Страница 1 из 2
Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-01 17:11:23
m0ps
есть следующая схема:
нужно сделать так, что бы из сети BRANCH (10.10.20.0/24) можно было прозрачно (для юзверя) видеть компьютеры, которые находятся в сети MAINOFFICE (10.10.1.0/24) и наоборот. при этом трафик между 10.10.1.0/24 и 10.10.20.0/24 должен быть зашифрован. внешние и внутренние адреса для DSLMODEM и CISCO857 выделяет провайдер, он же рулит трафик в SOMENET.
я так понимаю, что без маршрутизатора между локальной сетью BANCH и CISCO857 не обойтись никак?
основной вопрос состоит в том, как реализовать текущую схему?
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-03 9:11:10
zingel
изучаю, вопрос достойный CCNP
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-03 9:21:09
zingel
тут, самый главный вопрос что стоит у провайдера SOMENET, теоретически это - возможно, если к примеру у SOMENET есть 6500 или 7200, если SOMENET может позволить поднимать прозрачные тоннели средствами CET.
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-03 9:45:09
m0ps
наверное стоит сказать, что провайдер предоставляет MPLS, об оборудовании пока не знаю, буду уточнять
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-03 9:47:34
zingel
c QoS или без него? что за MPLS (какого типа)? если с ним, то, скорее всего - возможно.
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-03 10:09:45
m0ps
c QoS или без него?
об этом пока никто не задумывался, так что в перспективе да, а пока можно и без него.
что за MPLS (какого типа)?
или я что-то не дочитал про MPLS, или я не совсем понял вопрос. он (MPLS) разве бывает разных типов? (можно линк для "почитать"?)
в общем так. провайдер предоставляет услугу MPLS. последняя миля - ADSL. выдает статические внешние ip (по природе своей серые, вида 10.11.0.2, 10.11.0.6 и т.д.). для каждой точки включения выделяет подсеть вида 172.16.102.0/24, 172.16.106.0/24. то есть получается так:
1-й офис - внешний ip 10.11.0.2, внутренняя сеть - 172.16.102.0/24, аналогично для остальных точек включения. но все дело в том, что в локальных сетях "офисов" есть своя ip адресация (вида 10.10.1.0/24, 10.10.20.0/24 и т.д.) которую менять никто не собирается, уж больно много чего накручено.
P.S. адреса естественно не настоящие (диапазоны изменены), но принцип тот же.
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-03 10:16:14
zingel
http://www.cisco.com/en/US/tech/tk436/t ... _list.html
если в SOMENET крутят всё своё добро через NAT, и роутятся со-всему, скорей всего по-BGP, то тип MPLS тут Важен, ибо выбор стоит у SOMENET или Вы, или производительность сети, если там есть QoS, то они могут дать вам вариант dcsp.
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-03 10:30:45
m0ps
во, нашел на "бумаге" от провайдера: "Предоставление услуги ВПС/MPLS...". получается это MPLS Virtual Private Networks (VPN)
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-03 10:41:23
zingel
нужна железка, понимающая VPN в сети BRANCH, она - есть, нужна железка, понимающая IPSEC в сети MAINOFFICE, она - есть, дело за малым. Мой Вам совет: прочитайте rfc2547
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-03 11:10:46
m0ps
ок, тогда такой вопрос:
я так понимаю мне в любом случае нужен маршрутизатор между BRANCH LOCALNET и CISCO857? ведь машины в сети не будут видеть шлюза по умолчанию. или я могу указать ip локальному интерфейсу CISCO857 не из того диапазона что дает провайдер, а с нужного мне (того же что и у машинок в локальной сети BRANCH)? и ещё момент, получиться ли создать IPSEC туннель между CISCO857 и CISCO2811?
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-03 11:19:11
zingel
IPSEC туннель между CISCO857 и CISCO2811
получается, что:
(LAN)--(PAN)--CISCO857------unknown(MPLS[VPN])-----CISCO2811 --(PAN)--(LAN)
или я могу указать ip локальному интерфейсу CISCO857 не из того диапазона что дает провайдер
Вот именно, только нужно, желательно согласовать все пертурбации с ноком SOMENET, ибо у них могут быть свои подводные камни.
Кончено лучший вариант, было бы поднять тоннель в бекбоне через OSPF и бродкастить всё это на LAN, но тогда нужно будет создавать AS, а они без LIR - не реальны. По-этому, стоит просто замучатся с dscp. Сетки имеют былые IP?
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-03 11:34:30
zingel
Вобщем, нужно поднять IPSEC тонель между двумя подсетками, средствами двух кошек и MPLS
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-03 11:35:49
m0ps
Сетки имеют былые IP?
опять немного не понял, в каком смысле белые? если имеется ввиду то что у машинках во всех сетях уникальные ip, то да. ната нигде нет.
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-03 11:37:30
zingel
zingel писал(а):Вобщем, нужно поднять IPSEC тонель между двумя подсетками, средствами двух кошек и MPLS
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-07 15:33:01
m0ps
сртою туннель. уперся в одну проблему, никак не пойму в чем причина. дело в том, что со стороны BRANCH vpn подымается отлично, но вот со стороны MAINOFFICE не получается. CISCO857 периодически ругаеться в логи, мол:
*Mar 4 13:25:05.763: %CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=10.11.0.6, prot=50, spi=0x81131806(2165512198), srcaddr=172.16.102.245
куски конфигов CISCO2811:
Код: Выделить всё
!crypto isakmp policy 10
encr aes
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key 111111 address 172.17.0.6
!
crypto ipsec transform-set VPN esp-aes esp-md5-hmac
mode transport
!
crypto map main2hr 10 ipsec-isakmp
set peer 10.11.0.6
set transform-set VPN
match address 101
!
interface Tunnel0
ip address 172.16.245.1 255.255.255.252
tunnel source FastEthernet0/1.122
tunnel destination 10.11.0.6
crypto map main2hr
!
interface FastEthernet0/1.122
description SubInterface for MPLS on vlan 122
encapsulation dot1Q 122
ip address 172.16.102.245 255.255.255.0
ip nat outside
ip virtual-reassembly
no snmp trap link-status
crypto map main2hr
!
ip route 172.16.20.0 255.255.255.0 Tunnel0
!
access-list 101 permit gre host 172.16.102.245 host 10.11.0.6
!
куски конфигов CISCO857:
Код: Выделить всё
crypto isakmp policy 10
encr aes
hash md5
authentication pre-share
lifetime 3600
crypto isakmp key 111111 address 172.16.102.245
!
!
crypto ipsec transform-set VPN esp-aes esp-md5-hmac
mode transport
!
crypto map main2hr 10 ipsec-isakmp
set peer 172.16.102.245
set transform-set VPN
match address 101
!
interface Tunnel0
ip address 172.16.245.2 255.255.255.252
tunnel source Dialer0
tunnel destination 172.16.102.245
crypto map main2hr
!
interface Dialer0
description ISP PPPoE
ip address negotiated
ip mtu 1492
encapsulation ppp
dialer pool 1
no cdp enable
ppp authentication pap callin
ppp pap sent-username ******************** password 7 **********************
crypto map main2hr
!
ip route 0.0.0.0 0.0.0.0 Dialer0
ip route 10.10.1.0 255.255.255.0 Tunnel0
!
access-list 101 permit gre host 10.11.0.6 host 172.16.102.245
!
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-07 16:02:55
m0ps
на CISCO857 сделал:
теперь туннель подымается с обоих сторон, но при инициации со стороны MAINOFFICE в лог CISCO857 все равно один разок высыпается
%CRYPTO-4-RECVD_PKT_INV_SPI: decaps: rec'd IPSEC packet has invalid spi for destaddr=...................
и первых 3 пинга не проходят. в нормальной ситуации теряется только первый.
что может быть не так?
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-09 8:05:26
zingel
я склонен полагать, что это - IOS bug. Обнови.
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-09 9:03:49
m0ps
на каком именно маршрутизаторе? или на обоих? на центральной циске как-то стремно
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-09 9:05:16
zingel
857
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-09 10:13:00
m0ps
посмотрел... на ней стоит последний:
c850-advsecurityk9-mz.124-15.T7.bin
на 2811 ios:
c2800nm-adventerprisek9_sna-mz.124-4.T1.bin
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-09 11:36:43
zingel
давай вывод тогда, а вообще это только информационное сообщение, а не ошибка, так, что не ссысь, по-этому поводу, если хочешь понять где оно дропается то:
Из кошачьей рассылки:
Indicates that the IPSec SAs between router A and router B are out of sync. This can occur if router A has cleared its IPSec SAs but router B has not. Thus, when router B attempts to send encrypted traffic corresponding to the SAs, router A drops the packet and reports this message.This is an informational message and does not necessarily signify an error.
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-16 13:43:14
m0ps
и так, все работает прекрасно, едем дальше...
решено было организовать резервный канал (на случай падения основного) со следующей схемой:
Принцип такой, в случае если отпадает канал через SOMENET, весь трафик должен переправляться на 3GROUTER у которого настроен шифрованный gre туннель с ASA5510. При возобновлении связи, возвращаться с резервного канала на основной. В идеале конечно лучше что бы CISCO857 переключаясь на запасной канал и туннель подымала, но к сожалению у нее нельзя назначить Fa портам разные вланы (надо было не экономить и купить 877).
А теперь вопрос:
как мне разрулить такую схемку?
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-16 15:08:02
m0ps
после "гугления" наткнулся на такую вещь как ip sla. это то что мне нужно, или я ошибаюсь?
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-16 15:38:14
m0ps
принцип, насколько я понял, такой:
мониторится wan ip удаленного маршрутизатора, если он перестает отвечать на пинг в течении определенного времени, то даются команды на смену роутов на "временные". если связь возобновляется (пинг снова начинает ходить), то по прошествии определенного времени "временные" роуты удаляются и устанавливаются постоянные. фух...
я на верном пути?
Re: Обьединение 2-х сетей через IPSEC тунель
Добавлено: 2008-10-17 10:50:13
zingel
Верный путь тут -
ospf
