VPN Tunnel L2TP/IpSec

Обсуждение оборудования и его настройки
cobion
Сообщения: 28
Зарегистрирован: 19 мар 2017, 21:11

Я просто хотел уточнить- а что обязательно сто-то еще поднимать, коли уже поднят IPSec ? Разве этого недостаточно ?


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

cobion писал(а):Может быть неправильно сформулировал, я поднял просто IPsec и все! L2TP я не поднимал!

ну и вдогонку, вот вырезка фразы из Вашего первого сообщения:
"Обмен ключами и тунель созданы."

Для мену туннель - это связка между филиалами на базе не сеансовых и/или сеансовых туннельных протоколов...
(а это может быть IPIP,GRE,PPTP,L2TP и наверно и даже и EoIP)...

P.S.
И всё же меня удивляют люди (без подколки пишу), которые умеют понять, и как настраивать IPSec, понимать типы шифрований,
создания ключей и сертификатов, и всё таком духе, но в простом (то что мне кажется простое, а это я имею ввиду -- связи,туннели, маршрут статический) не вникать....



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

cobion писал(а):Я просто хотел уточнить- а что обязательно сто-то еще поднимать, коли уже поднят IPSec ? Разве этого недостаточно ?

6й раз повторю - мне (Вам) нужен виртуальный интерфейс (виртуальный шнур, провод) через который оба роутера будут "гонять" трафик!
И имея такой "провод" мы и строим таблицу маршрутизации!!!!!!!!!!!!!!!!!!!!!!!!!!!



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
cobion
Сообщения: 28
Зарегистрирован: 19 мар 2017, 21:11

Сделал как вы просили!
ситуация похожая!
Из сети 10.47.0.0/22
PS C:\> tracert -d 192.168.1.233

Трассировка маршрута к 192.168.1.233 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 10.47.1.99
2 14 ms * 17 ms 192.168.1.1
3 18 ms 12 ms 13 ms 192.168.1.233

Из сети 192.168.1.0/24

S C:\> tracert 10.47.1.204

racing route to 10.47.1.204 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms router [192.168.1.1]
2 11 ms 13 ms 7 ms 85.143.190.70
3 * * * Request timed out.
4 * * * Request timed out.
Последний раз редактировалось cobion 21 мар 2017, 15:16, всего редактировалось 1 раз.


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

маршруты покажите...
туннели поднялись?



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
cobion
Сообщения: 28
Зарегистрирован: 19 мар 2017, 21:11

/ip route
add distance=1 dst-address=10.47.0.0/22 gateway=ipip-tunnel1

add check-gateway=arp distance=1 dst-address=192.168.1.0/24 gateway=\
ipip-tunnel1

Да, тунели подняты!


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

cobion писал(а):Сделал как вы просили!
ситуация похожая!

Ну не совсем похожа!

cobion писал(а):Из сети 10.47.0.0/22
PS C:\> tracert -d 192.168.1.233

Трассировка маршрута к 192.168.1.233 с максимальным числом прыжков 30

1 <1 мс <1 мс <1 мс 10.47.1.99
2 14 ms * 17 ms 192.168.1.1
3 18 ms 12 ms 13 ms 192.168.1.233

Таки дошли же до компа в чужой сети!
УРААА
Итак вот тут уже хорошо!

cobion писал(а):Из сети 192.168.1.0/24
S C:\> tracert 10.47.1.204
racing route to 10.47.1.204 over a maximum of 30 hops

1 <1 ms <1 ms <1 ms router [192.168.1.1]
2 11 ms 13 ms 7 ms 85.143.190.70
3 * * * Request timed out.
4 * * * Request timed out.


А вот тут до сих пор уходим не туда, куда надо? на этом роутере 1.1
всё сделали? левый маршрут удалён? Что за 85.143.ххххх
новый маршрут сделан?

когда я просил маршруты...я просил кроме трассертов сами маршруты как вы их прописали...
Но в любом случаи уже 50% сделано



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

на роутере 1.1 надо НАТ убрать (вернее чтобы не натил при обращении в сети 10.47ххх)
я так предпологаю, что когда вы идёте с роутера 1.1 на сетку 10.47, он почему то её натит (хотя думаю натит всё)
а всё что натиться - уходит автоматом снова на провайдера
попробуйте в фарйволе нат (маскарадинг) пониже поставить...или временно на 1-2 минуты отключит нат(задисеблить)



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
cobion
Сообщения: 28
Зарегистрирован: 19 мар 2017, 21:11

А что ура, они и было изначально так!! Из сети 10.47.0.0/22 все ходило в сеть 192.168.1.0/24!!


Аватара пользователя
Vlad-2
Модератор
Сообщения: 2531
Зарегистрирован: 08 апр 2016, 19:19
Откуда: Петропавловск-Камчатский (п-ов Камчатка)
Контактная информация:

неа..раньше какой то заворот был в порт/интерфейс провайдера...туннеля у вас не было...
да и IPSec - это всё равно что иметь ключи и брелок от сингализации, а машины нету...



На работе(ах): 2xCCR1016-12G, RB3011UiAS и hAP lite (RB941)
Дома: CCR1016-12G, RBcAP2n (standalone), RB wAP LTE kit
Для тестов(под рукой): RB3011UiAS, hAP mini (RB931) и что-то ещё по мелочи
MTCNA
MTCRE
Ответить