VPN site-2-site i Internet - pomocy

Pytania dt. certyfikacji CCIE oraz CCDE
ODPOWIEDZ
Wiadomość
Autor
pawo
fresh
fresh
Posty: 5
Rejestracja: 01 paź 2006, 13:37

VPN site-2-site i Internet - pomocy

#1

#1 Post autor: pawo »

Witam wszystkich,

Czy ktoś z Was wie jak zmusić brzegowy router 1720 (IOS 12.3) by przekierowywał ruch wychodzący z tunelu VPN typu site-to-site z powrotem przez zewnętrzny interfejs do Internetu - przez default route - oczywiscie o ile pole DST pakietu zawiera odpowiedni (routowalny) adres.

Moze tylko powiem ze udalo mi się zrobić coś takiego dla zdalnych klientow VPN łaczących się przez Cisco VPN Client z siecią lokalną. Uzyłem loopback-a i policy-routingu, ale niestety podobna konfiguracja nie dziala dla ruchu przechodzacego przez stały tunel site-to-site

Dla utrudnienia dodam ze na interfejsie zewnetrznym routera jest oczywiscie NAT.

Dzieki za info,
Pozdarwiam :(
Na górę
Awatar użytkownika
enceladus
inner circle
inner circle
Posty: 506
Rejestracja: 27 paź 2003, 14:32
Lokalizacja: Poznan

#2

#2 Post autor: enceladus »

Dlaczego nie działa - to musi działać. Czytałeś ten post ? Dotyczy Remote Access ale idea jest taka sama.
<: Enceladus :>
Na górę
Awatar użytkownika
puczek
CCIE
CCIE
Posty: 164
Rejestracja: 15 kwie 2004, 05:15
Lokalizacja: Chicago, IL
Kontakt:
Skontaktuj się z puczek

#3

#3 Post autor: puczek »

Jesli twoj site-2-site vpn tunel jest IPSec over GRE, to musisz skonfigurowac "ip nat inside" na interfejsie "tunnel" i uwzglednic source IP adresy w ACL uzywanej to NAT-u.

Puczek
Na górę
pawo
fresh
fresh
Posty: 5
Rejestracja: 01 paź 2006, 13:37

#4

#4 Post autor: pawo »

Dziekuję za odzew.

puczek: Tunnel na pewno _nie_jest_ zamarkowany jako inside - musze to uwzglednic w konfiguracji. Co do ACLi dla NATa - wszystko jest OK.

enceladus: Owszem czytełem - na jego podstwie skonfigurowałem dostep do Internetu dla zdalnych klientow VPN.

W kazdym razie upewniliscie mnie ze sposób routowania zarowno dla ruchu generowanego przez zdalnych klientow jak i ruchu wychodzacego z tunelu site-to-site powinien byc taki sam.
Poszukam jeszcze i dam znac jak mi poszlo... :!:
Na górę
pawo
fresh
fresh
Posty: 5
Rejestracja: 01 paź 2006, 13:37

#5

#5 Post autor: pawo »

Nie moglem sie powstrzymac i sprawdzilem od razu...

Oczywiscie barkowalo ustawienia "inside" na tunnelu. Co za skucha :?

Zadnych innych zmian nie wykonalem. Ruch z tunelu nie przecodzi nawet przez loopbacka - co oczywiscie ma sens - gdyz tunnel jest z puntu widzenia routingu rownowaznym interfejsem...

Jeszcze raz dziekuje za pomoc...

--
pawo
[even not CCNA :P ]
Na górę
Awatar użytkownika
enceladus
inner circle
inner circle
Posty: 506
Rejestracja: 27 paź 2003, 14:32
Lokalizacja: Poznan

#6

#6 Post autor: enceladus »

pawo pisze:Nie moglem sie powstrzymac i sprawdzilem od razu...
Oczywiscie barkowalo ustawienia "inside" na tunnelu. Co za skucha :?
Nie zaznaczyłeś, że stosujesz GRE - wtedy faktycznie jest tunel i to on jest interfejsem wejściowym dla ruchu "wewnętrznego". Gdyby nie było GRE i ruch z 2giej strony przychodził tylko w IPSEC-u, to sytuacja jest taka jak przy remote access.
<: Enceladus :>
Na górę
ODPOWIEDZ

Wróć do „Poziom Expert”