URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 11588
[ Назад ]

Исходное сообщение
"помогите с IPSEC тунелем"
Отправлено nick , 25-Сен-06 10:16

привет! IPSEC настроил все ок! но вот теперь ума не могу дать, хоть мелочь но засада. Незнаю как теперь заворачивать весь трафик только к тому IP с которым у меня IPSEC тунель? Цель такова чтобы был выход и инет и две удаленные локалки могли видеть друг друга. Как это сделать? вот пример тунеля:
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
crypto isakmp key ***** address ********
!
!
crypto ipsec transform-set TRANS esp-3des esp-md5-hmac
!
crypto map AGGR_MAP 39 ipsec-isakmp
set peer 1***********
set transform-set TRANS
match address IPSEC-list
!
interface Loopback100
ip address 10.240.9.2 255.255.255.255
!
interface Tunnel100
ip address 172.10.10.121 255.255.255.252
keepalive 60 3
tunnel source 10.240.9.2
tunnel destination 10.240.9.1
!
interface Ethernet0
ip address *******
crypto map AGGR_MAP
hold-queue 100 out
ip access-list extended IPSEClist
permit ip host 10.240.9.2 host 10.240.9.1
как мне применять листы доступа, чтобы и интернет был и тунель межды 2-я цисками?
спасибо!

Содержание

помогите с IPSEC тунелем,Изгой, 11:24 , 25-Сен-06
- помогите с IPSEC тунелем,nick, 12:22 , 25-Сен-06
помогите с IPSEC тунелем,SergTel, 21:55 , 25-Сен-06
- помогите с IPSEC тунелем,Изгой, 09:31 , 26-Сен-06
  - помогите с IPSEC тунелем,SergTel, 14:04 , 26-Сен-06
  - помогите с IPSEC тунелем,SergTel, 14:14 , 26-Сен-06
    - помогите с IPSEC тунелем,Изгой, 14:38 , 26-Сен-06
      - помогите с IPSEC тунелем,SergTel, 18:59 , 28-Сен-06
        
        помогите с IPSEC тунелем,Изгой, 15:56 , 29-Сен-06

Сообщения в этом обсуждении

"помогите с IPSEC тунелем"
Отправлено Изгой , 25-Сен-06 11:24

>привет! IPSEC настроил все ок! но вот теперь ума не могу дать,
>хоть мелочь но засада. Незнаю как теперь заворачивать весь трафик только
>к тому IP с которым у меня IPSEC тунель? Цель такова
>чтобы был выход и инет и две удаленные локалки могли видеть
>друг друга. Как это сделать? вот пример тунеля:
>
>crypto isakmp policy 10
> encr 3des
> hash md5
> authentication pre-share
>crypto isakmp key ***** address ********
>!
>!
>crypto ipsec transform-set TRANS esp-3des esp-md5-hmac
>!
>crypto map AGGR_MAP 39 ipsec-isakmp
> set peer 1***********
> set transform-set TRANS
> match address IPSEC-list
>!
>interface Loopback100
> ip address 10.240.9.2 255.255.255.255
>!
>interface Tunnel100
> ip address 172.10.10.121 255.255.255.252
> keepalive 60 3
> tunnel source 10.240.9.2
> tunnel destination 10.240.9.1
>!
>interface Ethernet0
> ip address *******
> crypto map AGGR_MAP
> hold-queue 100 out
>
>ip access-list extended IPSEClist
> permit ip host 10.240.9.2 host 10.240.9.1
>как мне применять листы доступа, чтобы и интернет был и тунель межды
>2-я цисками?
>спасибо!
PBR скорее всего , к примеру то что на порт 80 идёт в обход туннеля.

"помогите с IPSEC тунелем"
Отправлено nick , 25-Сен-06 12:22

получается что с помощью ACL роутер направляет трафик туда которому соответствует данный ACL, т.е. если пакет сответствует листу то он направляется именно туда где примененн данный ACL.правильно? и еще по поводу ip route как правильно применять его?

"помогите с IPSEC тунелем"
Отправлено SergTel , 25-Сен-06 21:55

>привет! IPSEC настроил все ок! но вот теперь ума не могу дать,
>хоть мелочь но засада. Незнаю как теперь заворачивать весь трафик только
>к тому IP с которым у меня IPSEC тунель? Цель такова
>чтобы был выход и инет и две удаленные локалки могли видеть
>друг друга. Как это сделать? вот пример тунеля:
>
>crypto isakmp policy 10
> encr 3des
> hash md5
> authentication pre-share
>crypto isakmp key ***** address ********
>!
>!
>crypto ipsec transform-set TRANS esp-3des esp-md5-hmac
>!
>crypto map AGGR_MAP 39 ipsec-isakmp
> set peer 1***********
> set transform-set TRANS
> match address IPSEC-list
>!
>interface Loopback100
> ip address 10.240.9.2 255.255.255.255
>!
>interface Tunnel100
> ip address 172.10.10.121 255.255.255.252
> keepalive 60 3
> tunnel source 10.240.9.2
> tunnel destination 10.240.9.1
>!
>interface Ethernet0
> ip address *******
> crypto map AGGR_MAP
> hold-queue 100 out
>
>ip access-list extended IPSEClist
> permit ip host 10.240.9.2 host 10.240.9.1
>как мне применять листы доступа, чтобы и интернет был и тунель межды
>2-я цисками?
>спасибо!

1)Выход в INET только через NAT (для users)
2)чтобы завернуть весь поток: ip route 0.0.0.0 0.0.0.0 Tunnel 100
чтобы завернуть только маршрут(ы): ip route xx.xx.xx.xx aa.aa.aa.aa Tunnel 100
3)Если соединяешь две сетки с кучей сетей(подсетей) лутше использовать протокол динамической маршрутизации и связать две сетки динамикой (меньше ошибок и исключение тупиковых петель)

"помогите с IPSEC тунелем"
Отправлено Изгой , 26-Сен-06 09:31

>>привет! IPSEC настроил все ок! но вот теперь ума не могу дать,
>>хоть мелочь но засада. Незнаю как теперь заворачивать весь трафик только
>>к тому IP с которым у меня IPSEC тунель? Цель такова
>>чтобы был выход и инет и две удаленные локалки могли видеть
>>друг друга. Как это сделать? вот пример тунеля:
>>
>>crypto isakmp policy 10
>> encr 3des
>> hash md5
>> authentication pre-share
>>crypto isakmp key ***** address ********
>>!
>>!
>>crypto ipsec transform-set TRANS esp-3des esp-md5-hmac
>>!
>>crypto map AGGR_MAP 39 ipsec-isakmp
>> set peer 1***********
>> set transform-set TRANS
>> match address IPSEC-list
>>!
>>interface Loopback100
>> ip address 10.240.9.2 255.255.255.255
>>!
>>interface Tunnel100
>> ip address 172.10.10.121 255.255.255.252
>> keepalive 60 3
>> tunnel source 10.240.9.2
>> tunnel destination 10.240.9.1
>>!
>>interface Ethernet0
>> ip address *******
>> crypto map AGGR_MAP
>> hold-queue 100 out
>>
>>ip access-list extended IPSEClist
>> permit ip host 10.240.9.2 host 10.240.9.1
>>как мне применять листы доступа, чтобы и интернет был и тунель межды
>>2-я цисками?
>>спасибо!
>
>
>1)Выход в INET только через NAT (для users)
>2)чтобы завернуть весь поток: ip route 0.0.0.0 0.0.0.0 Tunnel 100
> чтобы завернуть только маршрут(ы): ip route xx.xx.xx.xx aa.aa.aa.aa Tunnel 100
>
>3)Если соединяешь две сетки с кучей сетей(подсетей) лутше использовать протокол динамической маршрутизации
>и связать две сетки динамикой (меньше ошибок и исключение тупиковых петель)
>
в данном случае если адрес на внутреннем шлюзе являеться серым и сеть за ним серая соответственно можно прописать пользователей через нат или скорее через пат , только в акцес листе на нат надо указать при использование какого порта будет натироваться трафик , чтоб было разделение
какой трафик уходит в туннель а который уходит в интеренет , тогда нужно прописывать два
статических маршрута , один на следующий хоп , другой на туннель, а вообще если использовать туннельный режим ипсек то зачем ещё туннель сверху? ,
в любом случае надо пробывать , всё что пишу моё имхо.

"помогите с IPSEC тунелем"
Отправлено SergTel , 26-Сен-06 14:04

Главное достоинство туннеля в отсутствии лишних хопов

"помогите с IPSEC тунелем"
Отправлено SergTel , 26-Сен-06 14:14

1)У меня IPSec прекрасно работает совместно с NAT
NAT- имелось ввиду общее название трансляции
кстати на www.cisco.com есть очень хорошие примеры
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec...
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...

"помогите с IPSEC тунелем"
Отправлено Изгой , 26-Сен-06 14:38

>1)У меня IPSec прекрасно работает совместно с NAT
>NAT- имелось ввиду общее название трансляции
>кстати на www.cisco.com есть очень хорошие примеры
> http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
>
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tec...
>
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_con...
Да спасибо освежил память , 3 ссылка то что надо , трафик который идёт по ipsec туннелю не натится , весь остальной уходит куда угодно. Но всё таки у меня вопрос остаёться зачем сверху ещё гре туннель наварачивать, отсутствие хопов , но ведь в туннельном режиме всё равно проходяться весь путь , просто травик инкапсулируеться в адреса внешних шлюзов ??
Этот вопрос для меня открытым так и остался.

"помогите с IPSEC тунелем"
Отправлено SergTel , 28-Сен-06 18:59

>Да спасибо освежил память , 3 ссылка то что надо ,
>трафик который идёт по ipsec туннелю не натится , весь
>остальной уходит куда угодно. Но всё таки у меня вопрос остаёться
>зачем сверху ещё гре туннель наварачивать, отсутствие хопов , но ведь
>в туннельном режиме всё равно проходяться весь путь , просто травик
>инкапсулируеться в адреса внешних шлюзов ??
>Этот вопрос для меня открытым так и остался.
При соединении двух приватных сеток без тунеля никуда.
Тунель заворачивает весь пакет с приватнми адресами источника и диста.

"помогите с IPSEC тунелем"
Отправлено Изгой , 29-Сен-06 15:56

>>Да спасибо освежил память , 3 ссылка то что надо ,
>>трафик который идёт по ipsec  туннелю не натится , весь
>>остальной уходит куда угодно. Но всё таки у меня вопрос остаёться
>>зачем сверху ещё гре туннель наварачивать, отсутствие хопов , но ведь
>>в туннельном режиме всё равно проходяться весь путь , просто травик
>>инкапсулируеться в адреса внешних шлюзов ??
>>Этот вопрос для меня открытым так и остался.
>При соединении двух приватных сеток без тунеля никуда.
>Тунель заворачивает весь пакет с приватнми адресами источника и диста.

Ну а что делает ipsec  в туннельном режиме ? именно заварачивает приватные адреса в адреса внешних шлюзов, поэтому есть туннельный режим и транспортный , если же вам нужно прокидывать не ip трафик тогда да нужно использовать gre и ipsec  в транспортном режиме
если нужно устойчивое шифрование.