forum.opennet.ru

Составление сообщения

Исходное сообщение

"Cisco 2921 <IPSec> DLink DSR-150"
Отправлено DKu, 23-Май-13 10:40

Во-первых, хотел поблагодарить за участие, а то и помочь некому.
> почему тогда сеть c.c.c.c с маской /28? Т.е. магазины не в ней,
> а в интернете?
сеть c.c.c.c/28 - это сеть белых IP выданных ISP, ну к примеру 58.235.72.176/28, Cisco имеет IP 58.235.72.177 и является шлюзом для хостов находящихся с ней в этой сети (почта, прокси, фтп и т.д.)
> И, кстати, тебе придется сделать 200 разных access листов, чтобы cisco поняла
> за каким пиром какая сеть сидит.
Это тоже понятно.
> Я вот никак не пойму. За какой сетью у тебя сидят все
> филиалы, если y.y.y.y твой интернет шлюз. Если они в интернете, то
> зачем вешать crypto map на внутренний интерфейс?
> Проще повесить его на  GigabitEthernet0/2 и вообще убрать "ip route 172.17.0.0
> 255.255.0.0 GigabitEthernet0/0.1."
> Router не будет знать где 172.17 и все будет лить на шлюз
> по умолчению, и на внешнем интерфейсе cryto map перехватит все в
> ipsec
А через сеть y.y.y.y ну к примеру 195.17.46.100/32, вот эту сеть 58.235.72.176/28 провайдер маршрутизирует в Интернет. Надобность, чтобы магазины соединялись с IP 58.235.72.177. И через него маршрутизировались во внутренние сети. Про y.y.y.y можно в принципе забыть, как мне кажется. Ведь с.с.с.с (58.235.72.177) белый IP видный из Интернета. Т.е. GigabitEthernet0/0.1 это НЕ ВНУТРЕННИЙ интерфейс, он является белым IP и шлюзом для его сети в Интернет, да что уж там, мы все через него в Инет ходим, т.е. пакет в Интернет из внутренней сети офиса идёт, на Catalist 192.168.10.254 оттуда на Прокси (192.168.110.101/58.235.72.179). Если на Catalist прописан маршрут, сразу на роутер (192.168.10.1/58.235.72.177/195.17.46.102) для VPN'ов. А с роутера уже отправляется к провайдеру. Нам выделена сеть белых IP. У нас много внешних сервисов.
> Если у каждого филиала своя /28 из сети 172.17 то надо делать
> так:
> На cisco:
> !Для 1го магазина
> ip access-list ext Tunnel-to-Shop001
>     permit ip 192.168.0.0 0.0.255.255 172.17.0.16 0.0.0.15
т.е. супернет вот так 192.168.0.0 0.0.255.255 172.17.0.0 0.0.255.255, чтобы охватить все магазины в одном access-list не получиться?
>[оверквотинг удален]
> set pfs group2
> set isakmp-profile Shops
> match address Tunnel-to-Shop002
> и так далее.
> interface GigabitEthernet0/2
>  crypto map VPNShops
> На DLink`ах обратные access-list
> Local IP 172.17.0.16/29
> Remote IP 192.168.0.0/16
> Должно работать.
access-list на DLink'ах звучит страшно :)
> А ты собрался гонять IPX или еще чего похуже?
Да нет, не собирался. Мне надо магазинные машины в домен загнать. Ну удобство управления, удешевление администрирования, Group Policies, антивирус enterprise. Всё такое.
> Напоминаю, что в SEC лицензии у ipsec: Currently that limitation is 170Mbps
> throughput (85 Mbps in each direction) and 225 tunnels. Тебе хватит
> этого?
Надеюсь хватит, пока магазинов около 160, но открываются всё новые. Спасибо, кстати, за предупреждение. Не знал. Ну может через пару лет новый роутер купят.
Сейчас написано так:
crypto map VPNShops 10 ipsec-isakmp
set peer х.х.х.х
set security-association lifetime seconds 28800
set transform-set 3DES-SHA
set pfs group2
set isakmp-profile Shops
match address 101
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.1
description ===== DMZ =====
encapsulation dot1Q 7
ip address 58.235.72.177 255.255.255.240
crypto map VPNShops
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet0/1.2
!
interface GigabitEthernet0/2
description ===== Internet =====
ip address 195.17.46.102 255.255.255.252
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 195.17.46.101
ip route 172.17.0.16 255.255.255.240 GigabitEthernet0/0.1
ip route 192.168.10.0 255.255.255.0 192.168.10.254
ip route 192.168.110.0 255.255.255.0 192.168.10.254
ip route 192.168.111.0 255.255.255.0 192.168.10.254
!
access-list 101 permit ip 192.168.10.0 0.0.0.255 172.17.0.16 0.0.0.15
access-list 101 permit icmp 192.168.10.0 0.0.0.255 172.17.0.16 0.0.0.15
access-list 101 deny   ip any any
access-list 101 deny   icmp any any
Проверял опять из дома. D-Link пишет что какие-то пакеты идут, но пинга нет. Туннель поднят. Почему у него в таблицах маршрутизации нету маршрута к 192.168.10.0? NAT-T, я правильно понимаю, нужен для того, чтобы хосты в сети за NAT в туннель IPSec не NATились?

Исходное сообщение
"Cisco 2921 <IPSec> DLink DSR-150" Отправлено DKu, 23-Май-13 10:40
Во-первых, хотел поблагодарить за участие, а то и помочь некому. > почему тогда сеть c.c.c.c с маской /28? Т.е. магазины не в ней, > а в интернете? сеть c.c.c.c/28 - это сеть белых IP выданных ISP, ну к примеру 58.235.72.176/28, Cisco имеет IP 58.235.72.177 и является шлюзом для хостов находящихся с ней в этой сети (почта, прокси, фтп и т.д.) > И, кстати, тебе придется сделать 200 разных access листов, чтобы cisco поняла > за каким пиром какая сеть сидит. Это тоже понятно. > Я вот никак не пойму. За какой сетью у тебя сидят все > филиалы, если y.y.y.y твой интернет шлюз. Если они в интернете, то > зачем вешать crypto map на внутренний интерфейс? > Проще повесить его на GigabitEthernet0/2 и вообще убрать "ip route 172.17.0.0 > 255.255.0.0 GigabitEthernet0/0.1." > Router не будет знать где 172.17 и все будет лить на шлюз > по умолчению, и на внешнем интерфейсе cryto map перехватит все в > ipsec А через сеть y.y.y.y ну к примеру 195.17.46.100/32, вот эту сеть 58.235.72.176/28 провайдер маршрутизирует в Интернет. Надобность, чтобы магазины соединялись с IP 58.235.72.177. И через него маршрутизировались во внутренние сети. Про y.y.y.y можно в принципе забыть, как мне кажется. Ведь с.с.с.с (58.235.72.177) белый IP видный из Интернета. Т.е. GigabitEthernet0/0.1 это НЕ ВНУТРЕННИЙ интерфейс, он является белым IP и шлюзом для его сети в Интернет, да что уж там, мы все через него в Инет ходим, т.е. пакет в Интернет из внутренней сети офиса идёт, на Catalist 192.168.10.254 оттуда на Прокси (192.168.110.101/58.235.72.179). Если на Catalist прописан маршрут, сразу на роутер (192.168.10.1/58.235.72.177/195.17.46.102) для VPN'ов. А с роутера уже отправляется к провайдеру. Нам выделена сеть белых IP. У нас много внешних сервисов. > Если у каждого филиала своя /28 из сети 172.17 то надо делать > так: > На cisco: > !Для 1го магазина > ip access-list ext Tunnel-to-Shop001 > permit ip 192.168.0.0 0.0.255.255 172.17.0.16 0.0.0.15 т.е. супернет вот так 192.168.0.0 0.0.255.255 172.17.0.0 0.0.255.255, чтобы охватить все магазины в одном access-list не получиться? >[оверквотинг удален] > set pfs group2 > set isakmp-profile Shops > match address Tunnel-to-Shop002 > и так далее. > interface GigabitEthernet0/2 > crypto map VPNShops > На DLink`ах обратные access-list > Local IP 172.17.0.16/29 > Remote IP 192.168.0.0/16 > Должно работать. access-list на DLink'ах звучит страшно :) > А ты собрался гонять IPX или еще чего похуже? Да нет, не собирался. Мне надо магазинные машины в домен загнать. Ну удобство управления, удешевление администрирования, Group Policies, антивирус enterprise. Всё такое. > Напоминаю, что в SEC лицензии у ipsec: Currently that limitation is 170Mbps > throughput (85 Mbps in each direction) and 225 tunnels. Тебе хватит > этого? Надеюсь хватит, пока магазинов около 160, но открываются всё новые. Спасибо, кстати, за предупреждение. Не знал. Ну может через пару лет новый роутер купят. Сейчас написано так: crypto map VPNShops 10 ipsec-isakmp set peer х.х.х.х set security-association lifetime seconds 28800 set transform-set 3DES-SHA set pfs group2 set isakmp-profile Shops match address 101 ! interface GigabitEthernet0/0 no ip address duplex auto speed auto ! interface GigabitEthernet0/0.1 description ===== DMZ ===== encapsulation dot1Q 7 ip address 58.235.72.177 255.255.255.240 crypto map VPNShops ! interface GigabitEthernet0/1 no ip address duplex auto speed auto ! interface GigabitEthernet0/1.1 encapsulation dot1Q 10 ip address 192.168.10.1 255.255.255.0 ! interface GigabitEthernet0/1.2 ! interface GigabitEthernet0/2 description ===== Internet ===== ip address 195.17.46.102 255.255.255.252 duplex auto speed auto ! ip route 0.0.0.0 0.0.0.0 195.17.46.101 ip route 172.17.0.16 255.255.255.240 GigabitEthernet0/0.1 ip route 192.168.10.0 255.255.255.0 192.168.10.254 ip route 192.168.110.0 255.255.255.0 192.168.10.254 ip route 192.168.111.0 255.255.255.0 192.168.10.254 ! access-list 101 permit ip 192.168.10.0 0.0.0.255 172.17.0.16 0.0.0.15 access-list 101 permit icmp 192.168.10.0 0.0.0.255 172.17.0.16 0.0.0.15 access-list 101 deny ip any any access-list 101 deny icmp any any Проверял опять из дома. D-Link пишет что какие-то пакеты идут, но пинга нет. Туннель поднят. Почему у него в таблицах маршрутизации нету маршрута к 192.168.10.0? NAT-T, я правильно понимаю, нужен для того, чтобы хосты в сети за NAT в туннель IPSec не NATились?

Ваше сообщение
Имя*:
EMail:	Для отправки новых сообщений в текущей нити на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Во-первых, хотел поблагодарить за участие, а то и помочь некому. >> почему тогда сеть c.c.c.c с маской /28? Т.е. магазины не в ней, >> а в интернете? > сеть c.c.c.c/28 - это сеть белых IP выданных ISP, ну к примеру > 58.235.72.176/28, Cisco имеет IP 58.235.72.177 и является шлюзом для хостов находящихся > с ней в этой сети (почта, прокси, фтп и т.д.) >> И, кстати, тебе придется сделать 200 разных access листов, чтобы cisco поняла >> за каким пиром какая сеть сидит. > Это тоже понятно. >> Я вот никак не пойму. За какой сетью у тебя сидят все >> филиалы, если y.y.y.y твой интернет шлюз. Если они в интернете, то >> зачем вешать crypto map на внутренний интерфейс? >> Проще повесить его на GigabitEthernet0/2 и вообще убрать "ip route 172.17.0.0 >> 255.255.0.0 GigabitEthernet0/0.1." >> Router не будет знать где 172.17 и все будет лить на шлюз >> по умолчению, и на внешнем интерфейсе cryto map перехватит все в >> ipsec > А через сеть y.y.y.y ну к примеру 195.17.46.100/32, вот эту сеть 58.235.72.176/28 > провайдер маршрутизирует в Интернет. Надобность, чтобы магазины соединялись с IP 58.235.72.177. > И через него маршрутизировались во внутренние сети. Про y.y.y.y можно в > принципе забыть, как мне кажется. Ведь с.с.с.с (58.235.72.177) белый IP видный > из Интернета. Т.е. GigabitEthernet0/0.1 это НЕ ВНУТРЕННИЙ интерфейс, он является белым > IP и шлюзом для его сети в Интернет, да что уж > там, мы все через него в Инет ходим, т.е. пакет в > Интернет из внутренней сети офиса идёт, на Catalist 192.168.10.254 оттуда на > Прокси (192.168.110.101/58.235.72.179). Если на Catalist прописан маршрут, сразу на роутер > (192.168.10.1/58.235.72.177/195.17.46.102) для VPN'ов. А с роутера уже отправляется > к провайдеру. Нам выделена сеть белых IP. У нас много внешних > сервисов. >> Если у каждого филиала своя /28 из сети 172.17 то надо делать >> так: >> На cisco: >> !Для 1го магазина >> ip access-list ext Tunnel-to-Shop001 >> permit ip 192.168.0.0 0.0.255.255 172.17.0.16 0.0.0.15 > т.е. супернет вот так 192.168.0.0 0.0.255.255 172.17.0.0 0.0.255.255, чтобы охватить все > магазины в одном access-list не получиться? >>[оверквотинг удален] >> set pfs group2 >> set isakmp-profile Shops >> match address Tunnel-to-Shop002 >> и так далее. >> interface GigabitEthernet0/2 >> crypto map VPNShops >> На DLink`ах обратные access-list >> Local IP 172.17.0.16/29 >> Remote IP 192.168.0.0/16 >> Должно работать. > access-list на DLink'ах звучит страшно :) >> А ты собрался гонять IPX или еще чего похуже? > Да нет, не собирался. Мне надо магазинные машины в домен загнать. Ну > удобство управления, удешевление администрирования, Group Policies, антивирус enterprise. > Всё такое. >> Напоминаю, что в SEC лицензии у ipsec: Currently that limitation is 170Mbps >> throughput (85 Mbps in each direction) and 225 tunnels. Тебе хватит >> этого? > Надеюсь хватит, пока магазинов около 160, но открываются всё новые. Спасибо, кстати, > за предупреждение. Не знал. Ну может через пару лет новый роутер > купят. > Сейчас написано так: > crypto map VPNShops 10 ipsec-isakmp > set peer х.х.х.х > set security-association lifetime seconds 28800 > set transform-set 3DES-SHA > set pfs group2 > set isakmp-profile Shops > match address 101 > ! > interface GigabitEthernet0/0 > no ip address > duplex auto > speed auto > ! > interface GigabitEthernet0/0.1 > description ===== DMZ ===== > encapsulation dot1Q 7 > ip address 58.235.72.177 255.255.255.240 > crypto map VPNShops > ! > interface GigabitEthernet0/1 > no ip address > duplex auto > speed auto > ! > interface GigabitEthernet0/1.1 > encapsulation dot1Q 10 > ip address 192.168.10.1 255.255.255.0 > ! > interface GigabitEthernet0/1.2 > ! > interface GigabitEthernet0/2 > description ===== Internet ===== > ip address 195.17.46.102 255.255.255.252 > duplex auto > speed auto > ! > ip route 0.0.0.0 0.0.0.0 195.17.46.101 > ip route 172.17.0.16 255.255.255.240 GigabitEthernet0/0.1 > ip route 192.168.10.0 255.255.255.0 192.168.10.254 > ip route 192.168.110.0 255.255.255.0 192.168.10.254 > ip route 192.168.111.0 255.255.255.0 192.168.10.254 > ! > access-list 101 permit ip 192.168.10.0 0.0.0.255 172.17.0.16 0.0.0.15 > access-list 101 permit icmp 192.168.10.0 0.0.0.255 172.17.0.16 0.0.0.15 > access-list 101 deny ip any any > access-list 101 deny icmp any any > Проверял опять из дома. D-Link пишет что какие-то пакеты идут, но пинга > нет. Туннель поднят. Почему у него в таблицах маршрутизации нету маршрута > к 192.168.10.0? NAT-T, я правильно понимаю, нужен для того, чтобы хосты > в сети за NAT в туннель IPSec не NATились?
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру