2 tunnele S2S + 2 ISP na routerze Cisco 861W

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)

Moderatorzy: mikrobi, aron, garfield, gangrena, Seba, Wojtachinho

Wiadomość
Autor
knet444
member
member
Posty: 48
Rejestracja: 10 kwie 2014, 22:00

2 tunnele S2S + 2 ISP na routerze Cisco 861W

#1

#1 Post autor: knet444 » 30 sie 2017, 21:22

Hej,

mam router końcowy z jednym ISP (DSL), który łączy się tunelem s2s z routerem w centrali firmy.
Na int Fa4 wpięty jest kabel od modemu DSL, tunel ma konfiguracje:

interface Tunnel199
bandwidth 1000
ip address 10.30.199.2 255.255.255.252
ip mtu 1420
tunnel source FastEthernet4
tunnel destination X.X.X.X
tunnel mode ipsec ipv4
tunnel path-mtu-discovery
tunnel protection ipsec profile VTI-TUNNEL-TEST


Dokładamy drugie łącze jako backup: router z modem LTE

Konfiguracja:
Router LTE ma adres od strony LAN: 192.168.10.254

C861W:
fa4 - DSL
vlan1 - 192.168.10.1/24
fa0 - fa2 wpięte komputery z adresacją 192.168.10.100-102 /24
fa3 - wpięty router LTE

tablica routingu:
ip route 0.0.0.0 0.0.0.0 DSL
ip route 0.0.0.0 0.0.0.0 192.168.10.254 100

Po wyłączeniu DSL net działa przez router LTE - jest ok.

Robimy tunnel:
interface Tunnel299
bandwidth 1000
ip address 10.40.199.2 255.255.255.252
ip mtu 1420
tunnel destination X.X.X.X
tunnel mode ipsec ipv4
tunnel path-mtu-discovery
tunnel protection ipsec profile VTI-TUNNEL-TEST2

Jednak tunel nie podnosi się (po stornie centrali tunel identyczny i na 100% tam jest ok). Tunel inicjuje klient, na routerze LTE ustawiony DMZ na ip VLanu 1 na Cisco (czyli 192.168.10.1).

Czy jestem w stanie wykonać 2 tunel w takiej konfiguracji?

buff
fresh
fresh
Posty: 9
Rejestracja: 19 cze 2017, 22:52

Re: 2 tunnele S2S + 2 ISP na routerze Cisco 861W

#2

#2 Post autor: buff » 31 sie 2017, 01:29

Musisz wskazać tunnel source na int Tu299 z publicznym adresem. Ewentualnie pobawić się w NAT na routerze LTE, ale nie jestem pewien czy taka kombinacja zadziała.

knet444
member
member
Posty: 48
Rejestracja: 10 kwie 2014, 22:00

Re: 2 tunnele S2S + 2 ISP na routerze Cisco 861W

#3

#3 Post autor: knet444 » 31 sie 2017, 09:34

nat na routerze LTE jest ok, zwykły ruch idzie.

Problemem jest tunnel - jak skonfiguruje router LTE na wanie w takiej samej konfiguracji to tunnel się podnosi (wtedy tunnel source jest fa4).

Spróbuje ustawić jakis tunnel source - zobaczymy co się bedzie dziać

buff
fresh
fresh
Posty: 9
Rejestracja: 19 cze 2017, 22:52

Re: 2 tunnele S2S + 2 ISP na routerze Cisco 861W

#4

#4 Post autor: buff » 31 sie 2017, 09:44

Jaki masz adres na Fa4?

knet444
member
member
Posty: 48
Rejestracja: 10 kwie 2014, 22:00

Re: 2 tunnele S2S + 2 ISP na routerze Cisco 861W

#5

#5 Post autor: knet444 » 31 sie 2017, 10:56

Na Fa4 mam publica z DSL
Tu299 powinien łączyć się przez router LTE, który jest wpięty do lan na cisco (vlan1) - router ma ip 192.168.10.254/24, vlan1 ma ip 192.168.10.1/24

Udalo sie nawiazac polaczenie:
Utworzyłem int lo0 z ip 192.168.137.1/24
Do tunelu299 jako source tunnel dodałem interface Loopback0

Na routerze LTE ustawiłem odpowiedni routing do 192.168.137.1/24

Tunnel299 podnosi się po tym jak łącze przełączy się na backup.

Czy jest możliwe utrzymanie 2 tunneli podniesionych przez cały czas?
Routing mam taki:
ip route 0.0.0.0 0.0.0.0 fa4
ip route 0.0.0.0 0.0.0.0 routerLte 200

buff
fresh
fresh
Posty: 9
Rejestracja: 19 cze 2017, 22:52

Re: 2 tunnele S2S + 2 ISP na routerze Cisco 861W

#6

#6 Post autor: buff » 01 wrz 2017, 09:50

Tak, możesz. Potrzebujesz dwóch host route do centrali.

ip route x.x.x.x 255.255.255.255 fa4
ip route y.y.y.y 255.255.255.255 routerLte

Tylko musiałbyś terminować tunele w centrali na dwóch różnych IP.

ODPOWIEDZ