forum.opennet.ru - "помогите с IPSEC тунелем" (9)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"помогите с IPSEC тунелем"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"помогите с IPSEC тунелем"
Сообщение от nick (??) on 25-Сен-06, 10:16
привет! IPSEC настроил все ок! но вот теперь ума не могу дать, хоть мелочь но засада. Незнаю как теперь заворачивать весь трафик только к тому IP с которым у меня IPSEC тунель? Цель такова чтобы был выход и инет и две удаленные локалки могли видеть друг друга. Как это сделать? вот пример тунеля: crypto isakmp policy 10 encr 3des hash md5 authentication pre-share crypto isakmp key *** address **** ! ! crypto ipsec transform-set TRANS esp-3des esp-md5-hmac ! crypto map AGGR_MAP 39 ipsec-isakmp set peer 1******* set transform-set TRANS match address IPSEC-list ! interface Loopback100 ip address 10.240.9.2 255.255.255.255 ! interface Tunnel100 ip address 172.10.10.121 255.255.255.252 keepalive 60 3 tunnel source 10.240.9.2 tunnel destination 10.240.9.1 ! interface Ethernet0 ip address ***** crypto map AGGR_MAP hold-queue 100 out ip access-list extended IPSEClist permit ip host 10.240.9.2 host 10.240.9.1 как мне применять листы доступа, чтобы и интернет был и тунель межды 2-я цисками? спасибо!
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

помогите с IPSEC тунелем, Изгой, 11:24 , 25-Сен-06, (1)

помогите с IPSEC тунелем, nick, 12:22 , 25-Сен-06, (2)

помогите с IPSEC тунелем, SergTel, 21:55 , 25-Сен-06, (3)

помогите с IPSEC тунелем, Изгой, 09:31 , 26-Сен-06, (4)

помогите с IPSEC тунелем, SergTel, 14:04 , 26-Сен-06, (5)
помогите с IPSEC тунелем, SergTel, 14:14 , 26-Сен-06, (6)

помогите с IPSEC тунелем, Изгой, 14:38 , 26-Сен-06, (7)

помогите с IPSEC тунелем, SergTel, 18:59 , 28-Сен-06, (8)

помогите с IPSEC тунелем, Изгой, 15:56 , 29-Сен-06, (9)

Сообщения по теме [Сортировка по времени, UBB]

1. "помогите с IPSEC тунелем"

Сообщение от Изгой (??) on 25-Сен-06, 11:24

>привет! IPSEC настроил все ок! но вот теперь ума не могу дать,
>хоть мелочь но засада. Незнаю как теперь заворачивать весь трафик только
>к тому IP с которым у меня IPSEC тунель? Цель такова
>чтобы был выход и инет и две удаленные локалки могли видеть
>друг друга. Как это сделать? вот пример тунеля:
>
>crypto isakmp policy 10
> encr 3des
> hash md5
> authentication pre-share
>crypto isakmp key ***** address ********
>!
>!
>crypto ipsec transform-set TRANS esp-3des esp-md5-hmac
>!
>crypto map AGGR_MAP 39 ipsec-isakmp
> set peer 1***********
> set transform-set TRANS
> match address IPSEC-list
>!
>interface Loopback100
> ip address 10.240.9.2 255.255.255.255
>!
>interface Tunnel100
> ip address 172.10.10.121 255.255.255.252
> keepalive 60 3
> tunnel source 10.240.9.2
> tunnel destination 10.240.9.1
>!
>interface Ethernet0
> ip address *******
> crypto map AGGR_MAP
> hold-queue 100 out
>
>ip access-list extended IPSEClist
> permit ip host 10.240.9.2 host 10.240.9.1
>как мне применять листы доступа, чтобы и интернет был и тунель межды
>2-я цисками?
>спасибо!
PBR скорее всего , к примеру то что на порт 80 идёт в обход туннеля.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "помогите с IPSEC тунелем"

Сообщение от nick (??) on 25-Сен-06, 12:22

получается что с помощью ACL роутер направляет трафик туда которому соответствует данный ACL, т.е. если пакет сответствует листу то он направляется именно туда где примененн данный ACL.правильно? и еще по поводу ip route как правильно применять его?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "помогите с IPSEC тунелем"

Сообщение от SergTel on 25-Сен-06, 21:55

>привет! IPSEC настроил все ок! но вот теперь ума не могу дать,
>хоть мелочь но засада. Незнаю как теперь заворачивать весь трафик только
>к тому IP с которым у меня IPSEC тунель? Цель такова
>чтобы был выход и инет и две удаленные локалки могли видеть
>друг друга. Как это сделать? вот пример тунеля:
>
>crypto isakmp policy 10
> encr 3des
> hash md5
> authentication pre-share
>crypto isakmp key ***** address ********
>!
>!
>crypto ipsec transform-set TRANS esp-3des esp-md5-hmac
>!
>crypto map AGGR_MAP 39 ipsec-isakmp
> set peer 1***********
> set transform-set TRANS
> match address IPSEC-list
>!
>interface Loopback100
> ip address 10.240.9.2 255.255.255.255
>!
>interface Tunnel100
> ip address 172.10.10.121 255.255.255.252
> keepalive 60 3
> tunnel source 10.240.9.2
> tunnel destination 10.240.9.1
>!
>interface Ethernet0
> ip address *******
> crypto map AGGR_MAP
> hold-queue 100 out
>
>ip access-list extended IPSEClist
> permit ip host 10.240.9.2 host 10.240.9.1
>как мне применять листы доступа, чтобы и интернет был и тунель межды
>2-я цисками?
>спасибо!

1)Выход в INET только через NAT (для users)
2)чтобы завернуть весь поток: ip route 0.0.0.0 0.0.0.0 Tunnel 100
  чтобы завернуть только маршрут(ы): ip route xx.xx.xx.xx aa.aa.aa.aa Tunnel 100
3)Если соединяешь две сетки с кучей сетей(подсетей) лутше использовать протокол динамической маршрутизации и связать две сетки динамикой (меньше ошибок и исключение тупиковых петель)

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "помогите с IPSEC тунелем"

Сообщение от Изгой (??) on 26-Сен-06, 09:31

>>привет! IPSEC настроил все ок! но вот теперь ума не могу дать,
>>хоть мелочь но засада. Незнаю как теперь заворачивать весь трафик только
>>к тому IP с которым у меня IPSEC тунель? Цель такова
>>чтобы был выход и инет и две удаленные локалки могли видеть
>>друг друга. Как это сделать? вот пример тунеля:
>>
>>crypto isakmp policy 10
>> encr 3des
>> hash md5
>> authentication pre-share
>>crypto isakmp key ***** address ********
>>!
>>!
>>crypto ipsec transform-set TRANS esp-3des esp-md5-hmac
>>!
>>crypto map AGGR_MAP 39 ipsec-isakmp
>> set peer 1***********
>> set transform-set TRANS
>> match address IPSEC-list
>>!
>>interface Loopback100
>> ip address 10.240.9.2 255.255.255.255
>>!
>>interface Tunnel100
>> ip address 172.10.10.121 255.255.255.252
>> keepalive 60 3
>> tunnel source 10.240.9.2
>> tunnel destination 10.240.9.1
>>!
>>interface Ethernet0
>> ip address *******
>> crypto map AGGR_MAP
>> hold-queue 100 out
>>
>>ip access-list extended IPSEClist
>> permit ip host 10.240.9.2 host 10.240.9.1
>>как мне применять листы доступа, чтобы и интернет был и тунель межды
>>2-я цисками?
>>спасибо!
>
>
>1)Выход в INET только через NAT (для users)
>2)чтобы завернуть весь поток: ip route 0.0.0.0 0.0.0.0 Tunnel 100
>  чтобы завернуть только маршрут(ы): ip route xx.xx.xx.xx aa.aa.aa.aa Tunnel 100
>
>3)Если соединяешь две сетки с кучей сетей(подсетей) лутше использовать протокол динамической маршрутизации
>и связать две сетки динамикой (меньше ошибок и исключение тупиковых петель)
>
в данном случае если адрес на внутреннем шлюзе являеться серым и сеть за ним серая соответственно можно прописать пользователей через нат или скорее через пат , только в акцес листе на нат надо указать при использование какого порта будет натироваться трафик ,  чтоб было разделение
какой трафик уходит в туннель а который уходит в интеренет , тогда нужно прописывать два
статических маршрута , один на следующий хоп , другой на туннель, а вообще если использовать туннельный режим ипсек то зачем ещё туннель сверху? ,
в любом случае надо пробывать , всё что пишу моё имхо.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "помогите с IPSEC тунелем"

Сообщение от SergTel on 26-Сен-06, 14:04

Главное достоинство туннеля в отсутствии лишних хопов

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "помогите с IPSEC тунелем"

Сообщение от SergTel on 26-Сен-06, 14:14

1)У меня IPSec прекрасно работает совместно с NAT
NAT- имелось ввиду общее название трансляции
кстати на www.cisco.com есть очень хорошие примеры
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a008023ce5b.shtml
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a0080094203.shtml
http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080143b0a.shtml

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "помогите с IPSEC тунелем"

Сообщение от Изгой (??) on 26-Сен-06, 14:38

>1)У меня IPSec прекрасно работает совместно с NAT
>NAT- имелось ввиду общее название трансляции
>кстати на www.cisco.com есть очень хорошие примеры
> http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a008023ce5b.shtml
>
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a0080094203.shtml
>
>http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080143b0a.shtml
Да спасибо освежил память , 3 ссылка то что надо ,  трафик который идёт по ipsec  туннелю не натится , весь остальной уходит куда угодно. Но всё таки у меня вопрос остаёться зачем сверху ещё гре туннель наварачивать, отсутствие хопов , но ведь в туннельном режиме всё равно проходяться весь путь , просто травик инкапсулируеться в адреса внешних шлюзов ??
Этот вопрос для меня открытым так и остался.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

8. "помогите с IPSEC тунелем"

Сообщение от SergTel on 28-Сен-06, 18:59

>Да спасибо освежил память , 3 ссылка то что надо ,
>трафик который идёт по ipsec  туннелю не натится , весь
>остальной уходит куда угодно. Но всё таки у меня вопрос остаёться
>зачем сверху ещё гре туннель наварачивать, отсутствие хопов , но ведь
>в туннельном режиме всё равно проходяться весь путь , просто травик
>инкапсулируеться в адреса внешних шлюзов ??
>Этот вопрос для меня открытым так и остался.
При соединении двух приватных сеток без тунеля никуда.
Тунель заворачивает весь пакет с приватнми адресами источника и диста.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

9. "помогите с IPSEC тунелем"

Сообщение от Изгой (??) on 29-Сен-06, 15:56

>>Да спасибо освежил память , 3 ссылка то что надо ,
>>трафик который идёт по ipsec  туннелю не натится , весь
>>остальной уходит куда угодно. Но всё таки у меня вопрос остаёться
>>зачем сверху ещё гре туннель наварачивать, отсутствие хопов , но ведь
>>в туннельном режиме всё равно проходяться весь путь , просто травик
>>инкапсулируеться в адреса внешних шлюзов ??
>>Этот вопрос для меня открытым так и остался.
>При соединении двух приватных сеток без тунеля никуда.
>Тунель заворачивает весь пакет с приватнми адресами источника и диста.

Ну а что делает ipsec  в туннельном режиме ? именно заварачивает приватные адреса в адреса внешних шлюзов, поэтому есть туннельный режим и транспортный , если же вам нужно прокидывать не ip трафик тогда да нужно использовать gre и ipsec  в транспортном режиме
если нужно устойчивое шифрование.

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "помогите с IPSEC тунелем"
Сообщение от Изгой (??) on 25-Сен-06, 11:24
>привет! IPSEC настроил все ок! но вот теперь ума не могу дать, >хоть мелочь но засада. Незнаю как теперь заворачивать весь трафик только >к тому IP с которым у меня IPSEC тунель? Цель такова >чтобы был выход и инет и две удаленные локалки могли видеть >друг друга. Как это сделать? вот пример тунеля: > >crypto isakmp policy 10 > encr 3des > hash md5 > authentication pre-share >crypto isakmp key *** address **** >! >! >crypto ipsec transform-set TRANS esp-3des esp-md5-hmac >! >crypto map AGGR_MAP 39 ipsec-isakmp > set peer 1******* > set transform-set TRANS > match address IPSEC-list >! >interface Loopback100 > ip address 10.240.9.2 255.255.255.255 >! >interface Tunnel100 > ip address 172.10.10.121 255.255.255.252 > keepalive 60 3 > tunnel source 10.240.9.2 > tunnel destination 10.240.9.1 >! >interface Ethernet0 > ip address ***** > crypto map AGGR_MAP > hold-queue 100 out > >ip access-list extended IPSEClist > permit ip host 10.240.9.2 host 10.240.9.1 >как мне применять листы доступа, чтобы и интернет был и тунель межды >2-я цисками? >спасибо! PBR скорее всего , к примеру то что на порт 80 идёт в обход туннеля.
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "помогите с IPSEC тунелем"
	Сообщение от nick (??) on 25-Сен-06, 12:22
	получается что с помощью ACL роутер направляет трафик туда которому соответствует данный ACL, т.е. если пакет сответствует листу то он направляется именно туда где примененн данный ACL.правильно? и еще по поводу ip route как правильно применять его?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

3. "помогите с IPSEC тунелем"
Сообщение от SergTel on 25-Сен-06, 21:55
>привет! IPSEC настроил все ок! но вот теперь ума не могу дать, >хоть мелочь но засада. Незнаю как теперь заворачивать весь трафик только >к тому IP с которым у меня IPSEC тунель? Цель такова >чтобы был выход и инет и две удаленные локалки могли видеть >друг друга. Как это сделать? вот пример тунеля: > >crypto isakmp policy 10 > encr 3des > hash md5 > authentication pre-share >crypto isakmp key *** address **** >! >! >crypto ipsec transform-set TRANS esp-3des esp-md5-hmac >! >crypto map AGGR_MAP 39 ipsec-isakmp > set peer 1******* > set transform-set TRANS > match address IPSEC-list >! >interface Loopback100 > ip address 10.240.9.2 255.255.255.255 >! >interface Tunnel100 > ip address 172.10.10.121 255.255.255.252 > keepalive 60 3 > tunnel source 10.240.9.2 > tunnel destination 10.240.9.1 >! >interface Ethernet0 > ip address ***** > crypto map AGGR_MAP > hold-queue 100 out > >ip access-list extended IPSEClist > permit ip host 10.240.9.2 host 10.240.9.1 >как мне применять листы доступа, чтобы и интернет был и тунель межды >2-я цисками? >спасибо! 1)Выход в INET только через NAT (для users) 2)чтобы завернуть весь поток: ip route 0.0.0.0 0.0.0.0 Tunnel 100 чтобы завернуть только маршрут(ы): ip route xx.xx.xx.xx aa.aa.aa.aa Tunnel 100 3)Если соединяешь две сетки с кучей сетей(подсетей) лутше использовать протокол динамической маршрутизации и связать две сетки динамикой (меньше ошибок и исключение тупиковых петель)
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "помогите с IPSEC тунелем"
	Сообщение от Изгой (??) on 26-Сен-06, 09:31
	>>привет! IPSEC настроил все ок! но вот теперь ума не могу дать, >>хоть мелочь но засада. Незнаю как теперь заворачивать весь трафик только >>к тому IP с которым у меня IPSEC тунель? Цель такова >>чтобы был выход и инет и две удаленные локалки могли видеть >>друг друга. Как это сделать? вот пример тунеля: >> >>crypto isakmp policy 10 >> encr 3des >> hash md5 >> authentication pre-share >>crypto isakmp key *** address **** >>! >>! >>crypto ipsec transform-set TRANS esp-3des esp-md5-hmac >>! >>crypto map AGGR_MAP 39 ipsec-isakmp >> set peer 1******* >> set transform-set TRANS >> match address IPSEC-list >>! >>interface Loopback100 >> ip address 10.240.9.2 255.255.255.255 >>! >>interface Tunnel100 >> ip address 172.10.10.121 255.255.255.252 >> keepalive 60 3 >> tunnel source 10.240.9.2 >> tunnel destination 10.240.9.1 >>! >>interface Ethernet0 >> ip address ***** >> crypto map AGGR_MAP >> hold-queue 100 out >> >>ip access-list extended IPSEClist >> permit ip host 10.240.9.2 host 10.240.9.1 >>как мне применять листы доступа, чтобы и интернет был и тунель межды >>2-я цисками? >>спасибо! > > >1)Выход в INET только через NAT (для users) >2)чтобы завернуть весь поток: ip route 0.0.0.0 0.0.0.0 Tunnel 100 > чтобы завернуть только маршрут(ы): ip route xx.xx.xx.xx aa.aa.aa.aa Tunnel 100 > >3)Если соединяешь две сетки с кучей сетей(подсетей) лутше использовать протокол динамической маршрутизации >и связать две сетки динамикой (меньше ошибок и исключение тупиковых петель) > в данном случае если адрес на внутреннем шлюзе являеться серым и сеть за ним серая соответственно можно прописать пользователей через нат или скорее через пат , только в акцес листе на нат надо указать при использование какого порта будет натироваться трафик , чтоб было разделение какой трафик уходит в туннель а который уходит в интеренет , тогда нужно прописывать два статических маршрута , один на следующий хоп , другой на туннель, а вообще если использовать туннельный режим ипсек то зачем ещё туннель сверху? , в любом случае надо пробывать , всё что пишу моё имхо.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "помогите с IPSEC тунелем"
	Сообщение от SergTel on 26-Сен-06, 14:04
	Главное достоинство туннеля в отсутствии лишних хопов
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	6. "помогите с IPSEC тунелем"
	Сообщение от SergTel on 26-Сен-06, 14:14
	1)У меня IPSec прекрасно работает совместно с NAT NAT- имелось ввиду общее название трансляции кстати на www.cisco.com есть очень хорошие примеры http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a008023ce5b.shtml http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a0080094203.shtml http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080143b0a.shtml
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "помогите с IPSEC тунелем"
	Сообщение от Изгой (??) on 26-Сен-06, 14:38
	>1)У меня IPSec прекрасно работает совместно с NAT >NAT- имелось ввиду общее название трансляции >кстати на www.cisco.com есть очень хорошие примеры > http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a008023ce5b.shtml > >http://www.cisco.com/en/US/tech/tk583/tk372/technologies_tech_note09186a0080094203.shtml > >http://www.cisco.com/en/US/tech/tk583/tk372/technologies_configuration_example09186a0080143b0a.shtml Да спасибо освежил память , 3 ссылка то что надо , трафик который идёт по ipsec туннелю не натится , весь остальной уходит куда угодно. Но всё таки у меня вопрос остаёться зачем сверху ещё гре туннель наварачивать, отсутствие хопов , но ведь в туннельном режиме всё равно проходяться весь путь , просто травик инкапсулируеться в адреса внешних шлюзов ?? Этот вопрос для меня открытым так и остался.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	8. "помогите с IPSEC тунелем"
	Сообщение от SergTel on 28-Сен-06, 18:59
	>Да спасибо освежил память , 3 ссылка то что надо , >трафик который идёт по ipsec туннелю не натится , весь >остальной уходит куда угодно. Но всё таки у меня вопрос остаёться >зачем сверху ещё гре туннель наварачивать, отсутствие хопов , но ведь >в туннельном режиме всё равно проходяться весь путь , просто травик >инкапсулируеться в адреса внешних шлюзов ?? >Этот вопрос для меня открытым так и остался. При соединении двух приватных сеток без тунеля никуда. Тунель заворачивает весь пакет с приватнми адресами источника и диста.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	9. "помогите с IPSEC тунелем"
	Сообщение от Изгой (??) on 29-Сен-06, 15:56
	>>Да спасибо освежил память , 3 ссылка то что надо , >>трафик который идёт по ipsec туннелю не натится , весь >>остальной уходит куда угодно. Но всё таки у меня вопрос остаёться >>зачем сверху ещё гре туннель наварачивать, отсутствие хопов , но ведь >>в туннельном режиме всё равно проходяться весь путь , просто травик >>инкапсулируеться в адреса внешних шлюзов ?? >>Этот вопрос для меня открытым так и остался. >При соединении двух приватных сеток без тунеля никуда. >Тунель заворачивает весь пакет с приватнми адресами источника и диста. Ну а что делает ipsec в туннельном режиме ? именно заварачивает приватные адреса в адреса внешних шлюзов, поэтому есть туннельный режим и транспортный , если же вам нужно прокидывать не ip трафик тогда да нужно использовать gre и ipsec в транспортном режиме если нужно устойчивое шифрование.
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]