The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ospf на ipsec mode Tunnel"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Маршрутизация)
Изначальное сообщение [ Отслеживать ]

"ospf на ipsec mode Tunnel"  +/
Сообщение от shadow_alone (ok) on 19-Май-10, 21:35 
Доброго всем!

Вопрос такой:

Есть несколько ipsec соединений с рутера 2811 в тунельном режиме net2net, то есть маршрутов на другую сторону нет, все идет через ACL match addesses в crypto map. Всё прекрасно, всё работает, НО, так как тунелей много, то приходиться на серверах за 2811 постоянно прописывать static routes для адресов за новыми тунелями. Это все достало. OSPF поднят на серверах и они получают с рутера static маршруты, а вот маршруты на сети за IPSEC mode tunnel не передаются, их просто нет, даж на самом рутере, идет тунельный режим. Что бы такое сделать чтоб добавить эти маршруты в ospf , чтоб раздавалось на сервера.

Есть так же GRE за ipsec , mode transport, и ними все нормально, они передаются. Естественно, потому что, на рутере есть static routes для этих сетей через интерфейсы Tunnel 1-2-3 и т.д.

Одним словом, может кто что-то присоветует по этому поводу, а то уже устал везде прописывать статические маршруты.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ospf на ipsec mode Tunnel"  +/
Сообщение от Pve1 (ok) on 20-Май-10, 10:25 
>[оверквотинг удален]
>нет, даж на самом рутере, идет тунельный режим. Что бы такое
>сделать чтоб добавить эти маршруты в ospf , чтоб раздавалось на
>сервера.
>
>Есть так же GRE за ipsec , mode transport, и ними все
>нормально, они передаются. Естественно, потому что, на рутере есть static routes
>для этих сетей через интерфейсы Tunnel 1-2-3 и т.д.
>
>Одним словом, может кто что-то присоветует по этому поводу, а то уже
>устал везде прописывать статические маршруты.

1. Какие маршруты на серверах? Зачем?  У них должен быть только шлюз. Все маршруты должны быть на сетевом оборудовании.
2. Если хотите динамический роутинг через VPN - вам нужен шифрованный GRE-тунель.

Погуглите про DMVPN (Dynamic multipoint VPN)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "ospf на ipsec mode Tunnel"  +/
Сообщение от shadow_alone (ok) on 20-Май-10, 18:40 
>1. Какие маршруты на серверах? Зачем?  У них должен быть только
>шлюз. Все маршруты должны быть на сетевом оборудовании.
>2. Если хотите динамический роутинг через VPN - вам нужен шифрованный GRE-тунель.
>
>
>Погуглите про DMVPN (Dynamic multipoint VPN)

1. А у Вас всё исключительно имеет один шлюз - поздравляю, бинго.
2. Давайте как по делу а... если б, можно было GRE, я б сделал GRE и не парился.

Вы хоть поняли что я спросил и на что Вы ответили?
Вы хоть понимаете разницу в mode tunnel и mode transport в ipsec? Помоему нет, совсем нет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "ospf на ipsec mode Tunnel"  +/
Сообщение от Дмитрий (??) on 20-Май-10, 18:53 
в OSPF прописано redistribute static?
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "ospf на ipsec mode Tunnel"  +/
Сообщение от j_vw on 20-Май-10, 19:44 
> OSPF поднят на серверах и они получают с рутера static маршруты

Бред какой то....
Конфиг и "хотелки выкладываем...." ;)

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "ospf на ipsec mode Tunnel"  +/
Сообщение от j_vw on 20-Май-10, 19:45 
Subj
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "Извиняюсь.... Заголовок не поправил...."  +/
Сообщение от j_vw on 20-Май-10, 19:49 
Хотел опубликовать в "корень"
>Subj
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "ospf на ipsec mode Tunnel"  +/
Сообщение от shadow_alone (ok) on 20-Май-10, 20:18 
>> OSPF поднят на серверах и они получают с рутера static маршруты
>
>Бред какой то....
>Конфиг и "хотелки выкладываем...." ;)

конфиг слишком большой, но примерно начертаю чтоб понятно было

на рутере:


Interface fa0/0
  desc External
  xxx
  xxx
  crypto map mymap

Interface fa0/1
  desc Internal
  xxx
  ip address 10.19.1.1 255.255.255.240


crypto map mymap 16 ipsec-isakmp
set peer X.X.X.X
set transform-set xxx
match address my-addresses


ip access-list extended my-addresses
permit ip 10.19.1.0 0.0.0.15 192.168.3.0 0.0.0.255


На серваке:

ip ro add 192.168.3.0/24 via 10.19.1.1

Все нормально работает.
Хочу не добавлять данный маршрут на серваке, а чтоб брал по OSPF.
Еще раз внимательно читаем - mode tunnel - то есть маршрутов на рутере нет на подсеть 192.168.3.0/24, все идет исключительно по ACL. Соответственно OSPF не передает ничего, вернее передает то что коннектед и статик.

эти маршруты видны только по


sh cry rule

Умников, которые еще не дошли до этого уровня, просьба идти лесом - пожалуйста.

c GRE все работает, но не со всеми возможен GRE, у некоторых на той стороне стоит ASA, которая не поддерживает GRE.

UPD: этот рутер не является единственным шлюзом для данного сервака.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

9. "ospf на ipsec mode Tunnel"  +/
Сообщение от Дмитрий (??) on 20-Май-10, 21:00 
Это Easy VPN, динамика пахать не будет.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

10. "ospf на ipsec mode Tunnel"  +/
Сообщение от shadow_alone (ok) on 20-Май-10, 21:05 
>Это Easy VPN, динамика пахать не будет.

То есть даж "обмануть" никак нельзя, чтоб рутер передал эти маршруты (вписать их куда-нить,например).
Жаль.

Спасибо.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "ospf на ipsec mode Tunnel"  +/
Сообщение от shadow_alone (ok) on 20-Май-10, 20:19 
>в OSPF прописано redistribute static?

Само собой... только этих маршрутов на самом рутере нет, я писал выше, все рулиться по ACL

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру