Перейти к содержанию
Как правильно добавить self-test и прочую отладку в тему
Официальное хранилище ПО в виде файлов

2 тоннеля IPSEC (Через 3 роутера)

CBLoner
 Поделиться

Рекомендуемые сообщения

CBLoner Старожил

CBLoner

Опубликовано
Опубликовано

Есть схема как на рисунке.

Если клиент цепляется по PPTP к ULTRA2 (IP 192.168.13.126/128) и ему прописать маршрут вида: route add 192.168.10.0 mask 255.255.255.0 192.168.13.126 metric 5 if 42 -p, то клиент видит сервер 192.168.10.230.

Вопрос, как прописать маршруты на всех кинетиках, чтобы клиент по двум туннелям попал на 192.168.10.230. Ресурсы сети за после первого туннеля видит, дальше нет. 

Схема.jpg

KorDen Старожил

KorDen

Опубликовано
Опубликовано (изменено)

Нужно использовать туннели (например IPIP) поверх IPsec, голым IPsec это не получится, IPsec-туннели нельзя маршрутизировать. В простейшем режиме можно два автоматических туннеля (по одному серверу на каждой ультре, клиенты на средней ультре и 4g), либо полностью ручной режим, т.е. создавать транспорты и затем уже IPIP-туннели.

 

PS: у меня несколько похожая ситуация (но чуть заморочнее), было вот тут:

 

Изменено пользователем KorDen
  • Спасибо 1
gaaronk Поставщик контента

gaaronk

Опубликовано
Опубликовано
6 minutes ago, KorDen said:

Нужно использовать туннели (например IPIP) поверх IPsec, голым IPsec это не получится, IPsec-туннели нельзя маршрутизировать. В простейшем режиме можно два автоматических туннеля (по одному серверу на каждой ультре, клиенты на средней ультре и 4g), либо полностью ручной режим, т.е. создавать транспорты и затем уже IPIP-туннели.

Голым IPSec это получится, но не на кинетике, где для селектора трафика можно использовать только один элемент ACL.

Можно на средней ультре делать двусторонний NAT, что бы клиент лез к адресам из диапазона 192.168.13.0/128, а его натило в src из сети192.168.13.0/128  dst 192.168.10.230

Ну и virce versa.

  • Спасибо 1
CBLoner Старожил

CBLoner

Опубликовано
  • Автор
Опубликовано

Это чисто ограничение кинетика? То есть если у меня туннели по форме звезда, я не могу из одного луча, трафик зарулить в другой луч? Только ЛУЧ <-> ЦЕНТР?

Это через ipchains или что там сейчас? Раньше помню было iptables.... Или наоборот... :( Это как шаблон строчки будет выглядеть для средней ультры?

Про IP-IP туннель для данной ситуации не понял, но был бы признателен в примере использования, дабы въехать в тему. :-D

gaaronk Поставщик контента

gaaronk

Опубликовано
Опубликовано

Зарулить можно. Только надо на каждом spoke (луче) описать выделение трафика для засовывание в ipsec как

<local network> - <сеть центельного узла>

<local network> - <сеть spoke2>

<local network> - <сеть spoke3>

и тд. Что не очень удобно, но работает. Кинетик же из списка доступа читает только первую строчку. По этому обычно делают туннели и внутри них гоняют маршруты.

 

Сделайте full-mesh -  туннель между 4G и "второй ультрой"

 

С выделением трафика 192.168.13.128/25 - 192.168.10.0/24

 

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

×
 Поделиться
Перейти к списку тем

  • Последние посетители   0 пользователей онлайн

    • Ни одного зарегистрированного пользователя не просматривает данную страницу
×
×
  • Создать...

Важная информация

На этом сайте используются файлы cookie. Нажимая "Я принимаю" или продолжая просмотр сайта, вы разрешаете их использование: Политика конфиденциальности.

  Я принимаю