форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Маршрутизаторы CISCO и др. оборудование. (VPN, VLAN, туннель)
Изначальное сообщение		[ Отслеживать ]

"Ipsec Source Interface пинги с роутера в удалённую подсеть"	+/–
Сообщение от Nerian on 14-Окт-10, 22:37
Добрый день! Настроен самый обычный что ни наесть IPSec между двумя роутерами. R1 и R2. Проблема уверен распространнёная и заключаеться в следующем. Так как в обоих сторонах ACL для VPN выглядят как: на одной: access-list 101 permit 192.168.0.0 0.0.0.255 192.168.1.0 0.0.0.255 на другой: access-list 101 permit 192.168.1.0 0.0.0.255 192.168.0.0 0.0.0.255 а у самих роутеров на внешних интерфесах адресса 88.88.88.88 и 77.77.77.77 то тунель поднимаеться, только если хосты за роутерами начнут обмен. а между самими роутерами пинга нету, т.к. по умолчанию source адресс идёт внешнего адресса, и следовательно трафик не заворачиваеться в ip sec тунель. да и позадумке если изменить acl и заворачивать его туда - в любом случае получиться что он придёт на удалённый роутер с внешним ип адресом, и тот не сможет вернуть ему ответ. если делать ping 77.77.77.77 source-interface fa0/0 (где ип 192.168.0.1) то пинг пойдёт... Собственно вопрос: можно ли как нибудь указать что source interface для всех пакетов это fa0/0 (где внутренний ип маршрутизатора)?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Ipsec Source Interface пинги с роутера в удалённую подсеть"	+/–
Сообщение от karen durinyan (ok) on 15-Окт-10, 08:56
>[оверквотинг удален] > а у самих роутеров на внешних интерфесах адресса 88.88.88.88 и 77.77.77.77 > то тунель поднимаеться, только если хосты за роутерами начнут обмен. > а между самими роутерами пинга нету, т.к. по умолчанию source адресс идёт > внешнего адресса, и следовательно трафик не заворачиваеться в ip sec тунель. > да и позадумке если изменить acl и заворачивать его туда - > в любом случае получиться что он придёт на удалённый роутер с > внешним ип адресом, и тот не сможет вернуть ему ответ. > если делать ping 77.77.77.77 source-interface fa0/0 (где ип 192.168.0.1) то пинг пойдёт... > Собственно вопрос: можно ли как нибудь указать что source interface для всех > пакетов это fa0/0 (где внутренний ип маршрутизатора)? честно говоря не понял в чем проблема? вы хотите что туннель всегда была поднята? если проблема в этом то можете конфигурировать скажем ntp между peer соответственно показав внутренныи интерфейс как source, или скажем ip sla icmp-echo src_ip_tun dst_ip_tun, итд.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "Ipsec Source Interface пинги с роутера в удалённую подсеть"	+/–
	Сообщение от Nerian on 15-Окт-10, 09:22
	По большому счёту просто интересно - это нормально, так у всех или нет? А так тоже думаю ip sla с source-ip и для ssh указать source interface и проблем нет.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема