Маршрутизация между сайтами и Cisco VPN CLIENT, ayupakhomov, 20-Май-09, 11:51 [смотреть все]Ситуация: есть энное количество филиалов (4), соединенных между собой при помощи ipsec шифрования звездой - каждый с каждым, по три туннеля на каждом маршрутизаторе. К одному из филиалов при помощи Cisco VPN Client подключаются удаленные клиенты. По умолчанию они видят только сеть филиала, к которому идет коннект, другие филиалы - нет. Что пробовал: добавлял руками маршруты в VPNClient-сеть на удаленном маршрутизаторе. Пробовал заворачивать трафик на эту (Удаленных клиентов) сеть в туннель зеркально с обеих сторон на тестовом филиале. Не помогает. Если нужно, выложу конфиги. Просто может быть есть простой способ - прописать специальную опцию в конфиг, например Cisco2811, ios 12.4 Нат на все выше и ниже описанные сети отключен. ACL, управляющие туннельным трафиком, зеркальны в филиалах Клиенту выдается маршрут в 123 и в 156 сети. 123 сеть целиком доступна Трафик между филиалами проходитСхема: Клиент 124.0/24<=ipsec=>Филиал1 123.0/24<=ipsec=>Филиал2 156.0/24 Задача: Клиент должен видеть сеть 156.0/24 ps Не обязательно рассматривать в качестве первого сайт сеть удаленного клиента. Интересует также, как разрешить прохождение трафика, если вместо удаленного клиента еще один сайт скажем: Схема: Филиал3 14.0/24<=ipsec=>Филиал1 123.0/24<=ipsec=>Филиал2 156.0/24 Я думаю, принципиальной разницы нет, если вместо клиента еще один маршрутизатор задача точно такая же - получить из филиала 3 доступ в филиал 2 без установки между ними туннеля, используя филиал один как гейт
|
- Маршрутизация между сайтами и Cisco VPN CLIENT, ayuapakhomov, 17:52 , 20-Май-09 (1)
Неужели нет никаких соображений ни у кого? Или задача настолько проста, что гуру не желают отвечать? :)
- Маршрутизация между сайтами и Cisco VPN CLIENT, CrAzOiD, 18:18 , 20-Май-09 (2)
>Неужели нет никаких соображений ни у кого? >Или задача настолько проста, что гуру не желают отвечать? :) Ручками маршруты в клиенте - этого мало. Трафик еще должен вернуться куда надо. Поднимайте динамику. Либо, что правильнее, как мне кажется, в вашей ситуации, поднимайте DMVPN
- Маршрутизация между сайтами и Cisco VPN CLIENT, ayuapakhomov, 18:51 , 20-Май-09 (3)
>Ручками маршруты в клиенте - этого мало. Трафик еще должен вернуться куда >надо. Логично. Не понятно, почему не работает схема: трафик из сети клиента, направленный в сеть другого филиала - шифровать и заворачивать в туннель. И обратное правило на удаленном роутере. А центральная цыска уже разрулит внутри. Но если не работает, значит так надо :=\
- Маршрутизация между сайтами и Cisco VPN CLIENT, CrAzOiD, 19:33 , 20-Май-09 (4)
> >>Ручками маршруты в клиенте - этого мало. Трафик еще должен вернуться куда >>надо. > >Логично. Не понятно, почему не работает схема: трафик из сети клиента, направленный >в сеть другого филиала - шифровать и заворачивать в туннель. И >обратное правило на удаленном роутере. А центральная цыска уже разрулит внутри. >Но если не работает, значит так надо :=\ Что бы ответить на подобный вопрос надо ковырять ваши конфиги.
- Маршрутизация между сайтами и Cisco VPN CLIENT, ayuapakhomov, 10:41 , 21-Май-09 (5)
Конфиг "центрального" маршрутизатора конфиг маршрутизатора "удаленного" принципиально ничего не отличается (в мелочах, ACL, QoS итп)! version 12.4 service timestamps debug datetime msec service timestamps log datetime msec no service password-encryption ! hostname XXXX ! boot-start-marker boot-end-marker ! logging buffered 52000 debugging enable secret 5 ! aaa new-model ! ! aaa authentication login default local aaa authentication login EASYVPN_AUTH local aaa authorization exec default local aaa authorization network EASYVPN_GROUP_AUTH local ! aaa session-id common ! ! ip cef ! ! ip domain name XXXXXX ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 ! ! voice-card 0 no dspfarm ! ! ! ! ! ! ! ! ! ! ! ! ! crypto pki trustpoint TP-self-signed-4179041039 enrollment selfsigned subject-name cn=IOS-Self-Signed-Certificate-4179041039 revocation-check none rsakeypair TP-self-signed-4179041039 ! ! crypto pki certificate chain TP-self-signed-4179041039 certificate self-signed 01 nvram:IOS-Self-Sig#3939.cer username admin privilege 15 secret 5 username ayupakhomov privilege 15 secret 5 ! ! ! class-map match-all Traf1 match access-group 110 class-map match-all Traf2 match access-group 111 ! ! policy-map Policy1 class Traf1 police 128000 8000 8000 conform-action transmit exceed-action drop policy-map Policy2 class Traf2 police 128000 8000 8000 conform-action transmit exceed-action drop ! ! ! crypto isakmp policy 1 encr 3des authentication pre-share group 2 crypto isakmp key xxxx address xxxx no-xauth crypto isakmp key xxxx address xxxx no-xauth crypto isakmp key xxxx address xxxx no-xauth crypto isakmp keepalive 10 ! crypto isakmp client configuration group VPN key securekey dns xxxx domain xxxx pool EASYVPN_POOL acl 120 netmask 255.255.255.0 ! ! crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto ipsec transform-set ESP-3DES-SHA1 esp-3des esp-sha-hmac crypto ipsec transform-set GELEZNODOROGNYTRANSET esp-3des esp-sha-hmac crypto ipsec transform-set EASYVPN esp-3des esp-sha-hmac ! ! crypto dynamic-map SDM_DYNMAP_1 1 set transform-set EASYVPN ! ! crypto map SDM_CMAP_1 client authentication list EASYVPN_AUTH crypto map SDM_CMAP_1 isakmp authorization list EASYVPN_GROUP_AUTH crypto map SDM_CMAP_1 client configuration address respond crypto map SDM_CMAP_1 1 ipsec-isakmp description Tunnel xxxx set peer xxxx set transform-set ESP-3DES-SHA match address 100 crypto map SDM_CMAP_1 2 ipsec-isakmp description Tunnel xxxx set peer xxxx set transform-set ESP-3DES-SHA1 match address 105 crypto map SDM_CMAP_1 3 ipsec-isakmp description Tunnel to xxxx set peer xxxx set transform-set GELEZNODOROGNYTRANSET match address 112 crypto map SDM_CMAP_1 65535 ipsec-isakmp dynamic SDM_DYNMAP_1 ! ! ! ! interface FastEthernet0/0 description xxxx ip address xxxx ip access-group 102 in ip flow ingress ip flow egress ip nat inside ip virtual-reassembly ip tcp adjust-mss 1412 duplex auto speed auto service-policy output Policy2 ! interface FastEthernet0/1 description xxxx no ip address duplex auto speed auto pppoe enable group global pppoe-client dial-pool-number 1 ! interface Dialer0 ip address negotiated ip mtu 1452 ip flow ingress ip flow egress ip nat outside ip virtual-reassembly encapsulation ppp dialer pool 1 dialer-group 1 ppp authentication chap pap callin ppp chap hostname xxxx ppp chap password 0 xxxx ppp pap sent-username xxxx password 0 xxxx crypto map SDM_CMAP_1 service-policy output Policy1 ! ip local pool EASYVPN_POOL 192.168.124.1 192.168.124.254 ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer0 ip route 192.168.123.0 255.255.255.0 FastEthernet0/0 ! ip flow-export source FastEthernet0/0 ip flow-export version 9 ip flow-export destination 192.168.123.156 9996 ! ip http server ip http access-class 2 ip http authentication local ip http secure-server ip http timeout-policy idle 60 life 86400 requests 10000 ip nat inside source route-map SDM_RMAP_1 interface Dialer0 overload ip nat inside source static tcp 192.168.123.53 21 xxxx 21 extendable ip nat inside source static tcp 192.168.123.53 1194 xxxx 1194 extendable ip nat inside source static udp 192.168.123.53 1194 xxxx 1194 extendable ip nat inside source static tcp 192.168.123.211 3389 xxxx 3389 extendable ip nat inside source static tcp 192.168.123.53 7777 xxxx 7777 extendable ip nat inside source static tcp 192.168.123.211 8080 xxxx 8080 route-map NONATFORVPN extendable ip nat inside source static tcp 192.168.123.112 80 xxxx 8530 route-map NONATFORVPN extendable ip nat inside source static tcp 192.168.123.53 3389 xxxx 8999 route-map NONATFORVPN extendable ip nat inside source static tcp 192.168.123.150 3389 xxxx 11150 route-map NONATFORVPN extendable ip nat inside source static tcp 192.168.123.14 3389 xxxx 11523 route-map NONATFORVPN extendable ip nat inside source static tcp 192.168.123.27 80 xxxx 11524 route-map NONATFORVPN extendable ! access-list 1 remark INSIDE_IF=FastEthernet0/0 access-list 1 permit 192.168.123.0 0.0.0.255 access-list 2 permit 192.168.123.53 access-list 2 permit 192.168.123.222 access-list 2 permit 192.168.123.225 access-list 100 remark IPSec Rule access-list 100 permit ip 192.168.123.0 0.0.0.255 192.168.5.0 0.0.0.255 access-list 101 remark IPSec Rule access-list 101 deny ip 192.168.123.0 0.0.0.255 192.168.156.0 0.0.0.255 access-list 101 deny ip 192.168.123.0 0.0.0.255 192.168.174.0 0.0.0.255 access-list 101 deny ip 192.168.123.0 0.0.0.255 192.168.124.0 0.0.0.255 access-list 101 deny ip 192.168.123.0 0.0.0.255 192.168.5.0 0.0.0.255 access-list 101 permit ip 192.168.123.0 0.0.0.255 any access-list 102 permit ip 192.168.124.0 0.0.0.255 host 192.168.123.4 access-list 102 permit tcp host 192.168.123.53 host 192.168.123.4 eq telnet access-list 102 permit tcp host 192.168.123.239 host 192.168.123.4 eq telnet access-list 102 permit tcp host 192.168.123.225 host 192.168.123.4 eq telnet access-list 102 permit tcp host 192.168.123.222 host 192.168.123.4 eq telnet access-list 102 permit tcp host 192.168.123.225 host 192.168.123.4 eq 22 access-list 102 permit tcp host 192.168.123.222 host 192.168.123.4 eq 22 access-list 102 permit tcp host 192.168.123.225 host 192.168.123.4 eq www access-list 102 permit tcp host 192.168.123.222 host 192.168.123.4 eq www access-list 102 permit tcp host 192.168.123.225 host 192.168.123.4 eq 443 access-list 102 permit tcp host 192.168.123.222 host 192.168.123.4 eq 443 access-list 102 permit tcp host 192.168.123.53 host 192.168.123.4 eq cmd access-list 102 permit tcp host 192.168.123.225 host 192.168.123.4 eq cmd access-list 102 permit tcp host 192.168.123.222 host 192.168.123.4 eq cmd access-list 102 deny ip host 192.168.123.23 any access-list 102 deny tcp any host 192.168.123.4 eq telnet access-list 102 deny tcp any host 192.168.123.4 eq 22 access-list 102 deny tcp any host 192.168.123.4 eq www access-list 102 deny tcp any host 192.168.123.4 eq 443 access-list 102 deny tcp any host 192.168.123.4 eq cmd access-list 102 deny udp any host 192.168.123.4 eq snmp access-list 103 permit ip host 192.168.123.53 any access-list 103 permit ip host 192.168.123.222 any access-list 103 permit ip host 192.168.123.225 any access-list 104 permit ip host 10.10.10.6 any access-list 104 permit ip host 192.168.123.53 any access-list 104 permit ip host 192.168.123.222 any access-list 104 permit ip host 192.168.123.225 any access-list 105 permit ip 192.168.123.0 0.0.0.255 192.168.156.0 0.0.0.255 access-list 106 deny ip host 192.168.123.150 192.168.156.0 0.0.0.255 access-list 106 deny ip host 192.168.123.150 192.168.5.0 0.0.0.255 access-list 106 deny ip host 192.168.123.112 192.168.5.0 0.0.0.255 access-list 106 deny ip host 192.168.123.112 192.168.156.0 0.0.0.255 access-list 106 deny ip host 192.168.123.27 192.168.156.0 0.0.0.255 access-list 106 deny ip host 192.168.123.27 192.168.5.0 0.0.0.255 access-list 106 deny ip host 192.168.123.211 192.168.5.0 0.0.0.255 access-list 106 deny ip host 192.168.123.211 192.168.156.0 0.0.0.255 access-list 106 deny ip host 192.168.123.14 192.168.156.0 0.0.0.255 access-list 106 deny ip host 192.168.123.14 192.168.5.0 0.0.0.255 access-list 106 deny ip host 192.168.123.53 192.168.156.0 0.0.0.255 access-list 106 deny ip host 192.168.123.53 192.168.5.0 0.0.0.255 access-list 106 deny ip host 192.168.123.14 192.168.174.0 0.0.0.255 access-list 106 deny ip host 192.168.123.27 192.168.174.0 0.0.0.255 access-list 106 deny ip host 192.168.123.53 192.168.174.0 0.0.0.255 access-list 106 deny ip host 192.168.123.112 192.168.174.0 0.0.0.255 access-list 106 deny ip host 192.168.123.150 192.168.174.0 0.0.0.255 access-list 106 deny ip host 192.168.123.211 192.168.174.0 0.0.0.255 access-list 106 deny ip host 192.168.123.14 192.168.124.0 0.0.0.255 access-list 106 deny ip host 192.168.123.27 192.168.124.0 0.0.0.255 access-list 106 deny ip host 192.168.123.53 192.168.124.0 0.0.0.255 access-list 106 deny ip host 192.168.123.112 192.168.124.0 0.0.0.255 access-list 106 deny ip host 192.168.123.150 192.168.124.0 0.0.0.255 access-list 106 deny ip host 192.168.123.211 192.168.124.0 0.0.0.255 access-list 110 remark This ACL is appruved to IFACE DIALER 0 - rate limit access-list 110 deny ip host 192.168.123.97 192.168.156.0 0.0.0.255 access-list 110 deny ip host 192.168.123.97 192.168.5.0 0.0.0.255 access-list 111 remark This ACL is appruved to IFACE FASTETHERNET 0/0 - rate limit access-list 111 deny ip 192.168.156.0 0.0.0.255 host 192.168.123.97 access-list 111 deny ip 192.168.5.0 0.0.0.255 host 192.168.123.97 access-list 112 permit ip 192.168.123.0 0.0.0.255 192.168.174.0 0.0.0.255 access-list 120 remark This ACL is defined subnets route for Easy VPN access-list 120 permit ip 192.168.123.0 0.0.0.255 192.168.124.0 0.0.0.255 access-list 120 permit ip 192.168.156.0 0.0.0.255 192.168.124.0 0.0.0.255 dialer-list 1 protocol ip permit snmp-server community xxxx RO 99 snmp-server ifindex persist snmp-server location xxxx snmp-server enable traps tty ! route-map NONATFORVPN permit 20 match ip address 106 ! route-map SDM_RMAP_1 permit 1 match ip address 101 ! ! ! ! control-plane ! ! ! ! ! ! ! ! ! ! line con 0 line aux 0 line vty 0 4 access-class 103 in privilege level 15 transport input telnet ssh line vty 5 15 access-class 104 in privilege level 15 transport input telnet ssh ! scheduler allocate 20000 1000 ! end
|