OpenForum RSS: VPN через secondary ip адрес https://www.opennet.me/openforum/vsluhforumID6/15475.html Всем привет! <br>Столкнулся с такой ситуацией. Есть две cisco871(филиалы находящиеся в одном городе) соединены с головным офисом(в другом городе) Cisco ASA посредством VPN, а также соединены между собой все также с помощью VPN. На WAN интерфейсах у 2-х Cisco 871 стандартные внешние ip адреса. <br>Пример настройки одной из 871.<br>"interface FastEthernet4<br> description WAN_interface<br> ip address 218.115.93.220 255.255.255.0<br> ip access-group 101 in<br> no ip redirects<br> no ip unreachables<br> no ip proxy-arp<br> ip accounting output-packets<br> ip route-cache flow<br> ip tcp adjust-mss 1300<br> duplex auto<br> speed auto<br> crypto map WAN_crypto_map" <br>Сама проблема! Провайдер дал нам еще по одному ip адресу(в объединении) для каждого офиса. т.е. IP адреса вида 192.168.1.2 для одного офиса и 192.168.0.2 для другого так трафик будет ходить не через интернет а внутри провайдерской сети, что собственно дешевле. Конечно же мы повесили эти ip адреса на int fa4 как secondary. Как сделать так что бы Трафик ходил из офиса &#8470;1 че VPN через secondary ip адрес (dan13) https://www.opennet.me/openforum/vsluhforumID6/15475.html#9 Mon, 11 Feb 2008 06:43:12 GMT &gt;&gt;Вот я тут подумал, а нельзя ли с помощью crypto map <br>&gt;&gt;как нибудь сделать что бы трафик уходящий в другую сеть уходил <br>&gt;&gt;и шифровался с secondary ip ? Есть подозрения что это можно <br>&gt;&gt;сделать с помощью Router(config)#crypto ipsec profile ??? Как думаешь? <br>&gt;<br>&gt;Может, попробовать вместо secondary ip сделать loopback интерфейс??? <br>&gt;Тогда поможет: <br>&gt;crypto map WAN_crypto_map local-address Loopback0 <br><br>Сейчас попробую на тестовом стенде! Меня тоже такая мысль посещала. <br> VPN через secondary ip адрес (KostyaK) https://www.opennet.me/openforum/vsluhforumID6/15475.html#8 Mon, 11 Feb 2008 01:09:21 GMT &gt;Вот я тут подумал, а нельзя ли с помощью crypto map <br>&gt;как нибудь сделать что бы трафик уходящий в другую сеть уходил <br>&gt;и шифровался с secondary ip ? Есть подозрения что это можно <br>&gt;сделать с помощью Router(config)#crypto ipsec profile ??? Как думаешь? <br><br>Может, попробовать вместо secondary ip сделать loopback интерфейс???<br>Тогда поможет:<br>crypto map WAN_crypto_map local-address Loopback0<br><br> VPN через secondary ip адрес (dan13) https://www.opennet.me/openforum/vsluhforumID6/15475.html#7 Fri, 08 Feb 2008 11:09:39 GMT &gt;&gt;Вот я тут подумал, а нельзя ли с помощью crypto map <br>&gt;&gt;как нибудь сделать что бы трафик уходящий в другую сеть уходил <br>&gt;&gt;и шифровался с secondary ip ? Есть подозрения что это можно <br>&gt;&gt;сделать с помощью Router(config)#crypto ipsec profile ??? Как думаешь? <br>&gt;<br>&gt;Врать не буду - незнаю. И проверить сейчас просто неначем. <br>&gt;Поидее он и должен уходить со вторичного. Там кажется была проблема в <br>&gt;том что когда он приходит - он оказывается на первичном. <br><br>НЕ наоборот когда делаешь ping 192.168.1.1 sou vl1, он пытается с первичного адреса отправить на set peer вторичный и соответственно облом выходит! <br> VPN через secondary ip адрес (Giro) https://www.opennet.me/openforum/vsluhforumID6/15475.html#6 Fri, 08 Feb 2008 10:50:25 GMT &gt;Вот я тут подумал, а нельзя ли с помощью crypto map <br>&gt;как нибудь сделать что бы трафик уходящий в другую сеть уходил <br>&gt;и шифровался с secondary ip ? Есть подозрения что это можно <br>&gt;сделать с помощью Router(config)#crypto ipsec profile ??? Как думаешь? <br><br>Врать не буду - незнаю. И проверить сейчас просто неначем.<br>Поидее он и должен уходить со вторичного. Там кажется была проблема в том что когда он приходит - он оказывается на первичном.<br> VPN через secondary ip адрес (dan13) https://www.opennet.me/openforum/vsluhforumID6/15475.html#5 Fri, 08 Feb 2008 10:27:59 GMT &gt;&gt;Да это можно сделать только в одном офисе что бы он связывался <br>&gt;&gt;с другим а как быть со вторым у которого vpn <br>&gt;&gt;идет в Головной офис. Если мы там сделаем secondary ip как <br>&gt;&gt;первичный то у нас vpn сразу отвалиться. <br>&gt;<br>&gt;Так вы хотите и старый канал до головного офиса сохранить и между <br>&gt;офисами новый создать? <br>&gt;Может быть туннель на вторичных IP, а поверх него уже IPsec не <br>&gt;пробовали? <br><br>Вот я тут подумал, а нельзя ли с помощью crypto map как нибудь сделать что бы трафик уходящий в другую сеть уходил и шифровался с secondary ip ? Есть подозрения что это можно сделать с помощью Router(config)#crypto ipsec profile ??? Как думаешь?<br> VPN через secondary ip адрес (dan13) https://www.opennet.me/openforum/vsluhforumID6/15475.html#4 Fri, 08 Feb 2008 10:22:54 GMT &gt;&gt;Да это можно сделать только в одном офисе что бы он связывался <br>&gt;&gt;с другим а как быть со вторым у которого vpn <br>&gt;&gt;идет в Головной офис. Если мы там сделаем secondary ip как <br>&gt;&gt;первичный то у нас vpn сразу отвалиться. <br>&gt;<br>&gt;Так вы хотите и старый канал до головного офиса сохранить и между <br>&gt;офисами новый создать? <br>&gt;Может быть туннель на вторичных IP, а поверх него уже IPsec не <br>&gt;пробовали? <br><br>Да точно!!<br>Нет не пробывали пока. Нет ссылки конкретной для "туннель на вторичных IP, а поверх него уже IPsec" а то уже сил нет :-))) <br> VPN через secondary ip адрес (Giro) https://www.opennet.me/openforum/vsluhforumID6/15475.html#3 Fri, 08 Feb 2008 10:10:14 GMT &gt;Да это можно сделать только в одном офисе что бы он связывался <br>&gt;с другим а как быть со вторым у которого vpn <br>&gt;идет в Головной офис. Если мы там сделаем secondary ip как <br>&gt;первичный то у нас vpn сразу отвалиться. <br><br>Так вы хотите и старый канал до головного офиса сохранить и между офисами новый создать?<br>Может быть туннель на вторичных IP, а поверх него уже IPsec не пробовали?<br> VPN через secondary ip адрес (dan13) https://www.opennet.me/openforum/vsluhforumID6/15475.html#2 Fri, 08 Feb 2008 09:14:04 GMT &gt;&gt;почему то cisco 871 &#8470;1 пытается создать vpn с внешнего адреса. <br>&gt;&gt;Как заставить ее создавать туннель с secondary ip адреса? <br>&gt;<br>&gt;была такая же проблема. <br>&gt;Долго не заморачивался, так как сказали что проще сделать ip на котором <br>&gt;терминируется туннель первичным. <br><br>Да это можно сделать только в одном офисе что бы он связывался с другим а как быть со вторым у которого vpn идет в Головной офис. Если мы там сделаем secondary ip как первичный то у нас vpn сразу отвалиться.<br> VPN через secondary ip адрес (Giro) https://www.opennet.me/openforum/vsluhforumID6/15475.html#1 Fri, 08 Feb 2008 09:00:09 GMT &gt;почему то cisco 871 &#8470;1 пытается создать vpn с внешнего адреса. <br>&gt;Как заставить ее создавать туннель с secondary ip адреса? <br><br>была такая же проблема.<br>Долго не заморачивался, так как сказали что проще сделать ip на котором терминируется туннель первичным.<br>