Обьединение 2-х сетей через IPSEC тунель

[m0ps]

есть следующая схема:


нужно сделать так, что бы из сети BRANCH (10.10.20.0/24) можно было прозрачно (для юзверя) видеть компьютеры, которые находятся в сети MAINOFFICE (10.10.1.0/24) и наоборот. при этом трафик между 10.10.1.0/24 и 10.10.20.0/24 должен быть зашифрован. внешние и внутренние адреса для DSLMODEM и CISCO857 выделяет провайдер, он же рулит трафик в SOMENET.
я так понимаю, что без маршрутизатора между локальной сетью BANCH и CISCO857 не обойтись никак?
основной вопрос состоит в том, как реализовать текущую схему?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

изучаю, вопрос достойный CCNP

[zingel]

тут, самый главный вопрос что стоит у провайдера SOMENET, теоретически это - возможно, если к примеру у SOMENET есть 6500 или 7200, если SOMENET может позволить поднимать прозрачные тоннели средствами CET.

[m0ps]

наверное стоит сказать, что провайдер предоставляет MPLS, об оборудовании пока не знаю, буду уточнять

[zingel]

c QoS или без него? что за MPLS (какого типа)? если с ним, то, скорее всего - возможно.

[m0ps]

c QoS или без него?

об этом пока никто не задумывался, так что в перспективе да, а пока можно и без него.

что за MPLS (какого типа)?

или я что-то не дочитал про MPLS, или я не совсем понял вопрос. он (MPLS) разве бывает разных типов? (можно линк для "почитать"?)
в общем так. провайдер предоставляет услугу MPLS. последняя миля - ADSL. выдает статические внешние ip (по природе своей серые, вида 10.11.0.2, 10.11.0.6 и т.д.). для каждой точки включения выделяет подсеть вида 172.16.102.0/24, 172.16.106.0/24. то есть получается так:
1-й офис - внешний ip 10.11.0.2, внутренняя сеть - 172.16.102.0/24, аналогично для остальных точек включения. но все дело в том, что в локальных сетях "офисов" есть своя ip адресация (вида 10.10.1.0/24, 10.10.20.0/24 и т.д.) которую менять никто не собирается, уж больно много чего накручено.
P.S. адреса естественно не настоящие (диапазоны изменены), но принцип тот же.

[zingel]

http://www.cisco.com/en/US/tech/tk436/t ... _list.html

если в SOMENET крутят всё своё добро через NAT, и роутятся со-всему, скорей всего по-BGP, то тип MPLS тут Важен, ибо выбор стоит у SOMENET или Вы, или производительность сети, если там есть QoS, то они могут дать вам вариант dcsp.

[m0ps]

во, нашел на "бумаге" от провайдера: "Предоставление услуги ВПС/MPLS...". получается это MPLS Virtual Private Networks (VPN)

[zingel]

нужна железка, понимающая VPN в сети BRANCH, она - есть, нужна железка, понимающая IPSEC в сети MAINOFFICE, она - есть, дело за малым. Мой Вам совет: прочитайте rfc2547

[m0ps]

ок, тогда такой вопрос:
я так понимаю мне в любом случае нужен маршрутизатор между BRANCH LOCALNET и CISCO857? ведь машины в сети не будут видеть шлюза по умолчанию. или я могу указать ip локальному интерфейсу CISCO857 не из того диапазона что дает провайдер, а с нужного мне (того же что и у машинок в локальной сети BRANCH)? и ещё момент, получиться ли создать IPSEC туннель между CISCO857 и CISCO2811?

[zingel]

IPSEC туннель между CISCO857 и CISCO2811

получается, что:

(LAN)--(PAN)--CISCO857------unknown(MPLS[VPN])-----CISCO2811 --(PAN)--(LAN)

или я могу указать ip локальному интерфейсу CISCO857 не из того диапазона что дает провайдер

Вот именно, только нужно, желательно согласовать все пертурбации с ноком SOMENET, ибо у них могут быть свои подводные камни.

Кончено лучший вариант, было бы поднять тоннель в бекбоне через OSPF и бродкастить всё это на LAN, но тогда нужно будет создавать AS, а они без LIR - не реальны. По-этому, стоит просто замучатся с dscp. Сетки имеют былые IP?

[zingel]

Вобщем, нужно поднять IPSEC тонель между двумя подсетками, средствами двух кошек и MPLS

[m0ps]

Сетки имеют былые IP?

опять немного не понял, в каком смысле белые? если имеется ввиду то что у машинках во всех сетях уникальные ip, то да. ната нигде нет.

[zingel]

Вобщем, нужно поднять IPSEC тонель между двумя подсетками, средствами двух кошек и MPLS

[m0ps]

сртою туннель. уперся в одну проблему, никак не пойму в чем причина. дело в том, что со стороны BRANCH vpn подымается отлично, но вот со стороны MAINOFFICE не получается. CISCO857 периодически ругаеться в логи, мол:

*Mar 4 13:25:05.763: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=10.11.0.6, prot=50, spi=0x81131806(2165512198), srcaddr=172.16.102.245

куски конфигов CISCO2811:

Код: Выделить всё

!crypto isakmp policy 10
 encr aes
 hash md5
 authentication pre-share
 lifetime 3600
crypto isakmp key 111111 address 172.17.0.6
!
crypto ipsec transform-set VPN esp-aes esp-md5-hmac
 mode transport
!
crypto map main2hr 10 ipsec-isakmp
 set peer 10.11.0.6
 set transform-set VPN
 match address 101
!
interface Tunnel0
 ip address 172.16.245.1 255.255.255.252
 tunnel source FastEthernet0/1.122
 tunnel destination 10.11.0.6
 crypto map main2hr
!
interface FastEthernet0/1.122
 description SubInterface for MPLS on vlan 122
 encapsulation dot1Q 122
 ip address 172.16.102.245 255.255.255.0
 ip nat outside
 ip virtual-reassembly
 no snmp trap link-status
 crypto map main2hr
!
ip route 172.16.20.0 255.255.255.0 Tunnel0
!
access-list 101 permit gre host 172.16.102.245 host 10.11.0.6
!

куски конфигов CISCO857:

Код: Выделить всё

crypto isakmp policy 10
 encr aes
 hash md5
 authentication pre-share
 lifetime 3600
crypto isakmp key 111111 address 172.16.102.245
!
!
crypto ipsec transform-set VPN esp-aes esp-md5-hmac
 mode transport
!
crypto map main2hr 10 ipsec-isakmp
 set peer 172.16.102.245
 set transform-set VPN
 match address 101
!
interface Tunnel0
 ip address 172.16.245.2 255.255.255.252
 tunnel source Dialer0
 tunnel destination 172.16.102.245
 crypto map main2hr
!
interface Dialer0
 description ISP PPPoE
 ip address negotiated
 ip mtu 1492
 encapsulation ppp
 dialer pool 1
 no cdp enable
 ppp authentication pap callin
 ppp pap sent-username ******************** password 7 **********************
 crypto map main2hr
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.10.1.0 255.255.255.0 Tunnel0
!
access-list 101 permit gre host 10.11.0.6 host 172.16.102.245
!

[m0ps]

на CISCO857 сделал:

Код: Выделить всё

crypto isakmp invalid-spi-recovery

теперь туннель подымается с обоих сторон, но при инициации со стороны MAINOFFICE в лог CISCO857 все равно один разок высыпается

%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=...................

и первых 3 пинга не проходят. в нормальной ситуации теряется только первый.
что может быть не так?

[zingel]

я склонен полагать, что это - IOS bug. Обнови.

[m0ps]

на каком именно маршрутизаторе? или на обоих? на центральной циске как-то стремно

[zingel]

857

[m0ps]

посмотрел... на ней стоит последний:
c850-advsecurityk9-mz.124-15.T7.bin


на 2811 ios:
c2800nm-adventerprisek9_sna-mz.124-4.T1.bin

[zingel]

давай вывод тогда, а вообще это только информационное сообщение, а не ошибка, так, что не ссысь, по-этому поводу, если хочешь понять где оно дропается то:

Код: Выделить всё

show crypto session detail

Из кошачьей рассылки:

Indicates that the IPSec SAs between router A and router B are out of sync. This can occur if router A has cleared its IPSec SAs but router B has not. Thus, when router B attempts to send encrypted traffic corresponding to the SAs, router A drops the packet and reports this message.This is an informational message and does not necessarily signify an error.

[m0ps]

и так, все работает прекрасно, едем дальше...
решено было организовать резервный канал (на случай падения основного) со следующей схемой:

Принцип такой, в случае если отпадает канал через SOMENET, весь трафик должен переправляться на 3GROUTER у которого настроен шифрованный gre туннель с ASA5510. При возобновлении связи, возвращаться с резервного канала на основной. В идеале конечно лучше что бы CISCO857 переключаясь на запасной канал и туннель подымала, но к сожалению у нее нельзя назначить Fa портам разные вланы (надо было не экономить и купить 877).
А теперь вопрос:
как мне разрулить такую схемку?

[m0ps]

после "гугления" наткнулся на такую вещь как ip sla. это то что мне нужно, или я ошибаюсь?

[m0ps]

принцип, насколько я понял, такой:
мониторится wan ip удаленного маршрутизатора, если он перестает отвечать на пинг в течении определенного времени, то даются команды на смену роутов на "временные". если связь возобновляется (пинг снова начинает ходить), то по прошествии определенного времени "временные" роуты удаляются и устанавливаются постоянные. фух...
я на верном пути?

[zingel]

Верный путь тут -
ospf