forum.opennet.ru - " Как заставить роутер обращаться через тунельный интерфейс" (12)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

" Как заставить роутер обращаться через тунельный интерфейс"

Форум Маршрутизаторы CISCO и др. оборудование. (Мониторинг, статистика, SNMP)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

" Как заставить роутер обращаться через тунельный интерфейс"	+/–
Сообщение от Doc (ok) on 31-Окт-14, 09:40
Господа. Есть роуте 2911 и построенный тоннель до другой такой же железки . Как заставить сами железки видеть что-нибудь внутри тоннеля. Сейчас все попытки обратиться с любой к хосту через тоннель приводят к уходу пакетов в дефолтовый шлюз .
Ответить \| Правка \| Cообщить модератору

Оглавление

Как заставить роутер обращаться через тунельный интерфейс, eek, 10:11 , 31-Окт-14, (1)

Как заставить роутер обращаться через тунельный интерфейс, Doc, 10:39 , 31-Окт-14, (2)

Как заставить роутер обращаться через тунельный интерфейс, gfh, 11:09 , 31-Окт-14, (3)

Как заставить роутер обращаться через тунельный интерфейс, Doc, 11:40 , 31-Окт-14, (4)

Как заставить роутер обращаться через тунельный интерфейс, gfh, 11:56 , 31-Окт-14, (5)

Как заставить роутер обращаться через тунельный интерфейс, Doc, 12:43 , 31-Окт-14, (6)

Как заставить роутер обращаться через тунельный интерфейс, Doc, 12:47 , 31-Окт-14, (7)

Как заставить роутер обращаться через тунельный интерфейс, crash, 07:20 , 05-Ноя-14, (8)
Как заставить роутер обращаться через тунельный интерфейс, ShyLion, 12:58 , 05-Ноя-14, (9)

Как заставить роутер обращаться через тунельный интерфейс, RedD, 20:23 , 05-Ноя-14, (10)
Как заставить роутер обращаться через тунельный интерфейс, Doc, 21:53 , 05-Ноя-14, (11)

Как заставить роутер обращаться через тунельный интерфейс, ShyLion, 07:32 , 06-Ноя-14, (12)

Сообщения по теме [Сортировка по времени | RSS]

1. " Как заставить роутер обращаться через тунельный интерфейс" +/–

Сообщение от eek (ok) on 31-Окт-14, 10:11

Вы внутри тоннеля хотите увидеть электроны что-ли?
Если нужны сети за этим тоннелем то неплохо было бы прописать маршруты до этих сетей и на другом конце тоннеля прописать обратные до ваших.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. " Как заставить роутер обращаться через тунельный интерфейс" +/–

Сообщение от Doc (ok) on 31-Окт-14, 10:39

> Вы внутри тоннеля хотите увидеть электроны что-ли?
> Если нужны сети за этим тоннелем то неплохо было бы прописать маршруты
> до этих сетей и на другом конце тоннеля прописать обратные до
> ваших.
маршруты откуда?
ведь интерфейс самого тоннеля принадлежит маршрутизатору и доступен из другой сети (за тоннелем)
нужно заставить сам моршрутер общаться с сеткой за тоннелем через интерфейс тоннеля
поясню (понимаю что как то неудачно выражаюсь)
у роутера есть три  интерфейса gi0 100.100.100.100 (инсайд) gi1 192.1.1.1 (оутасйд) и тоннельный tunelcanel1 192.2.1.1
так вот при отправки пакетов скажем по ftp или radius с самого маршрутизатора он отправляет пакет с интерфейса gi0 и соответственно пакет не приходит есои на адрес за тонелем (скажем 192.2.2.2)

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. " Как заставить роутер обращаться через тунельный интерфейс" +/–

Сообщение от gfh (??) on 31-Окт-14, 11:09

> поясню (понимаю что как то неудачно выражаюсь)
> у роутера есть три  интерфейса gi0 100.100.100.100 (инсайд) gi1 192.1.1.1 (оутасйд)
> и тоннельный tunelcanel1 192.2.1.1
> так вот при отправки пакетов скажем по ftp или radius с самого
> маршрутизатора он отправляет пакет с интерфейса gi0 и соответственно пакет не
> приходит есои на адрес за тонелем (скажем 192.2.2.2)
Вам же сказали - прописать сети:
ip route сетка_за_туннелем её_маска адрес_второго_роутера_в_туннеле_tunelcanel1
и соответственно на втором конце туннеля сделать то-же самое:
ip route 100.100.100.100 её_маска 192.2.1.1

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. " Как заставить роутер обращаться через тунельный интерфейс" +/–

Сообщение от Doc (ok) on 31-Окт-14, 11:40

>> поясню (понимаю что как то неудачно выражаюсь)
>> у роутера есть три  интерфейса gi0 100.100.100.100 (инсайд) gi1 192.1.1.1 (оутасйд)
>> и тоннельный tunelcanel1 192.2.1.1
>> так вот при отправки пакетов скажем по ftp или radius с самого
>> маршрутизатора он отправляет пакет с интерфейса gi0 и соответственно пакет не
>> приходит есои на адрес за тонелем (скажем 192.2.2.2)
> Вам же сказали - прописать сети:
> ip route сетка_за_туннелем её_маска адрес_второго_роутера_в_туннеле_tunelcanel1
> и соответственно на втором конце туннеля сделать то-же самое:
> ip route 100.100.100.100 её_маска 192.2.1.1
а что роут мапа на тоннель недостаточно?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. " Как заставить роутер обращаться через тунельный интерфейс" +/–

Сообщение от gfh (??) on 31-Окт-14, 11:56

> а что роут мапа на тоннель недостаточно?
Давайте конфиг, иначе непонятно что у вас творится.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. " Как заставить роутер обращаться через тунельный интерфейс" +/–

Сообщение от Doc (ok) on 31-Окт-14, 12:43

>> а что роут мапа на тоннель недостаточно?
> Давайте конфиг, иначе непонятно что у вас творится.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. " Как заставить роутер обращаться через тунельный интерфейс" +/–

Сообщение от Doc (ok) on 31-Окт-14, 12:47

Вот сразу пример к серверу р архивирования не достукиваеться - отправляет наружу к такагсу тоже.
archive
path ftp://cisco:cisco@192.0.2.253/1492/conf_1492_$H.txt
write-memory
username root privilege 15 secret 5 $1$n3ur$oecFhZ34343VJA7zkuYk/q.
redundancy
!
!
!
!
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
crypto isakmp key ######## address 10.136.104.126
!
crypto ipsec transform-set ESP-3DES-SHA esp-aes 256 esp-sha-hmac
!
crypto dynamic-map INT_MAP 1
set security-association lifetime kilobytes 530000000
set security-association lifetime seconds 14400
!
!
crypto map INT_MAP 30000 ipsec-isakmp dynamic INT_MAP
!
crypto map SDM_CMAP_1 1 ipsec-isakmp
description Tunnel to 1978
set peer 10.136.104.126
set transform-set ESP-3DES-SHA
match address 111
!
bridge irb
!
!
!
!
interface GigabitEthernet0/0
description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$
no ip address
duplex auto
speed auto
bridge-group 100
bridge-group 100 spanning-disabled
!
!
interface GigabitEthernet0/1
no ip address
no ip route-cache cef
no ip route-cache
duplex auto
speed auto
!
!
interface GigabitEthernet0/1.2
description SF
encapsulation dot1Q 2
ip address 192.1.2.1 255.255.255.0
ip helper-address 192.1.2.10
ip nat inside
ip virtual-reassembly
no ip route-cache
!
interface GigabitEthernet0/1.3
description 3
encapsulation dot1Q 3
ip address 192.1.3.1 255.255.255.0
ip helper-address 192.1.2.10
ip nat inside
ip virtual-reassembly
no ip route-cache
!
interface GigabitEthernet0/1.4
description 4
encapsulation dot1Q 4
ip address 192.1.4.1 255.255.255.0
ip helper-address 192.1.2.10
ip nat inside
ip virtual-reassembly
no ip route-cache
!
interface GigabitEthernet0/1.5
description 5
encapsulation dot1Q 5
ip address 192.1.5.1 255.255.255.0
ip helper-address 192.1.2.10
ip nat inside
ip virtual-reassembly
no ip route-cache
!
interface GigabitEthernet0/1.6
description 6
encapsulation dot1Q 6
ip address 192.1.6.1 255.255.255.0
ip helper-address 192.1.2.10
no ip route-cache
!
interface GigabitEthernet0/1.7
description 7
encapsulation dot1Q 7
ip address 192.1.7.1 255.255.255.0
ip helper-address 192.1.2.10
no ip route-cache
!
interface GigabitEthernet0/1.8
description wi-fi work
encapsulation dot1Q 8
ip address 192.1.8.1 255.255.255.0
ip helper-address 192.1.2.10
ip nat inside
ip virtual-reassembly
no ip route-cache
!
interface GigabitEthernet0/1.9
description wi-fi guest
encapsulation dot1Q 9
ip address 192.1.9.1 255.255.255.0
ip access-group 2131 in
ip access-group 2132 out
ip helper-address 192.1.2.10
ip nat inside
ip virtual-reassembly
no ip route-cache
!
interface GigabitEthernet0/2
no ip address
duplex auto
speed auto
bridge-group 100
bridge-group 100 spanning-disabled
!
!
interface BVI100
ip address 10.136.87.254 255.255.255.128
ip access-group 2001 in
ip access-group 2002 out
ip flow ingress
ip flow egress
ip nat outside
ip virtual-reassembly
crypto map SDM_CMAP_1
!
!
!
ip local pool SDM_POOL_2 192.1.10.10 192.1.10.254
ip forward-protocol nd
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip flow-export source BVI100
ip flow-export version 9
ip flow-export destination 10.143.255.10 9995
ip flow-export destination 10.143.255.58 9995
!
ip nat pool 1 10.136.87.241 10.136.87.241 netmask 255.255.255.128
ip nat pool 3 10.136.87.243 10.136.87.243 netmask 255.255.255.128
ip nat pool 4 10.136.87.244 10.136.87.244 netmask 255.255.255.128
ip nat pool 5 10.136.87.245 10.136.87.245 netmask 255.255.255.128
ip nat pool 6 10.136.87.246 10.136.87.246 netmask 255.255.255.128
ip nat pool 7 10.136.87.247 10.136.87.247 netmask 255.255.255.128
ip nat pool 8 10.136.87.248 10.136.87.248 netmask 255.255.255.128
ip nat pool 9 10.136.87.249 10.136.87.249 netmask 255.255.255.128
ip nat pool 2 10.136.87.242 10.136.87.242 netmask 255.255.255.128
ip nat pool temp 10.136.87.254 10.136.87.254 netmask 255.255.255.128
ip nat inside source list 101 pool 1 overload
ip nat inside source list 102 pool 2 overload
ip nat inside source list 103 pool 3 overload
ip nat inside source list 104 pool 4 overload
ip nat inside source list 105 pool 5 overload
ip nat inside source list 106 pool 6 overload
ip nat inside source list 107 pool 7 overload
ip nat inside source list 108 pool 8 overload
ip nat inside source list 109 pool 9 overload
ip route 0.0.0.0 0.0.0.0 10.136.87.129
!
ip access-list extended SPLIT_T
remark CCP_ACL Category=20
permit ip 192.1.0.0 0.0.255.255 any
!
logging 10.143.255.2
logging 10.143.255.6
logging 10.143.255.10
logging 10.143.255.14
access-list 101 deny   ip 192.1.1.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 101 permit ip 192.1.1.0 0.0.0.255 any
access-list 102 deny   ip 192.1.2.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 102 permit ip 192.1.2.0 0.0.0.255 any
access-list 103 deny   ip 192.1.3.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 103 permit ip 192.1.3.0 0.0.0.255 any
access-list 104 deny   ip 192.1.4.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 104 permit ip 192.1.4.0 0.0.0.255 any
access-list 105 deny   ip 192.1.5.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 105 permit ip 192.1.5.0 0.0.0.255 any
access-list 106 deny   ip 192.1.6.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 106 permit ip 192.1.6.0 0.0.0.255 any
access-list 107 deny   ip 192.1.7.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 107 permit ip 192.1.7.0 0.0.0.255 any
access-list 108 deny   ip 192.1.8.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 108 permit ip 192.1.8.0 0.0.0.255 any
access-list 109 deny   ip 192.1.9.0 0.0.0.255 192.0.0.0 0.255.255.255
access-list 109 permit ip 192.1.9.0 0.0.0.255 any
access-list 111 permit ip 192.1.0.0 0.0.255.255 192.0.0.0 0.0.255.255
access-list 111 permit ip 192.1.0.0 0.0.255.255 192.2.0.0 0.0.255.255
access-list 111 permit ip 192.1.0.0 0.0.255.255 192.10.0.0 0.0.255.255
access-list 2001 permit ip any any
access-list 2002 permit tcp host 10.136.104.2 any eq smtp
access-list 2002 deny   tcp any any eq smtp
access-list 2002 permit ip any any
access-list 2131 permit udp any any eq bootps
access-list 2131 permit udp any any eq bootpc
access-list 2131 permit udp any host 192.1.2.10 eq ntp
access-list 2131 permit udp any host 192.1.2.10 eq domain
access-list 2131 permit udp any host 192.1.2.10 eq nameserver
access-list 2131 permit udp any host 192.1.2.10 eq time
access-list 2131 permit tcp any host 192.1.2.30 eq smtp time-range guest
access-list 2131 permit tcp any host 192.1.2.30 eq pop3 time-range guest
access-list 2131 deny   tcp any 192.0.0.0 0.255.255.255
access-list 2131 permit tcp any any eq www time-range guest
access-list 2131 permit tcp any any eq smtp time-range guest
access-list 2131 permit tcp any any eq 465 time-range guest
access-list 2131 permit tcp any any eq 995 time-range guest
access-list 2131 permit tcp any any eq 587 time-range guest
access-list 2131 permit tcp any any eq pop3 time-range guest
access-list 2131 permit tcp any any eq 143 time-range guest
access-list 2131 permit tcp any any eq 443 time-range guest
access-list 2131 permit udp any any eq nameserver time-range guest
access-list 2131 deny   ip any any
access-list 2132 permit ip any any
!
!
!
!
route-map SDM_CMAP_1 permit 10
match ip address 111
!
!

!
bridge 100 protocol ieee
bridge 100 route ip
ntp server 10.143.255.2
ntp server 10.143.255.6
ntp server 10.143.255.10
ntp server 10.143.255.14
time-range guest
periodic weekdays 8:00 to 16:00
periodic Monday 8:00 to 14:00
!
end

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. " Как заставить роутер обращаться через тунельный интерфейс" +/–

Сообщение от crash (ok) on 05-Ноя-14, 07:20

укажите какой source интерфейс должен быть при подключении по ftp

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. " Как заставить роутер обращаться через тунельный интерфейс" +/–

Сообщение от ShyLion (ok) on 05-Ноя-14, 12:58

1. На кой болт бридж между двумя гигабитами? Коммутатора мало чтоли?
2. Между IOS железками не нужно использовать криптомапы, нужно использовать VTI, т.е.
IPSec профили и интерфейсы вида:
interface tunnelXXX
tunnel mode ipsec ipv4
tunnel protection ipsec profile XXXX
3. SDM зло

по делу:
#sho crypto isakmp sa
#sho crypto ipsec sa

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. " Как заставить роутер обращаться через тунельный интерфейс" +/–

Сообщение от RedD (ok) on 05-Ноя-14, 20:23

> 1. На кой болт бридж между двумя гигабитами? Коммутатора мало чтоли?
> 2. Между IOS железками не нужно использовать криптомапы, нужно использовать VTI, т.е.
> IPSec профили и интерфейсы вида:
> interface tunnelXXX
>  tunnel mode ipsec ipv4
>  tunnel protection ipsec profile XXXX
> 3. SDM зло
> по делу:
> #sho crypto isakmp sa
> #sho crypto ipsec sa
А где в конфиге видно тунель?
Ткните носом

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. " Как заставить роутер обращаться через тунельный интерфейс" +/–

Сообщение от Doc (??) on 05-Ноя-14, 21:53

> 1. На кой болт бридж между двумя гигабитами? Коммутатора мало чтоли?
> 2. Между IOS железками не нужно использовать криптомапы, нужно использовать VTI, т.е.
> IPSec профили и интерфейсы вида:
> interface tunnelXXX
>  tunnel mode ipsec ipv4
>  tunnel protection ipsec profile XXXX
> 3. SDM зло
> по делу:
> #sho crypto isakmp sa
> #sho crypto ipsec sa
1) есть значит надо.
2) не вижу большой разници какой вид использовать криптомапы распространенный прием
3) SDM я не использовал - использовали те кто первоначально настраивал роутер
sch1492-2911#sho crypto isakmp sa
IPv4 Crypto ISAKMP SA
dst             src             state          conn-id status
10.136.87.254   10.136.104.126  QM_IDLE           1007 ACTIVE
IPv6 Crypto ISAKMP SA
sch1492-2911#sho crypto ipsec sa
interface: BVI100
    Crypto map tag: SDM_CMAP_1, local addr 10.136.87.254
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.1.0.0/255.255.0.0/0/0)
   remote ident (addr/mask/prot/port): (192.0.0.0/255.255.0.0/0/0)
   current_peer 10.136.104.126 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 19229577, #pkts encrypt: 19229577, #pkts digest: 19229577
    #pkts decaps: 12271870, #pkts decrypt: 12271870, #pkts verify: 12271870
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 1, #recv errors 0
     local crypto endpt.: 10.136.87.254, remote crypto endpt.: 10.136.104.126
     path mtu 1500, ip mtu 1500, ip mtu idb BVI100
     current outbound spi: 0x0(0)
     PFS (Y/N): N, DH group: none
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:
     local crypto endpt.: 10.136.87.254, remote crypto endpt.: 10.136.104.126
     path mtu 1500, ip mtu 1500, ip mtu idb BVI100
     current outbound spi: 0x42F401D9(1123287513)
     PFS (Y/N): N, DH group: none
     inbound esp sas:
      spi: 0x89D343C5(2312324037)
        transform: esp-256-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2351, flow_id: Onboard VPN:351, sibling_flags 80000046, crypto map: SDM_CMAP_1
        sa timing: remaining key lifetime (k/sec): (4382431/1032)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
      spi: 0x42F401D9(1123287513)
        transform: esp-256-aes esp-sha-hmac ,
        in use settings ={Tunnel, }
        conn id: 2352, flow_id: Onboard VPN:352, sibling_flags 80000046, crypto map: SDM_CMAP_1
        sa timing: remaining key lifetime (k/sec): (4381155/1032)
        IV size: 16 bytes
        replay detection support: Y
        Status: ACTIVE
     outbound ah sas:
     outbound pcp sas:
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.1.0.0/255.255.0.0/0/0)
   remote ident (addr/mask/prot/port): (192.2.0.0/255.255.0.0/0/0)
   current_peer 10.136.104.126 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 10.136.87.254, remote crypto endpt.: 10.136.104.126
     path mtu 1500, ip mtu 1500, ip mtu idb BVI100
     current outbound spi: 0x0(0)
     PFS (Y/N): N, DH group: none
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.1.0.0/255.255.0.0/0/0)
   remote ident (addr/mask/prot/port): (192.10.0.0/255.255.0.0/0/0)
   current_peer 10.136.104.126 port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0
     local crypto endpt.: 10.136.87.254, remote crypto endpt.: 10.136.104.126
     path mtu 1500, ip mtu 1500, ip mtu idb BVI100
     current outbound spi: 0x0(0)
     PFS (Y/N): N, DH group: none
     inbound esp sas:
     inbound ah sas:
     inbound pcp sas:
     outbound esp sas:
     outbound ah sas:
     outbound pcp sas:

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

12. " Как заставить роутер обращаться через тунельный интерфейс" +/–

Сообщение от ShyLion (ok) on 06-Ноя-14, 07:32

> 1) есть значит надо.
> 2) не вижу большой разници какой вид использовать криптомапы распространенный прием
Удачи.

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. " Как заставить роутер обращаться через тунельный интерфейс"	+/–
Сообщение от eek (ok) on 31-Окт-14, 10:11
Вы внутри тоннеля хотите увидеть электроны что-ли? Если нужны сети за этим тоннелем то неплохо было бы прописать маршруты до этих сетей и на другом конце тоннеля прописать обратные до ваших.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. " Как заставить роутер обращаться через тунельный интерфейс"	+/–
	Сообщение от Doc (ok) on 31-Окт-14, 10:39
	> Вы внутри тоннеля хотите увидеть электроны что-ли? > Если нужны сети за этим тоннелем то неплохо было бы прописать маршруты > до этих сетей и на другом конце тоннеля прописать обратные до > ваших. маршруты откуда? ведь интерфейс самого тоннеля принадлежит маршрутизатору и доступен из другой сети (за тоннелем) нужно заставить сам моршрутер общаться с сеткой за тоннелем через интерфейс тоннеля поясню (понимаю что как то неудачно выражаюсь) у роутера есть три интерфейса gi0 100.100.100.100 (инсайд) gi1 192.1.1.1 (оутасйд) и тоннельный tunelcanel1 192.2.1.1 так вот при отправки пакетов скажем по ftp или radius с самого маршрутизатора он отправляет пакет с интерфейса gi0 и соответственно пакет не приходит есои на адрес за тонелем (скажем 192.2.2.2)
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. " Как заставить роутер обращаться через тунельный интерфейс"	+/–
	Сообщение от gfh (??) on 31-Окт-14, 11:09
	> поясню (понимаю что как то неудачно выражаюсь) > у роутера есть три интерфейса gi0 100.100.100.100 (инсайд) gi1 192.1.1.1 (оутасйд) > и тоннельный tunelcanel1 192.2.1.1 > так вот при отправки пакетов скажем по ftp или radius с самого > маршрутизатора он отправляет пакет с интерфейса gi0 и соответственно пакет не > приходит есои на адрес за тонелем (скажем 192.2.2.2) Вам же сказали - прописать сети: ip route сетка_за_туннелем её_маска адрес_второго_роутера_в_туннеле_tunelcanel1 и соответственно на втором конце туннеля сделать то-же самое: ip route 100.100.100.100 её_маска 192.2.1.1
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. " Как заставить роутер обращаться через тунельный интерфейс"	+/–
	Сообщение от Doc (ok) on 31-Окт-14, 11:40
	>> поясню (понимаю что как то неудачно выражаюсь) >> у роутера есть три интерфейса gi0 100.100.100.100 (инсайд) gi1 192.1.1.1 (оутасйд) >> и тоннельный tunelcanel1 192.2.1.1 >> так вот при отправки пакетов скажем по ftp или radius с самого >> маршрутизатора он отправляет пакет с интерфейса gi0 и соответственно пакет не >> приходит есои на адрес за тонелем (скажем 192.2.2.2) > Вам же сказали - прописать сети: > ip route сетка_за_туннелем её_маска адрес_второго_роутера_в_туннеле_tunelcanel1 > и соответственно на втором конце туннеля сделать то-же самое: > ip route 100.100.100.100 её_маска 192.2.1.1 а что роут мапа на тоннель недостаточно?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. " Как заставить роутер обращаться через тунельный интерфейс"	+/–
	Сообщение от gfh (??) on 31-Окт-14, 11:56
	> а что роут мапа на тоннель недостаточно? Давайте конфиг, иначе непонятно что у вас творится.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. " Как заставить роутер обращаться через тунельный интерфейс"	+/–
	Сообщение от Doc (ok) on 31-Окт-14, 12:43
	>> а что роут мапа на тоннель недостаточно? > Давайте конфиг, иначе непонятно что у вас творится.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. " Как заставить роутер обращаться через тунельный интерфейс"	+/–
	Сообщение от Doc (ok) on 31-Окт-14, 12:47
	Вот сразу пример к серверу р архивирования не достукиваеться - отправляет наружу к такагсу тоже. archive path ftp://cisco:cisco@192.0.2.253/1492/conf_1492_$H.txt write-memory username root privilege 15 secret 5 $1$n3ur$oecFhZ34343VJA7zkuYk/q. redundancy ! ! ! ! crypto isakmp policy 10 encr 3des authentication pre-share group 2 crypto isakmp key ######## address 10.136.104.126 ! crypto ipsec transform-set ESP-3DES-SHA esp-aes 256 esp-sha-hmac ! crypto dynamic-map INT_MAP 1 set security-association lifetime kilobytes 530000000 set security-association lifetime seconds 14400 ! ! crypto map INT_MAP 30000 ipsec-isakmp dynamic INT_MAP ! crypto map SDM_CMAP_1 1 ipsec-isakmp description Tunnel to 1978 set peer 10.136.104.126 set transform-set ESP-3DES-SHA match address 111 ! bridge irb ! ! ! ! interface GigabitEthernet0/0 description $ETH-LAN$$ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$ no ip address duplex auto speed auto bridge-group 100 bridge-group 100 spanning-disabled ! ! interface GigabitEthernet0/1 no ip address no ip route-cache cef no ip route-cache duplex auto speed auto ! ! interface GigabitEthernet0/1.2 description SF encapsulation dot1Q 2 ip address 192.1.2.1 255.255.255.0 ip helper-address 192.1.2.10 ip nat inside ip virtual-reassembly no ip route-cache ! interface GigabitEthernet0/1.3 description 3 encapsulation dot1Q 3 ip address 192.1.3.1 255.255.255.0 ip helper-address 192.1.2.10 ip nat inside ip virtual-reassembly no ip route-cache ! interface GigabitEthernet0/1.4 description 4 encapsulation dot1Q 4 ip address 192.1.4.1 255.255.255.0 ip helper-address 192.1.2.10 ip nat inside ip virtual-reassembly no ip route-cache ! interface GigabitEthernet0/1.5 description 5 encapsulation dot1Q 5 ip address 192.1.5.1 255.255.255.0 ip helper-address 192.1.2.10 ip nat inside ip virtual-reassembly no ip route-cache ! interface GigabitEthernet0/1.6 description 6 encapsulation dot1Q 6 ip address 192.1.6.1 255.255.255.0 ip helper-address 192.1.2.10 no ip route-cache ! interface GigabitEthernet0/1.7 description 7 encapsulation dot1Q 7 ip address 192.1.7.1 255.255.255.0 ip helper-address 192.1.2.10 no ip route-cache ! interface GigabitEthernet0/1.8 description wi-fi work encapsulation dot1Q 8 ip address 192.1.8.1 255.255.255.0 ip helper-address 192.1.2.10 ip nat inside ip virtual-reassembly no ip route-cache ! interface GigabitEthernet0/1.9 description wi-fi guest encapsulation dot1Q 9 ip address 192.1.9.1 255.255.255.0 ip access-group 2131 in ip access-group 2132 out ip helper-address 192.1.2.10 ip nat inside ip virtual-reassembly no ip route-cache ! interface GigabitEthernet0/2 no ip address duplex auto speed auto bridge-group 100 bridge-group 100 spanning-disabled ! ! interface BVI100 ip address 10.136.87.254 255.255.255.128 ip access-group 2001 in ip access-group 2002 out ip flow ingress ip flow egress ip nat outside ip virtual-reassembly crypto map SDM_CMAP_1 ! ! ! ip local pool SDM_POOL_2 192.1.10.10 192.1.10.254 ip forward-protocol nd ! ip http server ip http access-class 23 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip flow-export source BVI100 ip flow-export version 9 ip flow-export destination 10.143.255.10 9995 ip flow-export destination 10.143.255.58 9995 ! ip nat pool 1 10.136.87.241 10.136.87.241 netmask 255.255.255.128 ip nat pool 3 10.136.87.243 10.136.87.243 netmask 255.255.255.128 ip nat pool 4 10.136.87.244 10.136.87.244 netmask 255.255.255.128 ip nat pool 5 10.136.87.245 10.136.87.245 netmask 255.255.255.128 ip nat pool 6 10.136.87.246 10.136.87.246 netmask 255.255.255.128 ip nat pool 7 10.136.87.247 10.136.87.247 netmask 255.255.255.128 ip nat pool 8 10.136.87.248 10.136.87.248 netmask 255.255.255.128 ip nat pool 9 10.136.87.249 10.136.87.249 netmask 255.255.255.128 ip nat pool 2 10.136.87.242 10.136.87.242 netmask 255.255.255.128 ip nat pool temp 10.136.87.254 10.136.87.254 netmask 255.255.255.128 ip nat inside source list 101 pool 1 overload ip nat inside source list 102 pool 2 overload ip nat inside source list 103 pool 3 overload ip nat inside source list 104 pool 4 overload ip nat inside source list 105 pool 5 overload ip nat inside source list 106 pool 6 overload ip nat inside source list 107 pool 7 overload ip nat inside source list 108 pool 8 overload ip nat inside source list 109 pool 9 overload ip route 0.0.0.0 0.0.0.0 10.136.87.129 ! ip access-list extended SPLIT_T remark CCP_ACL Category=20 permit ip 192.1.0.0 0.0.255.255 any ! logging 10.143.255.2 logging 10.143.255.6 logging 10.143.255.10 logging 10.143.255.14 access-list 101 deny ip 192.1.1.0 0.0.0.255 192.0.0.0 0.255.255.255 access-list 101 permit ip 192.1.1.0 0.0.0.255 any access-list 102 deny ip 192.1.2.0 0.0.0.255 192.0.0.0 0.255.255.255 access-list 102 permit ip 192.1.2.0 0.0.0.255 any access-list 103 deny ip 192.1.3.0 0.0.0.255 192.0.0.0 0.255.255.255 access-list 103 permit ip 192.1.3.0 0.0.0.255 any access-list 104 deny ip 192.1.4.0 0.0.0.255 192.0.0.0 0.255.255.255 access-list 104 permit ip 192.1.4.0 0.0.0.255 any access-list 105 deny ip 192.1.5.0 0.0.0.255 192.0.0.0 0.255.255.255 access-list 105 permit ip 192.1.5.0 0.0.0.255 any access-list 106 deny ip 192.1.6.0 0.0.0.255 192.0.0.0 0.255.255.255 access-list 106 permit ip 192.1.6.0 0.0.0.255 any access-list 107 deny ip 192.1.7.0 0.0.0.255 192.0.0.0 0.255.255.255 access-list 107 permit ip 192.1.7.0 0.0.0.255 any access-list 108 deny ip 192.1.8.0 0.0.0.255 192.0.0.0 0.255.255.255 access-list 108 permit ip 192.1.8.0 0.0.0.255 any access-list 109 deny ip 192.1.9.0 0.0.0.255 192.0.0.0 0.255.255.255 access-list 109 permit ip 192.1.9.0 0.0.0.255 any access-list 111 permit ip 192.1.0.0 0.0.255.255 192.0.0.0 0.0.255.255 access-list 111 permit ip 192.1.0.0 0.0.255.255 192.2.0.0 0.0.255.255 access-list 111 permit ip 192.1.0.0 0.0.255.255 192.10.0.0 0.0.255.255 access-list 2001 permit ip any any access-list 2002 permit tcp host 10.136.104.2 any eq smtp access-list 2002 deny tcp any any eq smtp access-list 2002 permit ip any any access-list 2131 permit udp any any eq bootps access-list 2131 permit udp any any eq bootpc access-list 2131 permit udp any host 192.1.2.10 eq ntp access-list 2131 permit udp any host 192.1.2.10 eq domain access-list 2131 permit udp any host 192.1.2.10 eq nameserver access-list 2131 permit udp any host 192.1.2.10 eq time access-list 2131 permit tcp any host 192.1.2.30 eq smtp time-range guest access-list 2131 permit tcp any host 192.1.2.30 eq pop3 time-range guest access-list 2131 deny tcp any 192.0.0.0 0.255.255.255 access-list 2131 permit tcp any any eq www time-range guest access-list 2131 permit tcp any any eq smtp time-range guest access-list 2131 permit tcp any any eq 465 time-range guest access-list 2131 permit tcp any any eq 995 time-range guest access-list 2131 permit tcp any any eq 587 time-range guest access-list 2131 permit tcp any any eq pop3 time-range guest access-list 2131 permit tcp any any eq 143 time-range guest access-list 2131 permit tcp any any eq 443 time-range guest access-list 2131 permit udp any any eq nameserver time-range guest access-list 2131 deny ip any any access-list 2132 permit ip any any ! ! ! ! route-map SDM_CMAP_1 permit 10 match ip address 111 ! ! ! bridge 100 protocol ieee bridge 100 route ip ntp server 10.143.255.2 ntp server 10.143.255.6 ntp server 10.143.255.10 ntp server 10.143.255.14 time-range guest periodic weekdays 8:00 to 16:00 periodic Monday 8:00 to 14:00 ! end
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. " Как заставить роутер обращаться через тунельный интерфейс"	+/–
	Сообщение от crash (ok) on 05-Ноя-14, 07:20
	укажите какой source интерфейс должен быть при подключении по ftp
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. " Как заставить роутер обращаться через тунельный интерфейс"	+/–
	Сообщение от ShyLion (ok) on 05-Ноя-14, 12:58
	1. На кой болт бридж между двумя гигабитами? Коммутатора мало чтоли? 2. Между IOS железками не нужно использовать криптомапы, нужно использовать VTI, т.е. IPSec профили и интерфейсы вида: interface tunnelXXX tunnel mode ipsec ipv4 tunnel protection ipsec profile XXXX 3. SDM зло по делу: #sho crypto isakmp sa #sho crypto ipsec sa
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. " Как заставить роутер обращаться через тунельный интерфейс"	+/–
	Сообщение от RedD (ok) on 05-Ноя-14, 20:23
	> 1. На кой болт бридж между двумя гигабитами? Коммутатора мало чтоли? > 2. Между IOS железками не нужно использовать криптомапы, нужно использовать VTI, т.е. > IPSec профили и интерфейсы вида: > interface tunnelXXX > tunnel mode ipsec ipv4 > tunnel protection ipsec profile XXXX > 3. SDM зло > по делу: > #sho crypto isakmp sa > #sho crypto ipsec sa А где в конфиге видно тунель? Ткните носом
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. " Как заставить роутер обращаться через тунельный интерфейс"	+/–
	Сообщение от Doc (??) on 05-Ноя-14, 21:53
	> 1. На кой болт бридж между двумя гигабитами? Коммутатора мало чтоли? > 2. Между IOS железками не нужно использовать криптомапы, нужно использовать VTI, т.е. > IPSec профили и интерфейсы вида: > interface tunnelXXX > tunnel mode ipsec ipv4 > tunnel protection ipsec profile XXXX > 3. SDM зло > по делу: > #sho crypto isakmp sa > #sho crypto ipsec sa 1) есть значит надо. 2) не вижу большой разници какой вид использовать криптомапы распространенный прием 3) SDM я не использовал - использовали те кто первоначально настраивал роутер sch1492-2911#sho crypto isakmp sa IPv4 Crypto ISAKMP SA dst src state conn-id status 10.136.87.254 10.136.104.126 QM_IDLE 1007 ACTIVE IPv6 Crypto ISAKMP SA sch1492-2911#sho crypto ipsec sa interface: BVI100 Crypto map tag: SDM_CMAP_1, local addr 10.136.87.254 protected vrf: (none) local ident (addr/mask/prot/port): (192.1.0.0/255.255.0.0/0/0) remote ident (addr/mask/prot/port): (192.0.0.0/255.255.0.0/0/0) current_peer 10.136.104.126 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 19229577, #pkts encrypt: 19229577, #pkts digest: 19229577 #pkts decaps: 12271870, #pkts decrypt: 12271870, #pkts verify: 12271870 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 1, #recv errors 0 local crypto endpt.: 10.136.87.254, remote crypto endpt.: 10.136.104.126 path mtu 1500, ip mtu 1500, ip mtu idb BVI100 current outbound spi: 0x0(0) PFS (Y/N): N, DH group: none inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: local crypto endpt.: 10.136.87.254, remote crypto endpt.: 10.136.104.126 path mtu 1500, ip mtu 1500, ip mtu idb BVI100 current outbound spi: 0x42F401D9(1123287513) PFS (Y/N): N, DH group: none inbound esp sas: spi: 0x89D343C5(2312324037) transform: esp-256-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2351, flow_id: Onboard VPN:351, sibling_flags 80000046, crypto map: SDM_CMAP_1 sa timing: remaining key lifetime (k/sec): (4382431/1032) IV size: 16 bytes replay detection support: Y Status: ACTIVE inbound ah sas: inbound pcp sas: outbound esp sas: spi: 0x42F401D9(1123287513) transform: esp-256-aes esp-sha-hmac , in use settings ={Tunnel, } conn id: 2352, flow_id: Onboard VPN:352, sibling_flags 80000046, crypto map: SDM_CMAP_1 sa timing: remaining key lifetime (k/sec): (4381155/1032) IV size: 16 bytes replay detection support: Y Status: ACTIVE outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (192.1.0.0/255.255.0.0/0/0) remote ident (addr/mask/prot/port): (192.2.0.0/255.255.0.0/0/0) current_peer 10.136.104.126 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 10.136.87.254, remote crypto endpt.: 10.136.104.126 path mtu 1500, ip mtu 1500, ip mtu idb BVI100 current outbound spi: 0x0(0) PFS (Y/N): N, DH group: none inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas: protected vrf: (none) local ident (addr/mask/prot/port): (192.1.0.0/255.255.0.0/0/0) remote ident (addr/mask/prot/port): (192.10.0.0/255.255.0.0/0/0) current_peer 10.136.104.126 port 500 PERMIT, flags={origin_is_acl,} #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0 #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0 #pkts compressed: 0, #pkts decompressed: 0 #pkts not compressed: 0, #pkts compr. failed: 0 #pkts not decompressed: 0, #pkts decompress failed: 0 #send errors 0, #recv errors 0 local crypto endpt.: 10.136.87.254, remote crypto endpt.: 10.136.104.126 path mtu 1500, ip mtu 1500, ip mtu idb BVI100 current outbound spi: 0x0(0) PFS (Y/N): N, DH group: none inbound esp sas: inbound ah sas: inbound pcp sas: outbound esp sas: outbound ah sas: outbound pcp sas:
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	12. " Как заставить роутер обращаться через тунельный интерфейс"	+/–
	Сообщение от ShyLion (ok) on 06-Ноя-14, 07:32
	> 1) есть значит надо. > 2) не вижу большой разници какой вид использовать криптомапы распространенный прием Удачи.
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору