейс (ShyLion) https://opennet.dev/openforum/vsluhforumID6/1523.html#9 Wed, 05 Nov 2014 09:58:11 GMT 1. На кой болт бридж между двумя гигабитами? Коммутатора мало чтоли?<br>2. Между IOS железками не нужно использовать криптомапы, нужно использовать VTI, т.е.<br>IPSec профили и интерфейсы вида:<br>interface tunnelXXX<br> tunnel mode ipsec ipv4<br> tunnel protection ipsec profile XXXX<br>3. SDM зло<br><br><br>по делу:<br><br>#sho crypto isakmp sa<br>#sho crypto ipsec sa<br><br> Как заставить роутер обращаться через тунельный интерфейс (crash) https://opennet.dev/openforum/vsluhforumID6/1523.html#8 Wed, 05 Nov 2014 04:20:22 GMT укажите какой source интерфейс должен быть при подключении по ftp<br> Как заставить роутер обращаться через тунельный интерфейс (Doc) https://opennet.dev/openforum/vsluhforumID6/1523.html#7 Fri, 31 Oct 2014 09:47:35 GMT Вот сразу пример к серверу р архивирования не достукиваеться - отправляет наружу к такагсу тоже.<br><br>archive<br> path ftp://cisco:cisco@192.0.2.253/1492/conf_1492_$H.txt<br> write-memory<br>username root privilege 15 secret 5 $1$n3ur$oecFhZ34343VJA7zkuYk/q.<br><br>redundancy<br>!<br>!<br>!<br>!<br>crypto isakmp policy 10<br> encr 3des<br> authentication pre-share<br> group 2<br>crypto isakmp key ######## address 10.136.104.126<br>!<br><br>crypto ipsec transform-set ESP-3DES-SHA esp-aes 256 esp-sha-hmac<br>!<br><br>crypto dynamic-map INT_MAP 1<br> set security-association lifetime kilobytes 530000000<br> set security-association lifetime seconds 14400<br>!<br>!<br>crypto map INT_MAP 30000 ipsec-isakmp dynamic INT_MAP<br>!<br>crypto map SDM_CMAP_1 1 ipsec-isakmp<br> description Tunnel to 1978<br> set peer 10.136.104.126<br> set transform-set ESP-3DES-SHA<br> match address 111<br>!<br>bridge irb<br>!<br>!<br>!<br>!<br>interface GigabitEthernet0/0<br> description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$<br> no ip address<br> duplex auto<br> speed auto<br> bridge-group 100<br> bridge-group 100 spann Как заставить роутер обращаться через тунельный интерфейс (Doc) https://opennet.dev/openforum/vsluhforumID6/1523.html#6 Fri, 31 Oct 2014 09:43:20 GMT &gt;&gt; а что роут мапа на тоннель недостаточно?<br>&gt; Давайте конфиг, иначе непонятно что у вас творится. Как заставить роутер обращаться через тунельный интерфейс (gfh) https://opennet.dev/openforum/vsluhforumID6/1523.html#5 Fri, 31 Oct 2014 08:56:33 GMT &gt; а что роут мапа на тоннель недостаточно?<br><br>Давайте конфиг, иначе непонятно что у вас творится.<br> Как заставить роутер обращаться через тунельный интерфейс (Doc) https://opennet.dev/openforum/vsluhforumID6/1523.html#4 Fri, 31 Oct 2014 08:40:57 GMT &gt;&gt; поясню (понимаю что как то неудачно выражаюсь) <br>&gt;&gt; у роутера есть три интерфейса gi0 100.100.100.100 (инсайд) gi1 192.1.1.1 (оутасйд) <br>&gt;&gt; и тоннельный tunelcanel1 192.2.1.1 <br>&gt;&gt; так вот при отправки пакетов скажем по ftp или radius с самого <br>&gt;&gt; маршрутизатора он отправляет пакет с интерфейса gi0 и соответственно пакет не <br>&gt;&gt; приходит есои на адрес за тонелем (скажем 192.2.2.2) <br>&gt; Вам же сказали - прописать сети: <br>&gt; ip route сетка_за_туннелем её_маска адрес_второго_роутера_в_туннеле_tunelcanel1 <br>&gt; и соответственно на втором конце туннеля сделать то-же самое: <br>&gt; ip route 100.100.100.100 её_маска 192.2.1.1 <br><br>а что роут мапа на тоннель недостаточно?<br><br>