- помогите с IPSEC тунелем,
 Изгой, 11:24 , 25-Сен-06 (1)>привет! IPSEC настроил все ок! но вот теперь ума не могу дать,
>хоть мелочь но засада. Незнаю как теперь заворачивать весь трафик только
>к тому IP с которым у меня IPSEC тунель? Цель такова
>чтобы был выход и инет и две удаленные локалки могли видеть
>друг друга. Как это сделать? вот пример тунеля:
>
>crypto isakmp policy 10
> encr 3des
> hash md5
> authentication pre-share
>crypto isakmp key ***** address ********
>!
>!
>crypto ipsec transform-set TRANS esp-3des esp-md5-hmac
>!
>crypto map AGGR_MAP 39 ipsec-isakmp
> set peer 1***********
> set transform-set TRANS
> match address IPSEC-list
>!
>interface Loopback100
> ip address 10.240.9.2 255.255.255.255
>!
>interface Tunnel100
> ip address 172.10.10.121 255.255.255.252
> keepalive 60 3
> tunnel source 10.240.9.2
> tunnel destination 10.240.9.1
>!
>interface Ethernet0
> ip address *******
> crypto map AGGR_MAP
> hold-queue 100 out
>
>ip access-list extended IPSEClist
> permit ip host 10.240.9.2 host 10.240.9.1
>как мне применять листы доступа, чтобы и интернет был и тунель межды
>2-я цисками?
>спасибо! PBR скорее всего , к примеру то что на порт 80 идёт в обход туннеля.
- помогите с IPSEC тунелем, nick, 12:22 , 25-Сен-06 (2)
получается что с помощью ACL роутер направляет трафик туда которому соответствует данный ACL, т.е. если пакет сответствует листу то он направляется именно туда где примененн данный ACL.правильно? и еще по поводу ip route как правильно применять его?
- помогите с IPSEC тунелем, SergTel, 21:55 , 25-Сен-06 (3)
>привет! IPSEC настроил все ок! но вот теперь ума не могу дать,
>хоть мелочь но засада. Незнаю как теперь заворачивать весь трафик только
>к тому IP с которым у меня IPSEC тунель? Цель такова
>чтобы был выход и инет и две удаленные локалки могли видеть
>друг друга. Как это сделать? вот пример тунеля:
>
>crypto isakmp policy 10
> encr 3des
> hash md5
> authentication pre-share
>crypto isakmp key ***** address ********
>!
>!
>crypto ipsec transform-set TRANS esp-3des esp-md5-hmac
>!
>crypto map AGGR_MAP 39 ipsec-isakmp
> set peer 1***********
> set transform-set TRANS
> match address IPSEC-list
>!
>interface Loopback100
> ip address 10.240.9.2 255.255.255.255
>!
>interface Tunnel100
> ip address 172.10.10.121 255.255.255.252
> keepalive 60 3
> tunnel source 10.240.9.2
> tunnel destination 10.240.9.1
>!
>interface Ethernet0
> ip address *******
> crypto map AGGR_MAP
> hold-queue 100 out
>
>ip access-list extended IPSEClist
> permit ip host 10.240.9.2 host 10.240.9.1
>как мне применять листы доступа, чтобы и интернет был и тунель межды
>2-я цисками?
>спасибо!
1)Выход в INET только через NAT (для users)
2)чтобы завернуть весь поток: ip route 0.0.0.0 0.0.0.0 Tunnel 100
чтобы завернуть только маршрут(ы): ip route xx.xx.xx.xx aa.aa.aa.aa Tunnel 100
3)Если соединяешь две сетки с кучей сетей(подсетей) лутше использовать протокол динамической маршрутизации и связать две сетки динамикой (меньше ошибок и исключение тупиковых петель)
- помогите с IPSEC тунелем, Изгой, 09:31 , 26-Сен-06 (4)
>>привет! IPSEC настроил все ок! но вот теперь ума не могу дать,
>>хоть мелочь но засада. Незнаю как теперь заворачивать весь трафик только
>>к тому IP с которым у меня IPSEC тунель? Цель такова
>>чтобы был выход и инет и две удаленные локалки могли видеть
>>друг друга. Как это сделать? вот пример тунеля:
>>
>>crypto isakmp policy 10
>> encr 3des
>> hash md5
>> authentication pre-share
>>crypto isakmp key ***** address ********
>>!
>>!
>>crypto ipsec transform-set TRANS esp-3des esp-md5-hmac
>>!
>>crypto map AGGR_MAP 39 ipsec-isakmp
>> set peer 1***********
>> set transform-set TRANS
>> match address IPSEC-list
>>!
>>interface Loopback100
>> ip address 10.240.9.2 255.255.255.255
>>!
>>interface Tunnel100
>> ip address 172.10.10.121 255.255.255.252
>> keepalive 60 3
>> tunnel source 10.240.9.2
>> tunnel destination 10.240.9.1
>>!
>>interface Ethernet0
>> ip address *******
>> crypto map AGGR_MAP
>> hold-queue 100 out
>>
>>ip access-list extended IPSEClist
>> permit ip host 10.240.9.2 host 10.240.9.1
>>как мне применять листы доступа, чтобы и интернет был и тунель межды
>>2-я цисками?
>>спасибо!
>
>
>1)Выход в INET только через NAT (для users)
>2)чтобы завернуть весь поток: ip route 0.0.0.0 0.0.0.0 Tunnel 100
> чтобы завернуть только маршрут(ы): ip route xx.xx.xx.xx aa.aa.aa.aa Tunnel 100
>
>3)Если соединяешь две сетки с кучей сетей(подсетей) лутше использовать протокол динамической маршрутизации
>и связать две сетки динамикой (меньше ошибок и исключение тупиковых петель)
>в данном случае если адрес на внутреннем шлюзе являеться серым и сеть за ним серая соответственно можно прописать пользователей через нат или скорее через пат , только в акцес листе на нат надо указать при использование какого порта будет натироваться трафик , чтоб было разделение
какой трафик уходит в туннель а который уходит в интеренет , тогда нужно прописывать два
статических маршрута , один на следующий хоп , другой на туннель, а вообще если использовать туннельный режим ипсек то зачем ещё туннель сверху? ,
в любом случае надо пробывать , всё что пишу моё имхо.
- помогите с IPSEC тунелем, SergTel, 14:04 , 26-Сен-06 (5)
Главное достоинство туннеля в отсутствии лишних хопов
- помогите с IPSEC тунелем, SergTel, 14:14 , 26-Сен-06 (6)
- помогите с IPSEC тунелем, Изгой, 14:38 , 26-Сен-06 (7)
- помогите с IPSEC тунелем, SergTel, 18:59 , 28-Сен-06 (8)
>Да спасибо освежил память , 3 ссылка то что надо ,
>трафик который идёт по ipsec туннелю не натится , весь
>остальной уходит куда угодно. Но всё таки у меня вопрос остаёться
>зачем сверху ещё гре туннель наварачивать, отсутствие хопов , но ведь
>в туннельном режиме всё равно проходяться весь путь , просто травик
>инкапсулируеться в адреса внешних шлюзов ??
>Этот вопрос для меня открытым так и остался.
При соединении двух приватных сеток без тунеля никуда.
Тунель заворачивает весь пакет с приватнми адресами источника и диста.
- помогите с IPSEC тунелем, Изгой, 15:56 , 29-Сен-06 (9)
>>Да спасибо освежил память , 3 ссылка то что надо ,
>>трафик который идёт по ipsec туннелю не натится , весь
>>остальной уходит куда угодно. Но всё таки у меня вопрос остаёться
>>зачем сверху ещё гре туннель наварачивать, отсутствие хопов , но ведь
>>в туннельном режиме всё равно проходяться весь путь , просто травик
>>инкапсулируеться в адреса внешних шлюзов ??
>>Этот вопрос для меня открытым так и остался.
>При соединении двух приватных сеток без тунеля никуда.
>Тунель заворачивает весь пакет с приватнми адресами источника и диста.
Ну а что делает ipsec в туннельном режиме ? именно заварачивает приватные адреса в адреса внешних шлюзов, поэтому есть туннельный режим и транспортный , если же вам нужно прокидывать не ip трафик тогда да нужно использовать gre и ipsec в транспортном режиме
если нужно устойчивое шифрование.
|
Версия для распечатки
помогите с IPSEC тунелем, 
