The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Ipsec Source Interface пинги с роутера в удалённую подсеть"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение [ Отслеживать ]

"Ipsec Source Interface пинги с роутера в удалённую подсеть"  +/
Сообщение от Nerian email on 14-Окт-10, 22:37 
Добрый день!

Настроен самый обычный что ни наесть IPSec между двумя роутерами. R1 и R2.

Проблема уверен распространнёная и заключаеться в следующем.

Так как в обоих сторонах ACL для VPN выглядят как:
на одной:
access-list 101 permit 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255
на другой:
access-list 101 permit 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255

а у самих роутеров на внешних интерфесах адресса 88.88.88.88 и 77.77.77.77

то тунель поднимаеться, только если хосты за роутерами начнут обмен.

а между самими роутерами пинга нету, т.к. по умолчанию source адресс идёт внешнего адресса, и следовательно трафик не заворачиваеться в ip sec тунель. да и позадумке если изменить acl и заворачивать его туда - в любом случае получиться что он придёт на удалённый роутер с внешним ип адресом, и тот не сможет вернуть ему ответ.

если делать ping 77.77.77.77 source-interface fa0/0 (где ип 192.168.0.1) то пинг пойдёт...

Собственно вопрос: можно ли как нибудь указать что source interface для всех пакетов это fa0/0 (где внутренний ип маршрутизатора)?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Ipsec Source Interface пинги с роутера в удалённую подсеть"  +/
Сообщение от karen durinyan (ok) on 15-Окт-10, 08:56 
>[оверквотинг удален]
> а у самих роутеров на внешних интерфесах адресса 88.88.88.88 и 77.77.77.77
> то тунель поднимаеться, только если хосты за роутерами начнут обмен.
> а между самими роутерами пинга нету, т.к. по умолчанию source адресс идёт
> внешнего адресса, и следовательно трафик не заворачиваеться в ip sec тунель.
> да и позадумке если изменить acl и заворачивать его туда -
> в любом случае получиться что он придёт на удалённый роутер с
> внешним ип адресом, и тот не сможет вернуть ему ответ.
> если делать ping 77.77.77.77 source-interface fa0/0 (где ип 192.168.0.1) то пинг пойдёт...
> Собственно вопрос: можно ли как нибудь указать что source interface для всех
> пакетов это fa0/0 (где внутренний ип маршрутизатора)?

честно говоря не понял в чем проблема? вы хотите что туннель всегда была поднята? если проблема в этом то можете конфигурировать скажем ntp между peer соответственно показав внутренныи интерфейс как source, или скажем ip sla icmp-echo src_ip_tun dst_ip_tun, итд.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "Ipsec Source Interface пинги с роутера в удалённую подсеть"  +/
Сообщение от Nerian email on 15-Окт-10, 09:22 
По большому счёту просто интересно - это нормально, так у всех или нет?

А так тоже думаю ip sla с source-ip и для ssh указать source interface и проблем нет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру