forum.opennet.ru - "GRE tunnel + IPSec не типовая схема." (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"GRE tunnel + IPSec не типовая схема."

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"GRE tunnel + IPSec не типовая схема."
Сообщение от dxer on 09-Июл-07, 10:20
Добрый день, Помогите решить задачу. Есть два маршрутизатора Cisco в регионах подключенных по IPsec к Cisco ASA в центральном офисе. За ASA внутри сети центрального офиса есть внутренний маршрутизатор. Задача, сделать маршрутизацию между региональными сетками используя GRE over IPsec, с учётом, что GRE tunnels будут терминироваться на внутреннем Cisco Router на котором будут прописаны статик роуты на регионы. Вопрос в региональном маршрутизаторе, как сделать так, чтобы трафик шёл в Центральный офис зашифрованный + работал туннель. Пакеты в туннель уходят, но не возвращаются... Видимо рекурсивные маршруты на Региональном маршрутизаторе возникают.
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Оглавление

GRE tunnel + IPSec не типовая схема., nick, 10:51 , 09-Июл-07, (1)

GRE tunnel + IPSec не типовая схема., dxer, 11:04 , 09-Июл-07, (2)

GRE tunnel + IPSec не типовая схема., dxer, 11:13 , 09-Июл-07, (3)

GRE tunnel + IPSec не типовая схема., nick, 11:40 , 09-Июл-07, (4)

GRE tunnel + IPSec не типовая схема., dxer, 12:17 , 09-Июл-07, (5)

GRE tunnel + IPSec не типовая схема., alteleid, 16:00 , 09-Июл-07, (6)

GRE tunnel + IPSec не типовая схема., dxer, 22:11 , 09-Июл-07, (7)

Сообщения по теме [Сортировка по времени, UBB]

1. "GRE tunnel +  IPSec не типовая схема."

Сообщение от nick (??) on 09-Июл-07, 10:51

>Добрый день,
>
>Помогите решить задачу.
>
>Есть два маршрутизатора Cisco в регионах подключенных по IPsec к Cisco ASA
>в центральном офисе.
>
>За ASA внутри сети центрального офиса есть внутренний маршрутизатор.
>
>Задача, сделать маршрутизацию между региональными сетками используя GRE over IPsec, с учётом,
>что GRE tunnels будут терминироваться на внутреннем Cisco Router на котором
>будут прописаны статик роуты на регионы.
>
>Вопрос в региональном маршрутизаторе, как сделать так, чтобы трафик шёл в Центральный
>офис зашифрованный + работал туннель.
>Пакеты в туннель уходят, но не возвращаются... Видимо рекурсивные маршруты на Региональном
>маршрутизаторе возникают.
Вы отсылаете пакеты из подсети 1.1.1.х Router 1 по тунелю в подсеть 2.2.2.х. Router 2
на Router 1 ip route 2.2.2.x TunnelX
на Router 2 ip route 1.1.1.x TunnelX
Должно все получиться!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "GRE tunnel +  IPSec не типовая схема."

Сообщение от dxer on 09-Июл-07, 11:04

>>Добрый день,
>>
>>Помогите решить задачу.
>>
>>Есть два маршрутизатора Cisco в регионах подключенных по IPsec к Cisco ASA
>>в центральном офисе.
>>
>>За ASA внутри сети центрального офиса есть внутренний маршрутизатор.
>>
>>Задача, сделать маршрутизацию между региональными сетками используя GRE over IPsec, с учётом,
>>что GRE tunnels будут терминироваться на внутреннем Cisco Router на котором
>>будут прописаны статик роуты на регионы.
>>
>>Вопрос в региональном маршрутизаторе, как сделать так, чтобы трафик шёл в Центральный
>>офис зашифрованный + работал туннель.
>>Пакеты в туннель уходят, но не возвращаются... Видимо рекурсивные маршруты на Региональном
>>маршрутизаторе возникают.
>
>Вы отсылаете пакеты из подсети 1.1.1.х Router 1 по тунелю в подсеть
>2.2.2.х. Router 2
>на Router 1 ip route 2.2.2.x TunnelX
>на Router 2 ip route 1.1.1.x TunnelX
>Должно все получиться!

Дело в том, что на региональных роутерах подняты IPSec к Асе - в этом и беда.
Если бы заместо Асы был бы роутер и на нём терминировались туннели - тут вопросов нет, это легко реализуемо. В Центральном офисе по политике стоит АСА на периметре.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "GRE tunnel +  IPSec не типовая схема."

Сообщение от dxer on 09-Июл-07, 11:13

       _____________________________________________________
      / ______________________GRE TUNNEL____________________\
     / /       ______________                               \\
Cisco Region1 <_____IPSec____\                               \\
                     WAN     \\                               \\
Cisco Region2 <=====IPSec====> Cisco ASA (Central office) -- LAN Cisco Router
          \\_____________________________________________________//
           \--------------------GRE TUNNEL-----------------------/

     Вот такая вот схемка.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "GRE tunnel +  IPSec не типовая схема."

Сообщение от nick (??) on 09-Июл-07, 11:40

>       _____________________________________________________
>      / ______________________GRE TUNNEL____________________\
>     / /
> ______________
>
>          \\
>
>Cisco Region1 <_____IPSec____\
>
>          \\
>
>
>         WAN
>   \\
>
>
> \\
>Cisco Region2 <=====IPSec====> Cisco ASA (Central office) -- LAN Cisco Router
>          \\_____________________________________________________//
>           \--------------------GRE
>TUNNEL-----------------------/
>
>
>     Вот такая вот схемка.
к великому моему сожалению с ASA я не встречался. Нужно подискивать на Cisco.com аналогичные реализации схемы, но если подумать, то, как я понял, GRE м/у роутерами и IPSEC м/у ASA-Router, из этого можно сказать что если в одну сторону идет пакет а обратно нет, то наверное дела либо  в MTU либо в FW.Если стоит на ASA FW и/или инспектирование,ACL  то на время отладки лучше снять всю защиту.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "GRE tunnel +  IPSec не типовая схема."

Сообщение от dxer on 09-Июл-07, 12:17

Через АСУ проходят все протоколы в т.ч. и GRE.
Роутеры через Ипсек видны отчётливо, туннель устанавливается и из положения down переходит в UP.
На циско и гуглил качественно, решения есть, когда
router - pix -- pix -- router
router -- router
router -- pix with nat -- router
всё это очевидно, а вот схемы
(LAN) - Router <==IPSec==> ASA -- Router (LAN)
            \\                     //
              ======GRE TUNNEL ====

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "GRE tunnel +  IPSec не типовая схема."

Сообщение от alteleid (ok) on 09-Июл-07, 16:00

1. у меня четкое подозрение, что вам нужно прописать policy based routing.
2. немноко больше деталей о существующей маршрутизации можно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "GRE tunnel +  IPSec не типовая схема."

Сообщение от dxer on 09-Июл-07, 22:11

>1. у меня четкое подозрение, что вам нужно прописать policy based routing.
>
>2. немноко больше деталей о существующей маршрутизации можно?
У меня такое же подозрение что нужно что-то с PBRом,
Задача сводится, маршрутизация сетей региональных через роутер Центрального офиса ес-но GRE over IPSec.
сейчас дам конфиги.
Центральный маршрутизатор (Маршрутизатор в Центральном офисе):
interface Tunnel0
ip address 172.29.200.1 255.255.255.252
tunnel source Ethernet0
tunnel destination 172.29.112.251
!
interface Tunnel1
ip address 172.29.201.1 255.255.255.252
tunnel source Ethernet0
tunnel destination 172.29.96.1
!
interface Ethernet0
ip address 172.29.31.254 255.255.224.0
ip route 172.29.96.0 255.255.240.0 172.29.201.2
ip route 172.29.112.0 255.255.240.0 172.29.200.2
ip route 172.29.112.251 255.255.255.255 172.29.1.254 (где, .1.254 - это inside interface АСА, на которой терминируются IPsec региональных цисок, а .112.251 IP addr. внутренней карты регионального маршрутизатора)
ip route 172.29.96.1 255.255.255.255 172.29.1.254  и тоже самое для второго роутера.
С центрального роутера прекрасно видно внутренние интерфейсы региональных маршрутизаторов через IPSec.
Далее сообственно конфигурации региональных роутеров.
interface Tunnel0
ip address 172.29.200.2 255.255.255.252
tunnel source FastEthernet0/1  --- В этом сильное сомнение, так как IPsec устанавливается с Cisco явно не с этого интерфейса.
tunnel destination 172.29.31.254

!
interface FastEthernet0/0
description Connected to WAN
ip address 62.168.XXX.YYY 255.255.255.252
ip access-group 120 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat outside
ip inspect srt in
ip inspect srt out
ip ips ips_rule in
no ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
crypto map SRT
interface FastEthernet0/1
description Connected to E-burg filial LAN
ip address 172.29.112.251 255.255.240.0
ip access-group 130 in
no ip redirects
no ip unreachables
no ip proxy-arp
ip nat inside
no ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
ip route 0.0.0.0 0.0.0.0 62.168.ZZZ.141 - Дефолтный шлюз
ip route 172.29.96.0 255.255.240.0 Tunnel0 - Маршрут на сеть другого региона, через Центральный офис (пробовал заместо Tunnel0 подставлять IP addr. туннеля циски в ЦО)
!
На втором роутере такая же картина, только соответственно IP адреса иные для туннеля и маршрут на данную циску и LAN этого филиала.
Боюсь, что надо что-то "городить" на цисках в регионах, так как на них одновременно терминируется IPSec и появляется туннель к ЦО..
ПОМОГИТЕ всю Циску и Гугл перекопал, но данная схема не тривиальна и подобного описания не нашел.
Может так вообще не получиться?
Спасибо
СУВЖ Антон.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "GRE tunnel + IPSec не типовая схема."
Сообщение от nick (??) on 09-Июл-07, 10:51
>Добрый день, > >Помогите решить задачу. > >Есть два маршрутизатора Cisco в регионах подключенных по IPsec к Cisco ASA >в центральном офисе. > >За ASA внутри сети центрального офиса есть внутренний маршрутизатор. > >Задача, сделать маршрутизацию между региональными сетками используя GRE over IPsec, с учётом, >что GRE tunnels будут терминироваться на внутреннем Cisco Router на котором >будут прописаны статик роуты на регионы. > >Вопрос в региональном маршрутизаторе, как сделать так, чтобы трафик шёл в Центральный >офис зашифрованный + работал туннель. >Пакеты в туннель уходят, но не возвращаются... Видимо рекурсивные маршруты на Региональном >маршрутизаторе возникают. Вы отсылаете пакеты из подсети 1.1.1.х Router 1 по тунелю в подсеть 2.2.2.х. Router 2 на Router 1 ip route 2.2.2.x TunnelX на Router 2 ip route 1.1.1.x TunnelX Должно все получиться!
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "GRE tunnel + IPSec не типовая схема."
	Сообщение от dxer on 09-Июл-07, 11:04
	>>Добрый день, >> >>Помогите решить задачу. >> >>Есть два маршрутизатора Cisco в регионах подключенных по IPsec к Cisco ASA >>в центральном офисе. >> >>За ASA внутри сети центрального офиса есть внутренний маршрутизатор. >> >>Задача, сделать маршрутизацию между региональными сетками используя GRE over IPsec, с учётом, >>что GRE tunnels будут терминироваться на внутреннем Cisco Router на котором >>будут прописаны статик роуты на регионы. >> >>Вопрос в региональном маршрутизаторе, как сделать так, чтобы трафик шёл в Центральный >>офис зашифрованный + работал туннель. >>Пакеты в туннель уходят, но не возвращаются... Видимо рекурсивные маршруты на Региональном >>маршрутизаторе возникают. > >Вы отсылаете пакеты из подсети 1.1.1.х Router 1 по тунелю в подсеть >2.2.2.х. Router 2 >на Router 1 ip route 2.2.2.x TunnelX >на Router 2 ip route 1.1.1.x TunnelX >Должно все получиться! Дело в том, что на региональных роутерах подняты IPSec к Асе - в этом и беда. Если бы заместо Асы был бы роутер и на нём терминировались туннели - тут вопросов нет, это легко реализуемо. В Центральном офисе по политике стоит АСА на периметре.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "GRE tunnel + IPSec не типовая схема."
	Сообщение от dxer on 09-Июл-07, 11:13
	_____________________________________________________ / ______________________GRE TUNNEL____________________\ / / ______________ \\ Cisco Region1 <_____IPSec____\ \\ WAN \\ \\ Cisco Region2 <=====IPSec====> Cisco ASA (Central office) -- LAN Cisco Router \\_____________________________________________________// \--------------------GRE TUNNEL-----------------------/ Вот такая вот схемка.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "GRE tunnel + IPSec не типовая схема."
	Сообщение от nick (??) on 09-Июл-07, 11:40
	> _____________________________________________________ > / ______________________GRE TUNNEL____________________\ > / / > ______________ > > \\ > >Cisco Region1 <_____IPSec____\ > > \\ > > > WAN > \\ > > > \\ >Cisco Region2 <=====IPSec====> Cisco ASA (Central office) -- LAN Cisco Router > \\_____________________________________________________// > \--------------------GRE >TUNNEL-----------------------/ > > > Вот такая вот схемка. к великому моему сожалению с ASA я не встречался. Нужно подискивать на Cisco.com аналогичные реализации схемы, но если подумать, то, как я понял, GRE м/у роутерами и IPSEC м/у ASA-Router, из этого можно сказать что если в одну сторону идет пакет а обратно нет, то наверное дела либо в MTU либо в FW.Если стоит на ASA FW и/или инспектирование,ACL то на время отладки лучше снять всю защиту.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "GRE tunnel + IPSec не типовая схема."
	Сообщение от dxer on 09-Июл-07, 12:17
	Через АСУ проходят все протоколы в т.ч. и GRE. Роутеры через Ипсек видны отчётливо, туннель устанавливается и из положения down переходит в UP. На циско и гуглил качественно, решения есть, когда router - pix -- pix -- router router -- router router -- pix with nat -- router всё это очевидно, а вот схемы (LAN) - Router <==IPSec==> ASA -- Router (LAN) \\ // ======GRE TUNNEL ====
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "GRE tunnel + IPSec не типовая схема."
	Сообщение от alteleid (ok) on 09-Июл-07, 16:00
	1. у меня четкое подозрение, что вам нужно прописать policy based routing. 2. немноко больше деталей о существующей маршрутизации можно?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "GRE tunnel + IPSec не типовая схема."
	Сообщение от dxer on 09-Июл-07, 22:11
	>1. у меня четкое подозрение, что вам нужно прописать policy based routing. > >2. немноко больше деталей о существующей маршрутизации можно? У меня такое же подозрение что нужно что-то с PBRом, Задача сводится, маршрутизация сетей региональных через роутер Центрального офиса ес-но GRE over IPSec. сейчас дам конфиги. Центральный маршрутизатор (Маршрутизатор в Центральном офисе): interface Tunnel0 ip address 172.29.200.1 255.255.255.252 tunnel source Ethernet0 tunnel destination 172.29.112.251 ! interface Tunnel1 ip address 172.29.201.1 255.255.255.252 tunnel source Ethernet0 tunnel destination 172.29.96.1 ! interface Ethernet0 ip address 172.29.31.254 255.255.224.0 ip route 172.29.96.0 255.255.240.0 172.29.201.2 ip route 172.29.112.0 255.255.240.0 172.29.200.2 ip route 172.29.112.251 255.255.255.255 172.29.1.254 (где, .1.254 - это inside interface АСА, на которой терминируются IPsec региональных цисок, а .112.251 IP addr. внутренней карты регионального маршрутизатора) ip route 172.29.96.1 255.255.255.255 172.29.1.254 и тоже самое для второго роутера. С центрального роутера прекрасно видно внутренние интерфейсы региональных маршрутизаторов через IPSec. Далее сообственно конфигурации региональных роутеров. interface Tunnel0 ip address 172.29.200.2 255.255.255.252 tunnel source FastEthernet0/1 --- В этом сильное сомнение, так как IPsec устанавливается с Cisco явно не с этого интерфейса. tunnel destination 172.29.31.254 ! interface FastEthernet0/0 description Connected to WAN ip address 62.168.XXX.YYY 255.255.255.252 ip access-group 120 in no ip redirects no ip unreachables no ip proxy-arp ip nat outside ip inspect srt in ip inspect srt out ip ips ips_rule in no ip virtual-reassembly ip route-cache flow duplex auto speed auto crypto map SRT interface FastEthernet0/1 description Connected to E-burg filial LAN ip address 172.29.112.251 255.255.240.0 ip access-group 130 in no ip redirects no ip unreachables no ip proxy-arp ip nat inside no ip virtual-reassembly ip route-cache flow duplex auto speed auto ip route 0.0.0.0 0.0.0.0 62.168.ZZZ.141 - Дефолтный шлюз ip route 172.29.96.0 255.255.240.0 Tunnel0 - Маршрут на сеть другого региона, через Центральный офис (пробовал заместо Tunnel0 подставлять IP addr. туннеля циски в ЦО) ! На втором роутере такая же картина, только соответственно IP адреса иные для туннеля и маршрут на данную циску и LAN этого филиала. Боюсь, что надо что-то "городить" на цисках в регионах, так как на них одновременно терминируется IPSec и появляется туннель к ЦО.. ПОМОГИТЕ всю Циску и Гугл перекопал, но данная схема не тривиальна и подобного описания не нашел. Может так вообще не получиться? Спасибо СУВЖ Антон.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]