- Маршрутизация за тунелем,
 Virtual77, 14:31 , 03-Июн-14 (1)>[оверквотинг удален]
> 1 <1 ms <1 ms
> <1 ms 10.10.10.1
> 2 1 ms
> 1 ms 1 ms 18.1.1.1
> 3 *
> * *
> Превышен интервал ожидания для запроса.
> 4 *
> * *
> Превышен интервал ожидания для запроса.внимательно изучить таблицы маршрутизации на обоих роутерах, либо показать их сюда
все таки нужно маршруты для ЛАНов заруливать в тунельные интерфейсы, судя по трейсу маршрут улетает на 18.1.1.1 а должен улетать в интерфейс туннеля(какие в тунеле IP?)
- Маршрутизация за тунелем, zabrat, 15:10 , 03-Июн-14 (2)
>[оверквотинг удален]
>> 3 *
>> * *
>> Превышен интервал ожидания для запроса.
>> 4 *
>> * *
>> Превышен интервал ожидания для запроса.
> внимательно изучить таблицы маршрутизации на обоих роутерах, либо показать их сюда
> все таки нужно маршруты для ЛАНов заруливать в тунельные интерфейсы, судя по
> трейсу маршрут улетает на 18.1.1.1 а должен улетать в интерфейс туннеля(какие
> в тунеле IP?) так это и есть IP тунеля 192.168.1.2 с одной стороны и 18.1.1.1 с другой. настраивал как на сайте d-link.
- Маршрутизация за тунелем, Virtual77, 17:22 , 03-Июн-14 (5)
>[оверквотинг удален]
>>> Превышен интервал ожидания для запроса.
>>> 4 *
>>> * *
>>> Превышен интервал ожидания для запроса.
>> внимательно изучить таблицы маршрутизации на обоих роутерах, либо показать их сюда
>> все таки нужно маршруты для ЛАНов заруливать в тунельные интерфейсы, судя по
>> трейсу маршрут улетает на 18.1.1.1 а должен улетать в интерфейс туннеля(какие
>> в тунеле IP?)
> так это и есть IP тунеля 192.168.1.2 с одной стороны и 18.1.1.1
> с другой. настраивал как на сайте d-link.хм, я всегда думал что тунельные интерфейсы принято строить p-t-p Точка-точка
ну и соответственно ИП на обоих концах тунеля должны быть что-то типа
192.168.1.1/255.255.255.252 и 192.168.1.2/255.255.255.252 , но ни как не 18.1.1.1
давай так - о каких тунелях идет речь? GRE или тебе провайдер дает канал IP-VPN(L2-VPN, L3-VPN)
- Маршрутизация за тунелем, zabrat, 21:26 , 03-Июн-14 (6)
>[оверквотинг удален]
>>> все таки нужно маршруты для ЛАНов заруливать в тунельные интерфейсы, судя по
>>> трейсу маршрут улетает на 18.1.1.1 а должен улетать в интерфейс туннеля(какие
>>> в тунеле IP?)
>> так это и есть IP тунеля 192.168.1.2 с одной стороны и 18.1.1.1
>> с другой. настраивал как на сайте d-link.
> хм, я всегда думал что тунельные интерфейсы принято строить p-t-p Точка-точка
> ну и соответственно ИП на обоих концах тунеля должны быть что-то типа
> 192.168.1.1/255.255.255.252 и 192.168.1.2/255.255.255.252 , но ни как не 18.1.1.1
> давай так - о каких тунелях идет речь? GRE или тебе провайдер
> дает канал IP-VPN(L2-VPN, L3-VPN) да я так и строил если cisco cisco или сisco freebsd, а тут dlink вот как настроено, получается напрямую и не gre
http://www.dlink.ru/ru/faq/92/499.html Завтра буду дольше разбираться. Еще хотел спросить. Нашел рабочий adsl router Cisco 877, можно ли его использовать для туннеля с 2901, чтоб по нормальному через gre настроить. Или он сильно по функционалу обрезан?
- Маршрутизация за тунелем, Virtual77, 08:51 , 04-Июн-14 (7)
>[оверквотинг удален]
>> 192.168.1.1/255.255.255.252 и 192.168.1.2/255.255.255.252 , но ни как не 18.1.1.1
>> давай так - о каких тунелях идет речь? GRE или тебе провайдер
>> дает канал IP-VPN(L2-VPN, L3-VPN)
> да я так и строил если cisco cisco или сisco freebsd, а
> тут dlink вот как настроено, получается напрямую и не gre
> http://www.dlink.ru/ru/faq/92/499.html
> Завтра буду дольше разбираться.
> Еще хотел спросить. Нашел рабочий adsl router Cisco 877, можно ли его
> использовать для туннеля с 2901, чтоб по нормальному через gre настроить.
> Или он сильно по функционалу обрезан?у тебя ipsec в принципе должно работать, нужно смотреть таблицы маршрутизации и конфиги
АДСЛ роутер скорее всего не подойдет
если хочешь дешево и качественно то тебе вместо Длинка нужен Mikrotik 751 или 951 серии
- Маршрутизация за тунелем, Andrey, 09:41 , 04-Июн-14 (8)
>>[оверквотинг удален]
> Нашел рабочий adsl router Cisco 877, можно ли его
> использовать для туннеля с 2901, чтоб по нормальному через gre настроить.
> Или он сильно по функционалу обрезан?Зависит от IOS на 12.4 и ранее или от лицензии на 15.0 и выше. Смотрите show version и уточняйте имеющийся функционал через cisco.com/go/fn
- Маршрутизация за тунелем, Andrey, 15:10 , 03-Июн-14 (3)
>[оверквотинг удален]
> 1 <1 ms <1 ms
> <1 ms 10.10.10.1
> 2 1 ms
> 1 ms 1 ms 18.1.1.1
> 3 *
> * *
> Превышен интервал ожидания для запроса.
> 4 *
> * *
> Превышен интервал ожидания для запроса.показать сюда настройки на туннельном интерфейсе на C2901. Наверняка там нет ip nat inside. А еще лучше - показать полные настройки обоих устройств.
- Маршрутизация за тунелем, sn, 16:07 , 03-Июн-14 (4)
>[оверквотинг удален]
>> 2 1 ms
>> 1 ms 1 ms 18.1.1.1
>> 3 *
>> * *
>> Превышен интервал ожидания для запроса.
>> 4 *
>> * *
>> Превышен интервал ожидания для запроса.
> показать сюда настройки на туннельном интерфейсе на C2901. Наверняка там нет ip
> nat inside. А еще лучше - показать полные настройки обоих устройств. причем ip nat inside не прокатит, надо либо через лупбек, либо через ip nat enable делать
- Маршрутизация за тунелем, zabrat, 17:16 , 04-Июн-14 (9)
Ну значит поставил 877 вместо d-link настроил туннели с шифрованием. Сети видят друг друга. Вот конфигурации туннелей
----877----
interface Tunnel88
ip address 192.168.88.1 255.255.255.252
tunnel source Vlan2
tunnel destination 18.1.1.1
tunnel protection ipsec profile ipsec
!
interface FastEthernet0
switchport access vlan 2
!
interface Vlan1
ip address 10.10.10.1 255.255.255.0
ip nat inside
ip virtual-reassembly
!
interface Vlan2
ip address 192.168.1.2 255.255.255.0
ip nat outside
ip virtual-reassembly
!
ip nat inside source list 100 interface Vlan2 overload
!
access-list 100 permit ip 10.10.10.0 0.0.0.255 any
!
ip route 0.0.0.0 0.0.0.0 192.168.1.1
ip route 10.10.11.0 255.255.255.0 192.168.88.2----2901----
!
interface Tunnel88
ip address 192.168.88.2 255.255.255.252
tunnel source GigabitEthernet0/1
tunnel destination 192.168.1.2
tunnel protection ipsec profile ipsec
!
interface GigabitEthernet0/1
ip address 18.1.1.1 255.255.255.128
ip nat outside
ip virtual-reassembly in
duplex auto
speed auto
!
ip route 0.0.0.0 0.0.0.0 18.1.1.10
ip route 10.10.10.0 255.255.255.0 192.168.88.1
!
ip nat inside source list IPFW interface GigabitEthernet0/1 overload
!
ip access-list extended IPFW
permit ip 10.10.11.0 255.255.255.0 any Смысл такой 192.168.88.0/32 это виртуальная сеть
если с машины 10.10.10.3 пинговать 10.10.11.3 всё норм и обратно тоже теперь более менее получилось. дальше надо пользователям из 10.10.10.0/24 разрешить ходить в интернет через туннель через interface GigabitEthernet0/1. не соображу пока как такое реализовать....
- Маршрутизация за тунелем, Andrey, 08:54 , 05-Июн-14 (10)
>[оверквотинг удален]
> !
> ip nat inside source list IPFW interface GigabitEthernet0/1 overload
> !
> ip access-list extended IPFW
> permit ip 10.10.11.0 255.255.255.0 any
> Смысл такой 192.168.88.0/32 это виртуальная сеть
> если с машины 10.10.10.3 пинговать 10.10.11.3 всё норм и обратно тоже
> теперь более менее получилось. дальше надо пользователям из 10.10.10.0/24 разрешить ходить
> в интернет через туннель через interface GigabitEthernet0/1.
> не соображу пока как такое реализовать....Ну реализуется это достаточно просто. Есть 2 способа:
1. Внимательно читать различные источники информации. В том числе и сайт производителя оборудования.
2. Взять сумму в N т.р. и искать исполнителя. Где N натуральное число >1.
На текущий момент вы тяготеете к варианту 2.
- Маршрутизация за тунелем, zabrat, 11:00 , 05-Июн-14 (11)
>[оверквотинг удален]
>> если с машины 10.10.10.3 пинговать 10.10.11.3 всё норм и обратно тоже
>> теперь более менее получилось. дальше надо пользователям из 10.10.10.0/24 разрешить ходить
>> в интернет через туннель через interface GigabitEthernet0/1.
>> не соображу пока как такое реализовать....
> Ну реализуется это достаточно просто. Есть 2 способа:
> 1. Внимательно читать различные источники информации. В том числе и сайт производителя
> оборудования.
> 2. Взять сумму в N т.р. и искать исполнителя. Где N натуральное
> число >1.
> На текущий момент вы тяготеете к варианту 2.На текущий момент я тяготею к варианту 1 иначе зачем мне разбираться и писать на этом форуме.
- Маршрутизация за тунелем, Andrey, 12:47 , 05-Июн-14 (13)
>[оверквотинг удален]
>>> в интернет через туннель через interface GigabitEthernet0/1.
>>> не соображу пока как такое реализовать....
>> Ну реализуется это достаточно просто. Есть 2 способа:
>> 1. Внимательно читать различные источники информации. В том числе и сайт производителя
>> оборудования.
>> 2. Взять сумму в N т.р. и искать исполнителя. Где N натуральное
>> число >1.
>> На текущий момент вы тяготеете к варианту 2.
> На текущий момент я тяготею к варианту 1 иначе зачем мне разбираться
> и писать на этом форуме.https://www.google.ru/search?num=50&newwindow=1&site=&source...
- Маршрутизация за тунелем, ShyLion, 11:14 , 05-Июн-14 (12)
> Всем привет.
> Копаюсь с маршрутами не могу понять где затык.
> Имеем туннель между D-Link 804HV и Cisco 2901
> Туннель поднят и работает норм.На стороне удаленного офиса дефолтный маршрут должен смотреть в туннель, при этом должен быть статический маршрут для обратного конца тоннеля. На стороне 29 на туннеле ip nat inside не забудь и роут в удаленный офис в туннель завернуть.
- Маршрутизация за тунелем, zabrat, 11:37 , 06-Июн-14 (14)
>> Всем привет.
>> Копаюсь с маршрутами не могу понять где затык.
>> Имеем туннель между D-Link 804HV и Cisco 2901
>> Туннель поднят и работает норм.
> На стороне удаленного офиса дефолтный маршрут должен смотреть в туннель, при этом
> должен быть статический маршрут для обратного конца тоннеля.
> На стороне 29 на туннеле ip nat inside не забудь и роут
> в удаленный офис в туннель завернуть.Спасибо. разобрался. Заработало
|
Версия для распечатки
Маршрутизация за тунелем, 
