URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 5313
[ Назад ]

Исходное сообщение
"поднятие туннелей Cisco-Linux"
Отправлено Sergey S. Belonin , 12-Май-04 18:40

Помогите, плз! Нужно создать тонели GRE на несколько филиалов, у каждого подсетка 192.168.№филиала.0/24, стоят коммуникационные сервера Linux, в головной конторе Cisco 1720, на ней оптика, подсетка 192.168.1.0/24
через эту кошку ходит Инет, как сделать еще и VPN с филиалами ?

Содержание

поднятие туннелей Cisco-Linux,ipmanyak, 08:36 , 13-Май-04
- поднятие туннелей Cisco-Linux,Sergey S. Belonin, 14:28 , 14-Май-04

Сообщения в этом обсуждении

"поднятие туннелей Cisco-Linux"
Отправлено ipmanyak , 13-Май-04 08:36

>Помогите, плз! Нужно создать тонели GRE на несколько филиалов, у каждого подсетка
>192.168.№филиала.0/24, стоят коммуникационные сервера Linux, в головной конторе Cisco 1720, на
>ней оптика, подсетка 192.168.1.0/24
>
>через эту кошку ходит Инет, как сделать еще и VPN с филиалами
>?
не совсем понятно кто у тебя будет vpn сервером в головном офисе ? циска или линукс? на линуксе это делается просто , Ядро должно быть собрано с включенными опциями поддержки тунелей, vpn(GRE в частности). А так же с включенной опцией поддержки Advanced Routing.
, если у тебЯ включен firewall , то нам нем нужно пропускать порт 1723 и протокол gre номер 47, также тебе нужен пакет iproute2, после чего жмакаешь:
/IPROUTE2/iproute2/ip/ip tunnel add tunl1 mode ipip remote внеш_ip_удал local твой_внеш_ip
ifconfig tunl1 192.168.53.1 pointopoint 192.168.53.2 up
/sbin/route add -net 192.168.1.0 netmask 255.255.255.0 gw 192.168.53.2
и всё , на удаленной стороне на линуксе аналогично .
на циске не делал, но думаю, что примерно так, пусть гуру поправят:
interface Tunnel0
description ******************** IP tunnel over Internet **************
ip address 192.168.53.1 255.255.255.252
no ip directed-broadcast
tunnel source твой_внеш_ip_циски
tunnel destination внеш_ip_филиала

"поднятие туннелей Cisco-Linux"
Отправлено Sergey S. Belonin , 14-Май-04 14:28

большое спасибо всем, кто ответил
уже и сам разрулил
на КОШКЕ
int t0
tun sou IP_S
tun dest IP_D
ip nat out (чтобы из своей сетки народ пускать, надо еще не забыть ip nat inside прописать ...)
ip addr IP_T (на адрес туннеля потом заворачивается траффик внутренней сетки)
на Linux
ip tun add ...
ip addr ...
ip link up ...
ip route ...
после чего все ходит прекрасно ...
другой вопрос - как на кошке сделать прозрачный проброс туннеля на linux сервер за кошкой, чтобы функциональность тоннелей реализоввывал Linux ?
пишу
ip nat inside stat source IPАдСервераВЛокСети IPАдВнИнт extendable
а на внешнем интерфейсе пишу - ip nat outside ...
И не работает !!! - почему и пришлось поднимать туннель на кошке
еще вопрос - как организовать шифрацию туннелей ? вроде как кошка позволяет надстроить IPSec на туннель gre? а вот позволяет ли linux ?