https://www.opennet.me/openforum/vsluhforumID6/16782.html Есть две кисы, 2800, c2801-adventerprisek9-mz.124-16<br><br>У одной статический внешний IP, на другой pppoe клиент, с постоянно меняющимся IP (при каждом переподключении есесно). Нужно поднять между ними IP туннель.<br><br>Какие будут мысли?<br>pptp отпадает, потому что киса не умеет быть pptp клиентом.<br>пытался поразбираться с l2tp, но что-то эту китайскую грамоту не осилил.<br> https://www.opennet.me/openforum/vsluhforumID6/16782.html#12 Wed, 30 Jul 2008 12:46:56 GMT Ярослав, благодарю !!! <br><br> https://www.opennet.me/openforum/vsluhforumID6/16782.html#11 Wed, 30 Jul 2008 11:08:38 GMT &gt;Есть две кисы, 2800, c2801-adventerprisek9-mz.124-16 <br>&gt;<br>&gt;У одной статический внешний IP, на другой pppoe клиент, с постоянно меняющимся <br>&gt;IP (при каждом переподключении есесно). Нужно поднять между ними IP туннель. <br>&gt;<br>&gt;<br>&gt;Какие будут мысли? <br>&gt;pptp отпадает, потому что киса не умеет быть pptp клиентом. <br>&gt;пытался поразбираться с l2tp, но что-то эту китайскую грамоту не осилил. <br><br>cisco умеет быть pptp клиентом:)<br>darksid.blog.ru - ссылка на настройку. проверено на практике<br><br> https://www.opennet.me/openforum/vsluhforumID6/16782.html#10 Wed, 30 Jul 2008 10:35:53 GMT &gt;Ярослав, а можно "пример" такого конфига ? <br>&gt;<br>&gt;Я представляю как можно поднять IPsec внутри GRE (случай когда шифрование вешаем <br>&gt;на физический интерфейс).. представляю случай когда GRE живет внутри IPsec (шифрование <br>&gt;вешаем на тунельный) но как приземлить GRE на лупбек через тунель <br>&gt;IPsec чего-то не понимаю :( <br><br>как-то так<br><br>R1 (с динамическим адресом):<br>crypto isakmp policy 10<br>encr 3des<br>hash md5<br>authentication pre-share<br>crypto isakmp key VERYBIGSECRET address &lt;внешний статический адрес R2&gt;<br>!<br>!<br>crypto ipsec transform-set 3DES_MD5 esp-3des esp-md5-hmac<br>!<br>crypto map VPN 10 ipsec-isakmp<br>set peer &lt;внешний статический адрес R2&gt;<br>set transform-set 3DES_MD5<br>match address CRYPTO<br><br>ip access-list extended CRYPTO<br>permit ip host 1.1.1.2 host 1.1.1.1<br><br>ip route 1.1.1.1 255.255.255.255 &lt;адрес дефолт гейтвея или имя внешнего интерфейса&gt;<br><br>interface Loopback0<br> ip address 1.1.1.2 255.255.255.255<br><br>interface FastEthernet1/0 (внешний интерфейс)<br>crypto map VPN<br><br>interface Tunnel0<br>ip addr &lt;адрес ма https://www.opennet.me/openforum/vsluhforumID6/16782.html#9 Wed, 30 Jul 2008 10:22:40 GMT Ярослав, а можно "пример" такого конфига ?<br><br>Я представляю как можно поднять IPsec внутри GRE (случай когда шифрование вешаем на физический интерфейс).. представляю случай когда GRE живет внутри IPsec (шифрование вешаем на тунельный) но как приземлить GRE на лупбек через тунель IPsec чего-то не понимаю :( <br><br><br> https://www.opennet.me/openforum/vsluhforumID6/16782.html#8 Wed, 30 Jul 2008 08:48:31 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;Зачем pptp/l2tp если классического ipsec для решения вашей задачи более чем достаточно? <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;OSPF куда повесить в этом случае? <br>&gt;&gt;<br>&gt;&gt;Если вам нужна динамическая маршрутизация между маршрутизаторами, тогда либо GRE внутри IPSec, <br>&gt;&gt;либо апгрейдить IOS на 12.4T и использовать Dynamic VTI Ipsec. <br>&gt;<br>&gt;маленькое дополнение по поводу "не умеет быть pptp клиентом" = 871/851 могут <br>&gt;быть pptp/pppoe клиентом как и 1721(я не помню - кажется на <br>&gt;ней тоже поднимал) - почему этого не могут 28-е ? <br><br>использовать недокументированые фичи нет особого желания<br>конфиг должен быть понятен в понедельник рано утром<br> https://www.opennet.me/openforum/vsluhforumID6/16782.html#7 Wed, 30 Jul 2008 08:44:03 GMT &gt;2. <br>&gt;На меняющийся адрес GRE поднять нельзя, зато можно поднять на удаленный лупбек, <br>&gt;маршрут к которому лежит через туннель IPSec <br><br>Слишком громоздко получается, гораздо проще в моем случае l2tp, что я и сделал.<br> https://www.opennet.me/openforum/vsluhforumID6/16782.html#6 Wed, 30 Jul 2008 08:33:07 GMT &gt;&gt;маленькое дополнение по поводу "не умеет быть pptp клиентом" = 871/851 могут <br>&gt;&gt;быть pptp/pppoe клиентом как и 1721(я не помню - кажется на <br>&gt;&gt;ней тоже поднимал) - почему этого не могут 28-е ? <br>&gt;<br>&gt;И еще один вопрос - как можно поднять gre на удаленный меняющийся <br>&gt;адрес ? <br><br>1.<br>pppoe клиентами может быть любая циска официально<br>ppptp клиентом официально может быть только VPN3002 hardware client, другие продукты - только неофициально через "service internal"<br><br>2.<br>На меняющийся адрес GRE поднять нельзя, зато можно поднять на удаленный лупбек, маршрут к которому лежит через туннель IPSec<br> https://www.opennet.me/openforum/vsluhforumID6/16782.html#5 Wed, 30 Jul 2008 08:27:26 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;Зачем pptp/l2tp если классического ipsec для решения вашей задачи более чем достаточно? <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;OSPF куда повесить в этом случае? <br>&gt;&gt;<br>&gt;&gt;Если вам нужна динамическая маршрутизация между маршрутизаторами, тогда либо GRE внутри IPSec, <br>&gt;&gt;либо апгрейдить IOS на 12.4T и использовать Dynamic VTI Ipsec. <br>&gt;<br>&gt;маленькое дополнение по поводу "не умеет быть pptp клиентом" = 871/851 могут <br>&gt;быть pptp/pppoe клиентом как и 1721(я не помню - кажется на <br>&gt;ней тоже поднимал) - почему этого не могут 28-е ? <br><br>И еще один вопрос - как можно поднять gre на удаленный меняющийся адрес ? <br><br> https://www.opennet.me/openforum/vsluhforumID6/16782.html#4 Wed, 30 Jul 2008 08:23:57 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;Какие будут мысли? <br>&gt;&gt;&gt;&gt;pptp отпадает, потому что киса не умеет быть pptp клиентом. <br>&gt;&gt;&gt;&gt;пытался поразбираться с l2tp, но что-то эту китайскую грамоту не осилил. <br>&gt;&gt;&gt;<br>&gt;&gt;&gt;Зачем pptp/l2tp если классического ipsec для решения вашей задачи более чем достаточно? <br>&gt;&gt;<br>&gt;&gt;OSPF куда повесить в этом случае? <br>&gt;<br>&gt;Если вам нужна динамическая маршрутизация между маршрутизаторами, тогда либо GRE внутри IPSec, <br>&gt;либо апгрейдить IOS на 12.4T и использовать Dynamic VTI Ipsec. <br><br>маленькое дополнение по поводу "не умеет быть pptp клиентом" = 871/851 могут быть pptp/pppoe клиентом как и 1721(я не помню - кажется на ней тоже поднимал) - почему этого не могут 28-е ?<br>