https://opennet.ru/openforum/vsluhforumID6/22317.html Помогите разобраться.<br>Мне надо чтобы трафик который генерирует сама циска (VPN) ходил только через определённый интерфейс, только к одному провайдеру, а не по дефолту.<br>Конфиг такой:<br>interface GigabitEthernet0/0.2<br>encapsulation dot1Q 2<br>ip address 82.222.222.214 255.255.255.252<br>no ip unreachables<br>ip flow ingress<br>ip policy route-map VPNtoSklad<br>no cdp enable<br>crypto map Sklad<br><br>access-list 167 permit ip host 82.222.222.214 host 87.233.2.57<br>access-list 167 deny ip any any<br><br>route-map VPNtoSklad permit 5<br>match ip address 167<br>set ip next-hop 82.222.222.213<br><br>делаю:<br>ping 87.233.2.57 source GigabitEthernet0/0.2<br>пинг проходит...<br>затем смотрю:<br>sh access-list 167<br>и получаю:<br>Extended IP access list 167<br> 10 permit ip host 82.222.222.214 host 87.233.2.57<br> 20 deny ip any any (2365681 matches)<br>Т.е. ничего в него не попадает.<br>Почему?<br>Да, знаю что на интерфейсе ещё криптомап висит, но он же должен применяться после рутмапа..<br> https://opennet.ru/openforum/vsluhforumID6/22317.html#9 Fri, 04 Mar 2011 09:11:44 GMT &gt; Как вариант: PPTP или L2TP + IPSec, винда вполне умеет <br><br>Сейчас так и настроено (L2TP + IPSec), просто как в связи с этим применить Tunnel на циске я не очень понимаю.<br> https://opennet.ru/openforum/vsluhforumID6/22317.html#8 Fri, 04 Mar 2011 05:44:06 GMT Как вариант: PPTP или L2TP + IPSec, винда вполне умеет<br><br> https://opennet.ru/openforum/vsluhforumID6/22317.html#7 Thu, 03 Mar 2011 17:51:39 GMT 100% не умеет :) Купить 871? Хотя владельцы бизнеса как всегда режут бюджет под ноль.<br> https://opennet.ru/openforum/vsluhforumID6/22317.html#6 Thu, 03 Mar 2011 17:21:53 GMT &gt;[оверквотинг удален]<br>&gt; set transform-set P2P <br>&gt; ip route 87.233.2.57 255.255.255.255 82.222.222.213 <br>&gt; int tu111 <br>&gt; ip addr 1.1.1.1 255.255.255.252 <br>&gt; tunnel source 82.222.222.214 <br>&gt; tunnel destination 87.233.2.57 <br>&gt; tunnel mode ipsec ipv4 <br>&gt; tunnel protection ipsec profile P2P <br>&gt; ну и на той стороне симметрично. Весь полезный трафик просто заворачивать ip <br>&gt; route xx xx Tu111, нет гемороя с крипто-мапами.<br><br>Я бы тоже так сделал, но на той стороне сервер под виндами и он такого делать не умеет...наверное.<br><br><br> https://opennet.ru/openforum/vsluhforumID6/22317.html#5 Thu, 03 Mar 2011 17:13:32 GMT Я бы через туннель решил задачу.<br><br>crypto isakmp key QWERTY address 87.233.2.57<br>crypto ipsec transform-set P2P esp-aes comp-lzs <br>crypto ipsec profile P2P<br> set transform-set P2P <br><br>ip route 87.233.2.57 255.255.255.255 82.222.222.213 <br><br>int tu111<br> ip addr 1.1.1.1 255.255.255.252<br> tunnel source 82.222.222.214<br> tunnel destination 87.233.2.57<br> tunnel mode ipsec ipv4<br> tunnel protection ipsec profile P2P<br><br>ну и на той стороне симметрично. Весь полезный трафик просто заворачивать ip route xx xx Tu111, нет гемороя с крипто-мапами.<br><br>&gt;[оверквотинг удален]<br>&gt; затем смотрю: <br>&gt; sh access-list 167 <br>&gt; и получаю: <br>&gt; Extended IP access list 167 <br>&gt; 10 permit ip host 82.222.222.214 host 87.233.2.57 <br>&gt; 20 deny ip any any (2365681 matches) <br>&gt; Т.е. ничего в него не попадает.<br>&gt; Почему?<br>&gt; Да, знаю что на интерфейсе ещё криптомап висит, но он же должен <br>&gt; применяться после рутмапа..<br><br> https://opennet.ru/openforum/vsluhforumID6/22317.html#4 Thu, 03 Mar 2011 10:45:19 GMT &gt; Через стандартные IPSEC туннели PBR не работает и работать не будет, т.к <br>&gt; crypto map срабатывает после всего, в том числе и после роутинга. <br>&gt; При этом все next-hop, назначенные на этапе маршрутизации, игнорируются. Трафик распределяется <br>&gt; crypto map-ом по peer-ам в соответствии с Crypto ACL.<br>&gt; Выход: использовать GRE+IPSEC, т.к. распределение трафика делается именно роутингом на <br>&gt; нужный туннельный интерфейс. Соответственно, можно будет использовать PBR.<br><br>Моя проблема решилась бы, если бы можно было настроить стандартный IPSEC туннель через внутренний интерфейс циски, но сколько я не бился у меня не получилось.<br><br> https://opennet.ru/openforum/vsluhforumID6/22317.html#3 Thu, 03 Mar 2011 10:29:55 GMT &gt; для отбора трафика который генериться циской используйте ip local policy <br><br>Я так попробовал, пакеты стали попадать а ACL, но не все.<br>Наверное тут и правда дело в криптомапе...Но тут не всё просто, т.к. с той стороны стои комп с Windows и с ним через тунельный интерфейс не настроить (ну или настроить, но как я не знаю)<br> https://opennet.ru/openforum/vsluhforumID6/22317.html#2 Thu, 03 Mar 2011 10:13:14 GMT Через стандартные IPSEC туннели PBR не работает и работать не будет, т.к crypto map срабатывает после всего, в том числе и после роутинга. При этом все next-hop, назначенные на этапе маршрутизации, игнорируются. Трафик распределяется crypto map-ом по peer-ам в соответствии с Crypto ACL. <br><br>Выход: использовать GRE+IPSEC, т.к. распределение трафика делается именно роутингом на нужный туннельный интерфейс. Соответственно, можно будет использовать PBR.<br> https://opennet.ru/openforum/vsluhforumID6/22317.html#1 Thu, 03 Mar 2011 08:41:05 GMT для отбора трафика который генериться циской используйте ip local policy<br>