Witam wszystkich,
Czy ktoś z Was wie jak zmusić brzegowy router 1720 (IOS 12.3) by przekierowywał ruch wychodzący z tunelu VPN typu site-to-site z powrotem przez zewnętrzny interfejs do Internetu - przez default route - oczywiscie o ile pole DST pakietu zawiera odpowiedni (routowalny) adres.
Moze tylko powiem ze udalo mi się zrobić coś takiego dla zdalnych klientow VPN łaczących się przez Cisco VPN Client z siecią lokalną. Uzyłem loopback-a i policy-routingu, ale niestety podobna konfiguracja nie dziala dla ruchu przechodzacego przez stały tunel site-to-site
Dla utrudnienia dodam ze na interfejsie zewnetrznym routera jest oczywiscie NAT.
Dzieki za info,
Pozdarwiam
VPN site-2-site i Internet - pomocy
Dziekuję za odzew.
puczek: Tunnel na pewno _nie_jest_ zamarkowany jako inside - musze to uwzglednic w konfiguracji. Co do ACLi dla NATa - wszystko jest OK.
enceladus: Owszem czytełem - na jego podstwie skonfigurowałem dostep do Internetu dla zdalnych klientow VPN.
W kazdym razie upewniliscie mnie ze sposób routowania zarowno dla ruchu generowanego przez zdalnych klientow jak i ruchu wychodzacego z tunelu site-to-site powinien byc taki sam.
Poszukam jeszcze i dam znac jak mi poszlo...
puczek: Tunnel na pewno _nie_jest_ zamarkowany jako inside - musze to uwzglednic w konfiguracji. Co do ACLi dla NATa - wszystko jest OK.
enceladus: Owszem czytełem - na jego podstwie skonfigurowałem dostep do Internetu dla zdalnych klientow VPN.
W kazdym razie upewniliscie mnie ze sposób routowania zarowno dla ruchu generowanego przez zdalnych klientow jak i ruchu wychodzacego z tunelu site-to-site powinien byc taki sam.
Poszukam jeszcze i dam znac jak mi poszlo...
Nie moglem sie powstrzymac i sprawdzilem od razu...
Oczywiscie barkowalo ustawienia "inside" na tunnelu. Co za skucha
Zadnych innych zmian nie wykonalem. Ruch z tunelu nie przecodzi nawet przez loopbacka - co oczywiscie ma sens - gdyz tunnel jest z puntu widzenia routingu rownowaznym interfejsem...
Jeszcze raz dziekuje za pomoc...
--
pawo
[even not CCNA ]
Oczywiscie barkowalo ustawienia "inside" na tunnelu. Co za skucha
Zadnych innych zmian nie wykonalem. Ruch z tunelu nie przecodzi nawet przez loopbacka - co oczywiscie ma sens - gdyz tunnel jest z puntu widzenia routingu rownowaznym interfejsem...
Jeszcze raz dziekuje za pomoc...
--
pawo
[even not CCNA ]
Nie zaznaczyłeś, że stosujesz GRE - wtedy faktycznie jest tunel i to on jest interfejsem wejściowym dla ruchu "wewnętrznego". Gdyby nie było GRE i ruch z 2giej strony przychodził tylko w IPSEC-u, to sytuacja jest taka jak przy remote access.pawo pisze:Nie moglem sie powstrzymac i sprawdzilem od razu...
Oczywiscie barkowalo ustawienia "inside" na tunnelu. Co za skucha
<: Enceladus :>