URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 1364
[ Назад ]

Исходное сообщение
"Маршрутизация за тунелем"

Отправлено zabrat , 03-Июн-14 13:47 
Всем привет.
Копаюсь с маршрутами не могу понять где затык.
Имеем туннель между D-Link 804HV и Cisco 2901
Туннель поднят и работает норм.

Загвоздка в том что хочу пустить адреса из ЛВС за D-Link в интернет через 2901
Структура такая
10.10.10.0/24-|D-Link|-192.168.1.2-|VPN туннель по провайдерскому каналу ЛВС|-18.1.1.1-|Cisco|-10.10.11.0/24

Маршрутизацию между 192.168.1.2 и 18.1.1.1 обеспечивает провайдер
18.1.1.1 - белый ip с выходом в интернет

Как можно разрешить сети 10.10.10.0/24 пользоваться интернетом 2901?

tracert с любой машины сети 10.10.10.0/24 к примеру на ya.ru
1    <1 ms    <1 ms    <1 ms  10.10.10.1
2     1 ms     1 ms     1 ms  18.1.1.1
3     *        *        *     Превышен интервал ожидания для запроса.
4     *        *        *     Превышен интервал ожидания для запроса.


Содержание

Сообщения в этом обсуждении
"Маршрутизация за тунелем"
Отправлено Virtual77 , 03-Июн-14 14:31 
>[оверквотинг удален]
>  1    <1 ms    <1 ms
>    <1 ms  10.10.10.1
>  2     1 ms    
> 1 ms     1 ms  18.1.1.1
>  3     *      
>   *        *
>     Превышен интервал ожидания для запроса.
>  4     *      
>   *        *
>     Превышен интервал ожидания для запроса.

внимательно изучить таблицы маршрутизации на обоих роутерах, либо показать их сюда
все таки нужно маршруты для ЛАНов заруливать в тунельные интерфейсы, судя по трейсу маршрут улетает на 18.1.1.1 а должен улетать в интерфейс туннеля(какие в тунеле IP?)


"Маршрутизация за тунелем"
Отправлено zabrat , 03-Июн-14 15:10 
>[оверквотинг удален]
>>  3     *
>>   *        *
>>     Превышен интервал ожидания для запроса.
>>  4     *
>>   *        *
>>     Превышен интервал ожидания для запроса.
> внимательно изучить таблицы маршрутизации на обоих роутерах, либо показать их сюда
> все таки нужно маршруты для ЛАНов заруливать в тунельные интерфейсы, судя по
> трейсу маршрут улетает на 18.1.1.1 а должен улетать в интерфейс туннеля(какие
> в тунеле IP?)

так это и есть IP тунеля 192.168.1.2 с одной стороны и 18.1.1.1 с другой. настраивал как на сайте d-link.


"Маршрутизация за тунелем"
Отправлено Virtual77 , 03-Июн-14 17:22 
>[оверквотинг удален]
>>>     Превышен интервал ожидания для запроса.
>>>  4     *
>>>   *        *
>>>     Превышен интервал ожидания для запроса.
>> внимательно изучить таблицы маршрутизации на обоих роутерах, либо показать их сюда
>> все таки нужно маршруты для ЛАНов заруливать в тунельные интерфейсы, судя по
>> трейсу маршрут улетает на 18.1.1.1 а должен улетать в интерфейс туннеля(какие
>> в тунеле IP?)
> так это и есть IP тунеля 192.168.1.2 с одной стороны и 18.1.1.1
> с другой. настраивал как на сайте d-link.

хм, я всегда думал что тунельные интерфейсы принято строить p-t-p Точка-точка
ну и соответственно ИП на обоих концах тунеля должны быть что-то типа
192.168.1.1/255.255.255.252 и 192.168.1.2/255.255.255.252 , но ни как не 18.1.1.1
давай так - о каких тунелях идет речь? GRE или тебе провайдер дает канал IP-VPN(L2-VPN, L3-VPN)


"Маршрутизация за тунелем"
Отправлено zabrat , 03-Июн-14 21:26 
>[оверквотинг удален]
>>> все таки нужно маршруты для ЛАНов заруливать в тунельные интерфейсы, судя по
>>> трейсу маршрут улетает на 18.1.1.1 а должен улетать в интерфейс туннеля(какие
>>> в тунеле IP?)
>> так это и есть IP тунеля 192.168.1.2 с одной стороны и 18.1.1.1
>> с другой. настраивал как на сайте d-link.
> хм, я всегда думал что тунельные интерфейсы принято строить p-t-p Точка-точка
> ну и соответственно ИП на обоих концах тунеля должны быть что-то типа
> 192.168.1.1/255.255.255.252 и 192.168.1.2/255.255.255.252 , но ни как не 18.1.1.1
> давай так - о каких тунелях идет речь? GRE или тебе провайдер
> дает канал IP-VPN(L2-VPN, L3-VPN)

да я так и строил если cisco cisco или сisco freebsd, а тут dlink вот как настроено, получается напрямую и не gre
http://www.dlink.ru/ru/faq/92/499.html

Завтра буду дольше разбираться.

Еще хотел спросить. Нашел рабочий adsl router Cisco 877, можно ли его использовать для туннеля с 2901, чтоб по нормальному через gre настроить. Или он сильно по функционалу обрезан?


"Маршрутизация за тунелем"
Отправлено Virtual77 , 04-Июн-14 08:51 
>[оверквотинг удален]
>> 192.168.1.1/255.255.255.252 и 192.168.1.2/255.255.255.252 , но ни как не 18.1.1.1
>> давай так - о каких тунелях идет речь? GRE или тебе провайдер
>> дает канал IP-VPN(L2-VPN, L3-VPN)
> да я так и строил если cisco cisco или сisco freebsd, а
> тут dlink вот как настроено, получается напрямую и не gre
> http://www.dlink.ru/ru/faq/92/499.html
> Завтра буду дольше разбираться.
> Еще хотел спросить. Нашел рабочий adsl router Cisco 877, можно ли его
> использовать для туннеля с 2901, чтоб по нормальному через gre настроить.
> Или он сильно по функционалу обрезан?

у тебя ipsec в принципе должно работать, нужно смотреть таблицы маршрутизации и конфиги
АДСЛ роутер скорее всего не подойдет
если хочешь дешево и качественно то тебе вместо Длинка нужен Mikrotik 751 или 951 серии


"Маршрутизация за тунелем"
Отправлено Andrey , 04-Июн-14 09:41 
>>[оверквотинг удален]
> Нашел рабочий adsl router Cisco 877, можно ли его
> использовать для туннеля с 2901, чтоб по нормальному через gre настроить.
> Или он сильно по функционалу обрезан?

Зависит от IOS на 12.4 и ранее или от лицензии на 15.0 и выше. Смотрите show version и уточняйте имеющийся функционал через cisco.com/go/fn


"Маршрутизация за тунелем"
Отправлено Andrey , 03-Июн-14 15:10 
>[оверквотинг удален]
>  1    <1 ms    <1 ms
>    <1 ms  10.10.10.1
>  2     1 ms    
> 1 ms     1 ms  18.1.1.1
>  3     *      
>   *        *
>     Превышен интервал ожидания для запроса.
>  4     *      
>   *        *
>     Превышен интервал ожидания для запроса.

показать сюда настройки на туннельном интерфейсе на C2901. Наверняка там нет ip nat inside. А еще лучше - показать полные настройки обоих устройств.


"Маршрутизация за тунелем"
Отправлено sn , 03-Июн-14 16:07 
>[оверквотинг удален]
>>  2     1 ms
>> 1 ms     1 ms  18.1.1.1
>>  3     *
>>   *        *
>>     Превышен интервал ожидания для запроса.
>>  4     *
>>   *        *
>>     Превышен интервал ожидания для запроса.
> показать сюда настройки на туннельном интерфейсе на C2901. Наверняка там нет ip
> nat inside. А еще лучше - показать полные настройки обоих устройств.

причем ip nat inside не прокатит, надо либо через лупбек, либо через ip nat enable делать


"Маршрутизация за тунелем"
Отправлено zabrat , 04-Июн-14 17:16 
Ну значит поставил 877 вместо d-link настроил туннели с шифрованием. Сети видят друг друга. Вот конфигурации туннелей
----877----
interface Tunnel88
ip address 192.168.88.1 255.255.255.252
tunnel source Vlan2
tunnel destination 18.1.1.1
tunnel protection ipsec profile ipsec
!
interface FastEthernet0
switchport access vlan 2
!
interface Vlan1
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan2
ip address 192.168.1.2 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip nat inside source list 100 interface Vlan2 overload
!
access-list 100 permit ip 10.10.10.0 0.0.0.255 any
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
ip route 10.10.11.0 255.255.255.0 192.168.88.2

----2901----
!
interface Tunnel88
ip address 192.168.88.2 255.255.255.252
tunnel source GigabitEthernet0/1
tunnel destination 192.168.1.2
tunnel protection ipsec profile ipsec
!
interface GigabitEthernet0/1
ip address 18.1.1.1 255.255.255.128
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 18.1.1.10
ip route 10.10.10.0 255.255.255.0 192.168.88.1
!
ip nat inside source list IPFW interface GigabitEthernet0/1 overload
!
ip access-list extended IPFW
permit ip 10.10.11.0 255.255.255.0 any

Смысл такой 192.168.88.0/32 это виртуальная сеть
если с машины 10.10.10.3 пинговать 10.10.11.3 всё норм и обратно тоже

теперь более менее получилось. дальше надо пользователям из 10.10.10.0/24 разрешить ходить в интернет через туннель через interface GigabitEthernet0/1.

не соображу пока как такое реализовать....



"Маршрутизация за тунелем"
Отправлено Andrey , 05-Июн-14 08:54 
>[оверквотинг удален]
> !
> ip nat inside source list IPFW interface GigabitEthernet0/1 overload
> !
> ip access-list extended IPFW
>  permit ip 10.10.11.0 255.255.255.0 any
> Смысл такой 192.168.88.0/32 это виртуальная сеть
> если с машины 10.10.10.3 пинговать 10.10.11.3 всё норм и обратно тоже
> теперь более менее получилось. дальше надо пользователям из 10.10.10.0/24 разрешить ходить
> в интернет через туннель через interface GigabitEthernet0/1.
> не соображу пока как такое реализовать....

Ну реализуется это достаточно просто. Есть 2 способа:
1. Внимательно читать различные источники информации. В том числе и сайт производителя оборудования.
2. Взять сумму в N т.р. и искать исполнителя. Где N натуральное число >1.
На текущий момент вы тяготеете к варианту 2.


"Маршрутизация за тунелем"
Отправлено zabrat , 05-Июн-14 11:00 
>[оверквотинг удален]
>> если с машины 10.10.10.3 пинговать 10.10.11.3 всё норм и обратно тоже
>> теперь более менее получилось. дальше надо пользователям из 10.10.10.0/24 разрешить ходить
>> в интернет через туннель через interface GigabitEthernet0/1.
>> не соображу пока как такое реализовать....
> Ну реализуется это достаточно просто. Есть 2 способа:
> 1. Внимательно читать различные источники информации. В том числе и сайт производителя
> оборудования.
> 2. Взять сумму в N т.р. и искать исполнителя. Где N натуральное
> число >1.
> На текущий момент вы тяготеете к варианту 2.

На текущий момент я тяготею к варианту 1 иначе зачем мне разбираться и писать на этом форуме.


"Маршрутизация за тунелем"
Отправлено Andrey , 05-Июн-14 12:47 
>[оверквотинг удален]
>>> в интернет через туннель через interface GigabitEthernet0/1.
>>> не соображу пока как такое реализовать....
>> Ну реализуется это достаточно просто. Есть 2 способа:
>> 1. Внимательно читать различные источники информации. В том числе и сайт производителя
>> оборудования.
>> 2. Взять сумму в N т.р. и искать исполнителя. Где N натуральное
>> число >1.
>> На текущий момент вы тяготеете к варианту 2.
> На текущий момент я тяготею к варианту 1 иначе зачем мне разбираться
> и писать на этом форуме.

https://www.google.ru/search?num=50&newwindow=1&site=&source...


"Маршрутизация за тунелем"
Отправлено ShyLion , 05-Июн-14 11:14 
> Всем привет.
> Копаюсь с маршрутами не могу понять где затык.
> Имеем туннель между D-Link 804HV и Cisco 2901
> Туннель поднят и работает норм.

На стороне удаленного офиса дефолтный маршрут должен смотреть в туннель, при этом должен быть статический маршрут для обратного конца тоннеля.

На стороне 29 на туннеле ip nat inside не забудь и роут в удаленный офис в туннель завернуть.


"Маршрутизация за тунелем"
Отправлено zabrat , 06-Июн-14 11:37 
>> Всем привет.
>> Копаюсь с маршрутами не могу понять где затык.
>> Имеем туннель между D-Link 804HV и Cisco 2901
>> Туннель поднят и работает норм.
> На стороне удаленного офиса дефолтный маршрут должен смотреть в туннель, при этом
> должен быть статический маршрут для обратного конца тоннеля.
> На стороне 29 на туннеле ip nat inside не забудь и роут
> в удаленный офис в туннель завернуть.

Спасибо. разобрался. Заработало