The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Сложная маршрутизация."
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"Сложная маршрутизация."  +/
Сообщение от Aidaho (ok) on 06-Дек-10, 13:21 
Приветствую. Сказали сделать сеть, которая будет достаточна сложная. Надо настроить в общем так:

<Server IpSec> ----- <Server IpSec Branch> --- <Server IpSec Branch2> ---- <Server IpSec Branch3>

Через <Server IpSec> цепляются все удаленные офисы, в том числе и Server IpSec Branch (на нем висит 192.168.6.0/24, на Server IpSec 1-ая подсеть, на Server IpSec Branch2 6.28) через Server IpSec Branch2 подсоединяется 7-ая подсеть. На сервере Branch3 есть как 7-ая, так и 9-ая подсети.
И теперь надо сделать так, что бы 9-ую сеть видели в 1-ой, ну и в остальных.
7-ю сеть я вижу без проблем. Но не могу пробросить 9-ю.
Как это можно сделать? :)

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Сложная маршрутизация."  +/
Сообщение от KobaLTD email(ok) on 07-Дек-10, 14:26 
>[оверквотинг удален]
> <Server IpSec> ----- <Server IpSec Branch> --- <Server IpSec Branch2> ---- <Server
> IpSec Branch3>
> Через <Server IpSec> цепляются все удаленные офисы, в том числе и Server
> IpSec Branch (на нем висит 192.168.6.0/24, на Server IpSec 1-ая подсеть,
> на Server IpSec Branch2 6.28) через Server IpSec Branch2 подсоединяется 7-ая
> подсеть. На сервере Branch3 есть как 7-ая, так и 9-ая подсети.
> И теперь надо сделать так, что бы 9-ую сеть видели в 1-ой,
> ну и в остальных.
> 7-ю сеть я вижу без проблем. Но не могу пробросить 9-ю.
> Как это можно сделать? :)

слишком мало данных - а в часности в каком режиме работает ipsec - тунель/транспорт?

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Сложная маршрутизация."  +/
Сообщение от Aidaho (ok) on 07-Дек-10, 14:30 
>[оверквотинг удален]
>> Через <Server IpSec> цепляются все удаленные офисы, в том числе и Server
>> IpSec Branch (на нем висит 192.168.6.0/24, на Server IpSec 1-ая подсеть,
>> на Server IpSec Branch2 6.28) через Server IpSec Branch2 подсоединяется 7-ая
>> подсеть. На сервере Branch3 есть как 7-ая, так и 9-ая подсети.
>> И теперь надо сделать так, что бы 9-ую сеть видели в 1-ой,
>> ну и в остальных.
>> 7-ю сеть я вижу без проблем. Но не могу пробросить 9-ю.
>> Как это можно сделать? :)
> слишком мало данных - а в часности в каком режиме работает ipsec
> - тунель/транспорт?

в режиме туннеля. Но дело думаю именно в маршрутах, потому что вижу все до 7-ой сети на Branch3, а дальше тишина.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Сложная маршрутизация."  +/
Сообщение от KobaLTD email(ok) on 07-Дек-10, 14:40 
>[оверквотинг удален]
>>> на Server IpSec Branch2 6.28) через Server IpSec Branch2 подсоединяется 7-ая
>>> подсеть. На сервере Branch3 есть как 7-ая, так и 9-ая подсети.
>>> И теперь надо сделать так, что бы 9-ую сеть видели в 1-ой,
>>> ну и в остальных.
>>> 7-ю сеть я вижу без проблем. Но не могу пробросить 9-ю.
>>> Как это можно сделать? :)
>> слишком мало данных - а в часности в каком режиме работает ipsec
>> - тунель/транспорт?
> в режиме туннеля. Но дело думаю именно в маршрутах, потому что вижу
> все до 7-ой сети на Branch3, а дальше тишина.

а вы не путаете ничего - в тунельном режиме ipsec не может через себя пропустить ничего кроме двух крайних подсетей тунеля - и для того чтобы через него пустить другие подсети приходиться юзать нат - может быть у вас все таки транспорт а поверх уже iptoip/gre тунель?

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Сложная маршрутизация."  +/
Сообщение от Aidaho (ok) on 07-Дек-10, 14:43 
>[оверквотинг удален]
>>>> Как это можно сделать? :)
>>> слишком мало данных - а в часности в каком режиме работает ipsec
>>> - тунель/транспорт?
>> в режиме туннеля. Но дело думаю именно в маршрутах, потому что вижу
>> все до 7-ой сети на Branch3, а дальше тишина.
> а вы не путаете ничего - в тунельном режиме ipsec не может
> через себя пропустить ничего кроме двух крайних подсетей тунеля - и
> для того чтобы через него пустить другие подсети приходиться юзать нат
> - может быть у вас все таки транспорт а поверх уже
> iptoip/gre тунель?

gif туннели, значит транспорт. Что то я до сих пор в этом плохо разбираюсь.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Сложная маршрутизация."  +/
Сообщение от Grey (ok) on 07-Дек-10, 15:33 
>[оверквотинг удален]
>>>> - тунель/транспорт?
>>> в режиме туннеля. Но дело думаю именно в маршрутах, потому что вижу
>>> все до 7-ой сети на Branch3, а дальше тишина.
>> а вы не путаете ничего - в тунельном режиме ipsec не может
>> через себя пропустить ничего кроме двух крайних подсетей тунеля - и
>> для того чтобы через него пустить другие подсети приходиться юзать нат
>> - может быть у вас все таки транспорт а поверх уже
>> iptoip/gre тунель?
> gif туннели, значит транспорт. Что то я до сих пор в этом
> плохо разбираюсь.

Думаю вам стоит "упростить" задачу. Для начала нарисуйте схему сети (временно откиньте ipsec), решите чисто маршрутизацию. Тут должно быть просто как трусы. Когда будет решён вопрос с маршрутизацией в сети, думайте как это дело приложить к ipsec.

P.S. возможно не ipsec, нечто иное. возможно перестроить сеть, чтоб была возможность применить не ipsec, а что-то более удобное в этой задаче и более понятное и надёжное в решении и сопровождении именно вами. Всё же чем больше деталей в механизме - тем менее надёжен механизм :)

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Сложная маршрутизация."  +/
Сообщение от Aidaho (ok) on 09-Дек-10, 06:57 
>[оверквотинг удален]
>> плохо разбираюсь.
> Думаю вам стоит "упростить" задачу. Для начала нарисуйте схему сети (временно откиньте
> ipsec), решите чисто маршрутизацию. Тут должно быть просто как трусы. Когда
> будет решён вопрос с маршрутизацией в сети, думайте как это дело
> приложить к ipsec.
> P.S. возможно не ipsec, нечто иное. возможно перестроить сеть, чтоб была возможность
> применить не ipsec, а что-то более удобное в этой задаче и
> более понятное и надёжное в решении и сопровождении именно вами. Всё
> же чем больше деталей в механизме - тем менее надёжен механизм
> :)

Пытаюсь сделать так:
на Branch3 прописываю
route add route add 192.168.6.0/24 192.168.7.147
а на Branch2
route add 192.168.9.0/24 192.168.7.162
но при пингах пишет:
ping: sendto: Invalid argument
с обоих сторон.
По идеи все вроде правильно, но не работает :(

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Сложная маршрутизация."  +/
Сообщение от Прохожий (??) on 09-Дек-10, 13:37 
>[оверквотинг удален]
>> :)
> Пытаюсь сделать так:
> на Branch3 прописываю
> route add route add 192.168.6.0/24 192.168.7.147
> а на Branch2
> route add 192.168.9.0/24 192.168.7.162
> но при пингах пишет:
> ping: sendto: Invalid argument
> с обоих сторон.
> По идеи все вроде правильно, но не работает :(

man tcpdump

Встаем на все интерфейсы и запущаем ping. Далее смотрим куда чего течет.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Сложная маршрутизация."  +/
Сообщение от rr (ok) on 09-Дек-10, 17:20 
>[оверквотинг удален]
>> на Branch3 прописываю
>> route add route add 192.168.6.0/24 192.168.7.147
>> а на Branch2
>> route add 192.168.9.0/24 192.168.7.162
>> но при пингах пишет:
>> ping: sendto: Invalid argument
>> с обоих сторон.
>> По идеи все вроде правильно, но не работает :(
> man tcpdump
> Встаем на все интерфейсы и запущаем ping. Далее смотрим куда чего течет.

и что он увидит? шифрованный трафик?

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Сложная маршрутизация."  +/
Сообщение от Grey (ok) on 09-Дек-10, 18:04 
>[оверквотинг удален]
>> на Branch3 прописываю
>> route add route add 192.168.6.0/24 192.168.7.147
>> а на Branch2
>> route add 192.168.9.0/24 192.168.7.162
>> но при пингах пишет:
>> ping: sendto: Invalid argument
>> с обоих сторон.
>> По идеи все вроде правильно, но не работает :(
> man tcpdump
> Встаем на все интерфейсы и запущаем ping. Далее смотрим куда чего течет.

глаза человек потеряет на это смотреть.... мозг надо включать!

сказал же уже: нарисуйте схему, настройки роутеров (куда смотрит дефолт, какие маршруты прописаны и т.п.) и подумать чего не хватает.
Если с этим туго - читать букварь про адресацию в IP-сетях и про маршрутизацию в IP-сетях.
Без этого смотри, не смотри - толку не будет.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2022 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру