- Маршрутизация за тунелем, Virtual77, 14:31 , 03-Июн-14 (1)
>[оверквотинг удален] > 1 <1 ms <1 ms > <1 ms 10.10.10.1 > 2 1 ms > 1 ms 1 ms 18.1.1.1 > 3 * > * * > Превышен интервал ожидания для запроса. > 4 * > * * > Превышен интервал ожидания для запроса.внимательно изучить таблицы маршрутизации на обоих роутерах, либо показать их сюда все таки нужно маршруты для ЛАНов заруливать в тунельные интерфейсы, судя по трейсу маршрут улетает на 18.1.1.1 а должен улетать в интерфейс туннеля(какие в тунеле IP?)
- Маршрутизация за тунелем, zabrat, 15:10 , 03-Июн-14 (2)
>[оверквотинг удален] >> 3 * >> * * >> Превышен интервал ожидания для запроса. >> 4 * >> * * >> Превышен интервал ожидания для запроса. > внимательно изучить таблицы маршрутизации на обоих роутерах, либо показать их сюда > все таки нужно маршруты для ЛАНов заруливать в тунельные интерфейсы, судя по > трейсу маршрут улетает на 18.1.1.1 а должен улетать в интерфейс туннеля(какие > в тунеле IP?) так это и есть IP тунеля 192.168.1.2 с одной стороны и 18.1.1.1 с другой. настраивал как на сайте d-link.
- Маршрутизация за тунелем, Virtual77, 17:22 , 03-Июн-14 (5)
>[оверквотинг удален] >>> Превышен интервал ожидания для запроса. >>> 4 * >>> * * >>> Превышен интервал ожидания для запроса. >> внимательно изучить таблицы маршрутизации на обоих роутерах, либо показать их сюда >> все таки нужно маршруты для ЛАНов заруливать в тунельные интерфейсы, судя по >> трейсу маршрут улетает на 18.1.1.1 а должен улетать в интерфейс туннеля(какие >> в тунеле IP?) > так это и есть IP тунеля 192.168.1.2 с одной стороны и 18.1.1.1 > с другой. настраивал как на сайте d-link.хм, я всегда думал что тунельные интерфейсы принято строить p-t-p Точка-точка ну и соответственно ИП на обоих концах тунеля должны быть что-то типа 192.168.1.1/255.255.255.252 и 192.168.1.2/255.255.255.252 , но ни как не 18.1.1.1 давай так - о каких тунелях идет речь? GRE или тебе провайдер дает канал IP-VPN(L2-VPN, L3-VPN)
- Маршрутизация за тунелем, zabrat, 21:26 , 03-Июн-14 (6)
>[оверквотинг удален] >>> все таки нужно маршруты для ЛАНов заруливать в тунельные интерфейсы, судя по >>> трейсу маршрут улетает на 18.1.1.1 а должен улетать в интерфейс туннеля(какие >>> в тунеле IP?) >> так это и есть IP тунеля 192.168.1.2 с одной стороны и 18.1.1.1 >> с другой. настраивал как на сайте d-link. > хм, я всегда думал что тунельные интерфейсы принято строить p-t-p Точка-точка > ну и соответственно ИП на обоих концах тунеля должны быть что-то типа > 192.168.1.1/255.255.255.252 и 192.168.1.2/255.255.255.252 , но ни как не 18.1.1.1 > давай так - о каких тунелях идет речь? GRE или тебе провайдер > дает канал IP-VPN(L2-VPN, L3-VPN) да я так и строил если cisco cisco или сisco freebsd, а тут dlink вот как настроено, получается напрямую и не gre http://www.dlink.ru/ru/faq/92/499.html Завтра буду дольше разбираться. Еще хотел спросить. Нашел рабочий adsl router Cisco 877, можно ли его использовать для туннеля с 2901, чтоб по нормальному через gre настроить. Или он сильно по функционалу обрезан?
- Маршрутизация за тунелем, Virtual77, 08:51 , 04-Июн-14 (7)
>[оверквотинг удален] >> 192.168.1.1/255.255.255.252 и 192.168.1.2/255.255.255.252 , но ни как не 18.1.1.1 >> давай так - о каких тунелях идет речь? GRE или тебе провайдер >> дает канал IP-VPN(L2-VPN, L3-VPN) > да я так и строил если cisco cisco или сisco freebsd, а > тут dlink вот как настроено, получается напрямую и не gre > http://www.dlink.ru/ru/faq/92/499.html > Завтра буду дольше разбираться. > Еще хотел спросить. Нашел рабочий adsl router Cisco 877, можно ли его > использовать для туннеля с 2901, чтоб по нормальному через gre настроить. > Или он сильно по функционалу обрезан?у тебя ipsec в принципе должно работать, нужно смотреть таблицы маршрутизации и конфиги АДСЛ роутер скорее всего не подойдет если хочешь дешево и качественно то тебе вместо Длинка нужен Mikrotik 751 или 951 серии - Маршрутизация за тунелем, Andrey, 09:41 , 04-Июн-14 (8)
>>[оверквотинг удален] > Нашел рабочий adsl router Cisco 877, можно ли его > использовать для туннеля с 2901, чтоб по нормальному через gre настроить. > Или он сильно по функционалу обрезан?Зависит от IOS на 12.4 и ранее или от лицензии на 15.0 и выше. Смотрите show version и уточняйте имеющийся функционал через cisco.com/go/fn
- Маршрутизация за тунелем, Andrey, 15:10 , 03-Июн-14 (3)
>[оверквотинг удален] > 1 <1 ms <1 ms > <1 ms 10.10.10.1 > 2 1 ms > 1 ms 1 ms 18.1.1.1 > 3 * > * * > Превышен интервал ожидания для запроса. > 4 * > * * > Превышен интервал ожидания для запроса.показать сюда настройки на туннельном интерфейсе на C2901. Наверняка там нет ip nat inside. А еще лучше - показать полные настройки обоих устройств.
- Маршрутизация за тунелем, sn, 16:07 , 03-Июн-14 (4)
>[оверквотинг удален] >> 2 1 ms >> 1 ms 1 ms 18.1.1.1 >> 3 * >> * * >> Превышен интервал ожидания для запроса. >> 4 * >> * * >> Превышен интервал ожидания для запроса. > показать сюда настройки на туннельном интерфейсе на C2901. Наверняка там нет ip > nat inside. А еще лучше - показать полные настройки обоих устройств. причем ip nat inside не прокатит, надо либо через лупбек, либо через ip nat enable делать
- Маршрутизация за тунелем, zabrat, 17:16 , 04-Июн-14 (9)
Ну значит поставил 877 вместо d-link настроил туннели с шифрованием. Сети видят друг друга. Вот конфигурации туннелей ----877---- interface Tunnel88 ip address 192.168.88.1 255.255.255.252 tunnel source Vlan2 tunnel destination 18.1.1.1 tunnel protection ipsec profile ipsec ! interface FastEthernet0 switchport access vlan 2 ! interface Vlan1 ip address 10.10.10.1 255.255.255.0 ip nat inside ip virtual-reassembly ! interface Vlan2 ip address 192.168.1.2 255.255.255.0 ip nat outside ip virtual-reassembly ! ip nat inside source list 100 interface Vlan2 overload ! access-list 100 permit ip 10.10.10.0 0.0.0.255 any ! ip route 0.0.0.0 0.0.0.0 192.168.1.1 ip route 10.10.11.0 255.255.255.0 192.168.88.2----2901---- ! interface Tunnel88 ip address 192.168.88.2 255.255.255.252 tunnel source GigabitEthernet0/1 tunnel destination 192.168.1.2 tunnel protection ipsec profile ipsec ! interface GigabitEthernet0/1 ip address 18.1.1.1 255.255.255.128 ip nat outside ip virtual-reassembly in duplex auto speed auto ! ip route 0.0.0.0 0.0.0.0 18.1.1.10 ip route 10.10.10.0 255.255.255.0 192.168.88.1 ! ip nat inside source list IPFW interface GigabitEthernet0/1 overload ! ip access-list extended IPFW permit ip 10.10.11.0 255.255.255.0 any Смысл такой 192.168.88.0/32 это виртуальная сеть если с машины 10.10.10.3 пинговать 10.10.11.3 всё норм и обратно тоже теперь более менее получилось. дальше надо пользователям из 10.10.10.0/24 разрешить ходить в интернет через туннель через interface GigabitEthernet0/1. не соображу пока как такое реализовать....
- Маршрутизация за тунелем, Andrey, 08:54 , 05-Июн-14 (10)
>[оверквотинг удален] > ! > ip nat inside source list IPFW interface GigabitEthernet0/1 overload > ! > ip access-list extended IPFW > permit ip 10.10.11.0 255.255.255.0 any > Смысл такой 192.168.88.0/32 это виртуальная сеть > если с машины 10.10.10.3 пинговать 10.10.11.3 всё норм и обратно тоже > теперь более менее получилось. дальше надо пользователям из 10.10.10.0/24 разрешить ходить > в интернет через туннель через interface GigabitEthernet0/1. > не соображу пока как такое реализовать....Ну реализуется это достаточно просто. Есть 2 способа: 1. Внимательно читать различные источники информации. В том числе и сайт производителя оборудования. 2. Взять сумму в N т.р. и искать исполнителя. Где N натуральное число >1. На текущий момент вы тяготеете к варианту 2.
- Маршрутизация за тунелем, zabrat, 11:00 , 05-Июн-14 (11)
>[оверквотинг удален] >> если с машины 10.10.10.3 пинговать 10.10.11.3 всё норм и обратно тоже >> теперь более менее получилось. дальше надо пользователям из 10.10.10.0/24 разрешить ходить >> в интернет через туннель через interface GigabitEthernet0/1. >> не соображу пока как такое реализовать.... > Ну реализуется это достаточно просто. Есть 2 способа: > 1. Внимательно читать различные источники информации. В том числе и сайт производителя > оборудования. > 2. Взять сумму в N т.р. и искать исполнителя. Где N натуральное > число >1. > На текущий момент вы тяготеете к варианту 2.На текущий момент я тяготею к варианту 1 иначе зачем мне разбираться и писать на этом форуме.
- Маршрутизация за тунелем, Andrey, 12:47 , 05-Июн-14 (13)
>[оверквотинг удален] >>> в интернет через туннель через interface GigabitEthernet0/1. >>> не соображу пока как такое реализовать.... >> Ну реализуется это достаточно просто. Есть 2 способа: >> 1. Внимательно читать различные источники информации. В том числе и сайт производителя >> оборудования. >> 2. Взять сумму в N т.р. и искать исполнителя. Где N натуральное >> число >1. >> На текущий момент вы тяготеете к варианту 2. > На текущий момент я тяготею к варианту 1 иначе зачем мне разбираться > и писать на этом форуме.https://www.google.ru/search?num=50&newwindow=1&site=&source...
- Маршрутизация за тунелем, ShyLion, 11:14 , 05-Июн-14 (12)
> Всем привет. > Копаюсь с маршрутами не могу понять где затык. > Имеем туннель между D-Link 804HV и Cisco 2901 > Туннель поднят и работает норм.На стороне удаленного офиса дефолтный маршрут должен смотреть в туннель, при этом должен быть статический маршрут для обратного конца тоннеля. На стороне 29 на туннеле ip nat inside не забудь и роут в удаленный офис в туннель завернуть.
- Маршрутизация за тунелем, zabrat, 11:37 , 06-Июн-14 (14)
>> Всем привет. >> Копаюсь с маршрутами не могу понять где затык. >> Имеем туннель между D-Link 804HV и Cisco 2901 >> Туннель поднят и работает норм. > На стороне удаленного офиса дефолтный маршрут должен смотреть в туннель, при этом > должен быть статический маршрут для обратного конца тоннеля. > На стороне 29 на туннеле ip nat inside не забудь и роут > в удаленный офис в туннель завернуть.Спасибо. разобрался. Заработало
|