https://slinkov.ru/openforum/vsluhforumID6/1338.html Доброго времени суток, коллеги!<br><br>Ситуация: было 3 провайдера отдельных, стало - те же и BGP(свой PI-блок); было понятное подключение филиала по IPSec VPN, стало - ... непонятно как это реализовывать теперь.<br><br>До появления BGP достаточно было прописать во внешнем интерфейсе:<br>...<br>crypto map DFL260E<br>...<br><br>Теперь же не понимаю в какой интерфейс сие прописать чтобы IPSec устанавливался.<br>Буду рад любой помощи, но лучше бы кусок работающего конфига, или ссылку на статью чётко по моей ситуации.<br> https://slinkov.ru/openforum/vsluhforumID6/1338.html#14 Tue, 06 May 2014 01:29:02 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; Трафик не пошёл, потому что пока не понятно куда маршрутизировать его.<br>&gt;&gt;&gt;&gt; Может попрытаться создать tunnel вместо loopback + crypto map?<br>&gt;&gt;&gt;&gt; Это лучше? Возможно?<br>&gt;&gt;&gt; Если с обеих концов кисы, то туннельные интерфейсы всяко предпочтительней, с соурсом <br>&gt;&gt;&gt; лупбека. Криптомап тогда будет создан динамически.<br>&gt;&gt;&gt; Через туннели нормально работают протоколы маршрутизации.<br>&gt;&gt; У меня на другой стороне DLink :( <br>&gt;&gt; В любом случае, спасибо тебе большое, добрый ты человек!<br>&gt; Так получилось в итоге? Если нет команды crypto map ... Local-address, подумай <br>&gt; насчет смены ios, это не больно <br><br>Да, всё получилось!<br>Команда local-address есть, просто я искал source interface и не находил.<br>Спасибо тебе большое :)<br> https://slinkov.ru/openforum/vsluhforumID6/1338.html#13 Mon, 05 May 2014 16:23:19 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; В итоге на другой стороне sa создаётся с адресом моего gi0/0.25, то <br>&gt;&gt;&gt; есть шлюза для DMZ.<br>&gt;&gt;&gt; Трафик не пошёл, потому что пока не понятно куда маршрутизировать его.<br>&gt;&gt;&gt; Может попрытаться создать tunnel вместо loopback + crypto map?<br>&gt;&gt;&gt; Это лучше? Возможно?<br>&gt;&gt; Если с обеих концов кисы, то туннельные интерфейсы всяко предпочтительней, с соурсом <br>&gt;&gt; лупбека. Криптомап тогда будет создан динамически.<br>&gt;&gt; Через туннели нормально работают протоколы маршрутизации.<br>&gt; У меня на другой стороне DLink :( <br>&gt; В любом случае, спасибо тебе большое, добрый ты человек!<br><br>Так получилось в итоге? Если нет команды crypto map ... Local-address, подумай насчет смены ios, это не больно<br> https://slinkov.ru/openforum/vsluhforumID6/1338.html#12 Mon, 05 May 2014 14:15:07 GMT &gt;&gt; Но вот криптомапу source interface задать не смог - нет такой команды...<br>&gt; crypto map OUTSIDE local-address Loopback1 <br>&gt;&gt; В итоге на другой стороне sa создаётся с адресом моего gi0/0.25, то <br>&gt;&gt; есть шлюза для DMZ.<br>&gt;&gt; Трафик не пошёл, потому что пока не понятно куда маршрутизировать его.<br>&gt;&gt; Может попрытаться создать tunnel вместо loopback + crypto map?<br>&gt;&gt; Это лучше? Возможно?<br>&gt; Если с обеих концов кисы, то туннельные интерфейсы всяко предпочтительней, с соурсом <br>&gt; лупбека. Криптомап тогда будет создан динамически.<br>&gt; Через туннели нормально работают протоколы маршрутизации.<br><br>У меня на другой стороне DLink :(<br>В любом случае, спасибо тебе большое, добрый ты человек!<br> https://slinkov.ru/openforum/vsluhforumID6/1338.html#11 Mon, 05 May 2014 05:32:58 GMT &gt; Но вот криптомапу source interface задать не смог - нет такой команды... <br><br>crypto map OUTSIDE local-address Loopback1<br> <br>&gt; В итоге на другой стороне sa создаётся с адресом моего gi0/0.25, то <br>&gt; есть шлюза для DMZ.<br>&gt; Трафик не пошёл, потому что пока не понятно куда маршрутизировать его.<br>&gt; Может попрытаться создать tunnel вместо loopback + crypto map?<br>&gt; Это лучше? Возможно?<br><br>Если с обеих концов кисы, то туннельные интерфейсы всяко предпочтительней, с соурсом лупбека. Криптомап тогда будет создан динамически.<br>Через туннели нормально работают протоколы маршрутизации.<br> https://slinkov.ru/openforum/vsluhforumID6/1338.html#10 Mon, 05 May 2014 04:12:33 GMT &gt;&gt; Нет конечно :) <br>&gt;&gt; Но давай по вопросу. Мне нужно увеличить маску на gi0/0.25, чтобы мочь <br>&gt;&gt; выдать адрес для лупбека?<br>&gt; Ну конечно.<br>&gt; Не знаю какая у тебя архитектура сети.<br>&gt; У нас в компании, в сети где 2000 хостов, три роутера имеют <br>&gt; адреса из PI /24, линки между ними, лупбеки, несколько разных DMZ, <br>&gt; куча отдельных адресов под НАТ для каждой цели/сервера свой, занято пока <br>&gt; что только 102 адреса. Это при том что сюда входят незанятые <br>&gt; в ДМЗ адреса.<br><br>У меня всего один роутер :) Так что всё прозаичнее.<br><br>Попробовал, адрес лупбэку само собой выдался.<br>Но вот криптомапу source interface задать не смог - нет такой команды...<br>В итоге на другой стороне sa создаётся с адресов моего gi0/0.25, то есть шлюза для DMZ.<br>Трафик не пошёл, потому что пока не понятно куда маршрутизировать его.<br>Может попрытаться создать tunnel вместо loopback + crypto map?<br>Это лучше? Возможно?<br><br><br> https://slinkov.ru/openforum/vsluhforumID6/1338.html#9 Mon, 05 May 2014 02:41:17 GMT &gt; Нет конечно :) <br>&gt; Но давай по вопросу. Мне нужно увеличить маску на gi0/0.25, чтобы мочь <br>&gt; выдать адрес для лупбека?<br><br>Ну конечно.<br>Не знаю какая у тебя архитектура сети.<br>У нас в компании, в сети где 2000 хостов, три роутера имеют адреса из PI /24, линки между ними, лупбеки, несколько разных DMZ, куча отдельных адресов под НАТ для каждой цели/сервера свой, занято пока что только 102 адреса. Это при том что сюда входят незанятые в ДМЗ адреса.<br> https://slinkov.ru/openforum/vsluhforumID6/1338.html#8 Sun, 04 May 2014 05:31:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; PI/24 - 255 адресов.<br>&gt;&gt;&gt;&gt; На gi0/0.25 повесил один первый адрес диапазона (xx.xx.xx.1 255.255.255.0) <br>&gt;&gt;&gt;&gt; На лупбэке пробовал прописать xx.xx.xx.7 255.255.255.255 - не проходит.<br>&gt;&gt;&gt; Ты ВЕСЬ PI на один интерфейс повесил? Ну ты даешь. А с <br>&gt;&gt;&gt; какой целью?<br>&gt;&gt; Хороший вопрос:) <br>&gt;&gt; Я считал что повесил всего лишь один адрес! Ведь сервера с адресами <br>&gt;&gt; xx.xx.xx.2 и так далее трафик через шлюз xx.xx.xx.1 пересылают.<br>&gt;&gt; Или в данном случае обычные правила адресов и масок не работают?<br>&gt; Все работает, только у тебя что, 250 серверов в одной дмз?<br><br>Нет конечно :)<br>Но давай по вопросу. Мне нужно увеличить маску на gi0/0.25, чтобы мочь выдать адрес для лупбека?<br> https://slinkov.ru/openforum/vsluhforumID6/1338.html#7 Sun, 04 May 2014 05:28:02 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; Лупбеку достаточно одного /32 адреса.<br>&gt;&gt;&gt; PI/24 - 255 адресов.<br>&gt;&gt;&gt; На gi0/0.25 повесил один первый адрес диапазона (xx.xx.xx.1 255.255.255.0) <br>&gt;&gt;&gt; На лупбэке пробовал прописать xx.xx.xx.7 255.255.255.255 - не проходит.<br>&gt;&gt; Ты ВЕСЬ PI на один интерфейс повесил? Ну ты даешь. А с <br>&gt;&gt; какой целью?<br>&gt; Хороший вопрос:) <br>&gt; Я считал что повесил всего лишь один адрес! Ведь сервера с адресами <br>&gt; xx.xx.xx.2 и так далее трафик через шлюз xx.xx.xx.1 пересылают.<br>&gt; Или в данном случае обычные правила адресов и масок не работают?<br><br>Все работает, только у тебя что, 250 серверов в одной дмз? <br> https://slinkov.ru/openforum/vsluhforumID6/1338.html#6 Sun, 04 May 2014 05:23:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; PI-блока (шлюз для DMZ), в итоге при попытке установить адрес для <br>&gt;&gt;&gt;&gt; Loopback-интерфейса получаю ошибку "% xx.xx.xx.7 overlaps with GigabitEthernet0/0.25".<br>&gt;&gt;&gt;&gt; Как в этой ситуации поступить?<br>&gt;&gt;&gt; Какого размера PI? Сколько отдал на gi0/0.25 ?<br>&gt;&gt;&gt; Лупбеку достаточно одного /32 адреса.<br>&gt;&gt; PI/24 - 255 адресов.<br>&gt;&gt; На gi0/0.25 повесил один первый адрес диапазона (xx.xx.xx.1 255.255.255.0) <br>&gt;&gt; На лупбэке пробовал прописать xx.xx.xx.7 255.255.255.255 - не проходит.<br>&gt; Ты ВЕСЬ PI на один интерфейс повесил? Ну ты даешь. А с <br>&gt; какой целью?<br><br>Хороший вопрос:)<br>Я считал что повесил всего лишь один адрес! Ведь сервера с адресами xx.xx.xx.2 и так далее трафик через шлюз xx.xx.xx.1 пересылают. <br>Или в данном случае обычные правила адресов и масок не работают?<br>