Во-первых, хотел поблагодарить за участие, а то и помочь некому.> почему тогда сеть c.c.c.c с маской /28? Т.е. магазины не в ней,
> а в интернете?
сеть c.c.c.c/28 - это сеть белых IP выданных ISP, ну к примеру 58.235.72.176/28, Cisco имеет IP 58.235.72.177 и является шлюзом для хостов находящихся с ней в этой сети (почта, прокси, фтп и т.д.)
> И, кстати, тебе придется сделать 200 разных access листов, чтобы cisco поняла
> за каким пиром какая сеть сидит.
Это тоже понятно.
> Я вот никак не пойму. За какой сетью у тебя сидят все
> филиалы, если y.y.y.y твой интернет шлюз. Если они в интернете, то
> зачем вешать crypto map на внутренний интерфейс?
> Проще повесить его на GigabitEthernet0/2 и вообще убрать "ip route 172.17.0.0
> 255.255.0.0 GigabitEthernet0/0.1."
> Router не будет знать где 172.17 и все будет лить на шлюз
> по умолчению, и на внешнем интерфейсе cryto map перехватит все в
> ipsec
А через сеть y.y.y.y ну к примеру 195.17.46.100/32, вот эту сеть 58.235.72.176/28 провайдер маршрутизирует в Интернет. Надобность, чтобы магазины соединялись с IP 58.235.72.177. И через него маршрутизировались во внутренние сети. Про y.y.y.y можно в принципе забыть, как мне кажется. Ведь с.с.с.с (58.235.72.177) белый IP видный из Интернета. Т.е. GigabitEthernet0/0.1 это НЕ ВНУТРЕННИЙ интерфейс, он является белым IP и шлюзом для его сети в Интернет, да что уж там, мы все через него в Инет ходим, т.е. пакет в Интернет из внутренней сети офиса идёт, на Catalist 192.168.10.254 оттуда на Прокси (192.168.110.101/58.235.72.179). Если на Catalist прописан маршрут, сразу на роутер (192.168.10.1/58.235.72.177/195.17.46.102) для VPN'ов. А с роутера уже отправляется к провайдеру. Нам выделена сеть белых IP. У нас много внешних сервисов.
> Если у каждого филиала своя /28 из сети 172.17 то надо делать
> так:
> На cisco:
> !Для 1го магазина
> ip access-list ext Tunnel-to-Shop001
> permit ip 192.168.0.0 0.0.255.255 172.17.0.16 0.0.0.15
т.е. супернет вот так 192.168.0.0 0.0.255.255 172.17.0.0 0.0.255.255, чтобы охватить все магазины в одном access-list не получиться?
>[оверквотинг удален]
> set pfs group2
> set isakmp-profile Shops
> match address Tunnel-to-Shop002
> и так далее.
> interface GigabitEthernet0/2
> crypto map VPNShops
> На DLink`ах обратные access-list
> Local IP 172.17.0.16/29
> Remote IP 192.168.0.0/16
> Должно работать.
access-list на DLink'ах звучит страшно :)
> А ты собрался гонять IPX или еще чего похуже?
Да нет, не собирался. Мне надо магазинные машины в домен загнать. Ну удобство управления, удешевление администрирования, Group Policies, антивирус enterprise. Всё такое.
> Напоминаю, что в SEC лицензии у ipsec: Currently that limitation is 170Mbps
> throughput (85 Mbps in each direction) and 225 tunnels. Тебе хватит
> этого?
Надеюсь хватит, пока магазинов около 160, но открываются всё новые. Спасибо, кстати, за предупреждение. Не знал. Ну может через пару лет новый роутер купят.
Сейчас написано так:
crypto map VPNShops 10 ipsec-isakmp
set peer х.х.х.х
set security-association lifetime seconds 28800
set transform-set 3DES-SHA
set pfs group2
set isakmp-profile Shops
match address 101
!
interface GigabitEthernet0/0
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/0.1
description ===== DMZ =====
encapsulation dot1Q 7
ip address 58.235.72.177 255.255.255.240
crypto map VPNShops
!
interface GigabitEthernet0/1
no ip address
duplex auto
speed auto
!
interface GigabitEthernet0/1.1
encapsulation dot1Q 10
ip address 192.168.10.1 255.255.255.0
!
interface GigabitEthernet0/1.2
!
interface GigabitEthernet0/2
description ===== Internet =====
ip address 195.17.46.102 255.255.255.252
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 195.17.46.101
ip route 172.17.0.16 255.255.255.240 GigabitEthernet0/0.1
ip route 192.168.10.0 255.255.255.0 192.168.10.254
ip route 192.168.110.0 255.255.255.0 192.168.10.254
ip route 192.168.111.0 255.255.255.0 192.168.10.254
!
access-list 101 permit ip 192.168.10.0 0.0.0.255 172.17.0.16 0.0.0.15
access-list 101 permit icmp 192.168.10.0 0.0.0.255 172.17.0.16 0.0.0.15
access-list 101 deny ip any any
access-list 101 deny icmp any any
Проверял опять из дома. D-Link пишет что какие-то пакеты идут, но пинга нет. Туннель поднят. Почему у него в таблицах маршрутизации нету маршрута к 192.168.10.0? NAT-T, я правильно понимаю, нужен для того, чтобы хосты в сети за NAT в туннель IPSec не NATились?