faq обучение настройка
Текущее время: Чт мар 28, 2024 22:46

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 9 ] 
Автор Сообщение
 Заголовок сообщения: Маршрут на NAT через IPSEC VPN
СообщениеДобавлено: Пн окт 19, 2015 10:12 
Не в сети

Зарегистрирован: Вс сен 20, 2015 11:41
Сообщений: 12
Есть центральный офис и удаленная площадка. Нужно настроить хождение трафика из локальной сети площадки через маршрутизатор центрального офиса.
На основной площадке стоит DFL-860e, на дополнительной площадке DFL-260e.
Тема заворачивания default маршрута в туннель Неоднократно поднималась на форуме, но полного решения оформленного в сжатую инструкцию я не видел.
Чтобы завернуть трафик будем использовать Policy Based Routing. Создадим правило для выделения локального трафика и отдельную таблицу маршрутизации,
которая будет к нему применяться.
Ниже изложу на как это делается.
Работоспособный туннель у нас уже есть.

Настройки:
Центральный офис (DFL-860e)
1. Настройка IPSEC туннеля

Intrefaces > IPsec > ipsec_tunnel
Local network = all-nets
2. Настройка правил для IPSEC туннеля
Policies> Firewalling> Main IP Rules> (IPSEC_TUN_rules) Настройки правил для туннеля
# Name SrcIf SrcNet DestIf DestNet Service
1 lan_2_remote lan lannet IPSEC remote_net all_services для трафика из основной площадки на удаленную
2 remote_2_lan IPSEC remote_net lan lannet all_services для трафика из удаленной площадки на основную
3 drop_smb-all IPSEC remote_net wan all-nets smb-all
4 allow_ping-outbound IPSEC remote_net wan all-nets ping-outbound SRC:NAT заворачивание трафика из удаленной площадки на NAT
5 allow_ftp-passthrough IPSEC remote_net wan all-nets ftp-passthrough SRC:NAT заворачивание трафика из удаленной площадки на NAT
6 allow_standard IPSEC remote_net wan all-nets all_tcpudp SRC:NAT заворачивание трафика из удаленной площадки на NAT

Удаленная площадка (DFL-260e)
1. Настройка IPSEC туннеля.

Interfaces > IPsec > ipsec_tunnel
Remote network = all-nets
Advanced > Add route statically> uncheck box Важно! убрать галку. Маршрут в туннель добавляется позже, настройкой Policy Based Routing.
2. Настройка правил для IPSEC туннеля.
Policies> Firewalling> Main IP Rules> (IPSEC_TUN_rules)
# Name SrcIf SrcNet DestIf DestNet Service
1 lan_2_remote lan lannet IPSEC remote_net all_services для трафика из удаленной площадки на основную
2 remote_2_lan IPSEC remote_net lan lannet all_services для трафика из основной площадки на удаленную

3. Настройка Policy Based Routing. Нужно добавить отдельную таблицу маршрутизации и правило для локального трафика удаленной площадки, чтобы трафик заворачивался в туннель на маршрутизатор центрального офиса.
3.1 Создание таблицы
Network>Roting>Static Routes>Routing Tables>(Routes_2_main_site)
Указать при создании таблицы Routes_2_main_site настройку Ordering - Only
# interface Network Gateway
1 lan lannet обязательно, маршрут для локальной сети
2 IPSEC all-nets <ip_gateway_on_main_site> обязательно, маршрут по умолчанию через шлюз центрального офиса

3.2 Создание правила позволит для указанного в правиле трафика использовать отдельную таблицу маршрутизации.
Network>Routing>Static Routes>Policy-based Routing Rules>(rule_4_main_site_gw)
Name:rule_4_main_site_gw
Forward routing table:Routes_2_main_site
Return routing table:Routes_2_main_site
Service:all_services
Interface Network
lan lannet
any all-nets

После указанных настроек, у нас сохраниться функционирующий туннель, а трафик из локальной сети площадки в интернет ходит через центральный офис.
Написать инструкцию побудила тема "Настроить маршрут на NAT через IPSec тунель на DFL800" и прочие подобные.
viewtopic.php?f=3&t=151828&start=15&hilit=default+route+ipsec


Последний раз редактировалось s8hk Чт июн 09, 2016 10:50, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Маршрут на NAT через IPSEC VPN
СообщениеДобавлено: Пн окт 19, 2015 10:37 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
забыли в туннелях определить локальный IP, для работоспособности туннеля .

в настройках туннеля
Advanced ->Specify address manually -> указать Lan_IP для каждого маршрутизатора свой

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Маршрут на NAT через IPSEC VPN
СообщениеДобавлено: Пн окт 19, 2015 10:53 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Мне непонятно, зачем делать PBR для трафика удаленной локальной сети, если можно просто настроить статический маршрут. Или динамический, через настройки IPsec.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Маршрут на NAT через IPSEC VPN
СообщениеДобавлено: Пн окт 19, 2015 16:04 
Не в сети

Зарегистрирован: Вс сен 20, 2015 11:41
Сообщений: 12
Объясняю,
если мы назначим через IPSEC интерфейс маршрут ко всем сетям (all_nets),
маршутизатор простодушно будет считать, что абсолютно все сети находятся за интерфейсов IPSEC, даже та, через которую лежит путь к белому адресу другого конца туннеля. Другими словами, туннель развалиться, марш удаленной площадки будет ломиться в инет не через шлюз своего провайдера, а через IPSEC интерфейс.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Маршрут на NAT через IPSEC VPN
СообщениеДобавлено: Пн окт 19, 2015 16:18 
Не в сети

Зарегистрирован: Вс сен 20, 2015 11:41
Сообщений: 12
Vladimir22 писал(а):
забыли в туннелях определить локальный IP, для работоспособности туннеля .

в настройках туннеля
Advanced ->Specify address manually -> указать Lan_IP для каждого маршрутизатора свой


Вижу, но настройка IPSEC не требует обязательно задавать этот параметр, к тому же без него вполне работает.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Маршрут на NAT через IPSEC VPN
СообщениеДобавлено: Пн окт 19, 2015 16:47 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
задайте его - а маршруты пропишите руками , и ни какой PBR не нужен , не заводите людей в дебри .
все прекрасно работает , если прописать руками все.

если на случай резервирования - что думаю не надо в вашей ситуации - то да там надо творить , всякие альтернативные маршруты и альтернативные таблицы.

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Маршрут на NAT через IPSEC VPN
СообщениеДобавлено: Пн окт 19, 2015 17:13 
Не в сети

Зарегистрирован: Вс сен 20, 2015 11:41
Сообщений: 12
Vladimir22 писал(а):
задайте его - а маршруты пропишите руками , и ни какой PBR не нужен , не заводите людей в дебри .
все прекрасно работает , если прописать руками все.

если на случай резервирования - что думаю не надо в вашей ситуации - то да там надо творить , всякие альтернативные маршруты и альтернативные таблицы.

Тогда укажите, пожалуйста, какие маршруты написать, чтобы default route через IPSEC состоялся только для локальной сети.
Или вы имеете ввиду, что указание Local Endpoint на локальную сеть (удаленной площадки) позволит создать маршрут вида:
Type..............Interface..............Network..............Gateway..............LocalIP=(равный Local Endpoint)
ipv4...............IPSEC...................all_nets...............main_site_gw......lan_gateway
Где маршрут будет предлагаться только для локального трафика?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Маршрут на NAT через IPSEC VPN
СообщениеДобавлено: Пн окт 19, 2015 20:51 
Не в сети

Зарегистрирован: Вт фев 26, 2008 19:07
Сообщений: 9129
Откуда: Москва
опишите что подробней вам надо ?!

я делал туннели All-Nets, маршруты и правила руками. Так же делал мониторинг основных маршрутов в интернет , и когда ( пров выключает интернет за не оплату ) у меня автоматом переключается на интернет из туннеля :-) так сказать такое некое резервирование получается .....

у меня оба DFL в сети провайдера. GRE пров блокирует . а вот IPsec нормально проходит :-) я и пользуюсь ;-)

_________________
Своим вопросом Вы загоняете меня в ГУГЛ.....
DFL-210 -архив образов
Меня можно найти в боте Телеграмма @MyKingdombot когда РКН перестанет заниматься ерундой :-)
Готовыe платить - пишите
Прикуплю неисправные девайсы ради корпусов ....-> в личку


Вернуться наверх
 Профиль  
 
 Заголовок сообщения: Re: Маршрут на NAT через IPSEC VPN
СообщениеДобавлено: Чт июн 09, 2016 10:54 
Не в сети

Зарегистрирован: Вс сен 20, 2015 11:41
Сообщений: 12
Поправил первый пост, целью настройки было заставить трафик из локальной сети удаленной площадки ходить в интернет через главную площадку.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 9 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 58


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB