Добрый день!

Сейчас построена и вполне работает следующая схема.
192.160.100.x<->DI-804HV<--канал VPN в 192.160.12.х-->DFL-1600<->192.160.14.x

Возникла необходимость побить сеть 192.160.100.x на две подсети т.е. добавилась подсеть 192.160.101.x. Роутит это все L3 Cisco 3550, в которой создано два вилана с необходимыми маршрутами, ip-ми в каждом вилане и т.д.

Вопрос, как правильно настроить длинки так, что бы сеть 192.160.101.x увидела 192.160.14.x ??

Ведь для этого (мне так видится) в DI-804HV нужно на LAN прописать шлюзом циску (с ходу этого параметра не нашел). Кроме того, в обоих длинках нужно явно задавать подсети, которые они соединяют. Если с одной стороны более чем одна подсеть, то как это решается??

МОДЕРАТОРУ: Сильно извиняюсь, по ошибке написал вопрос не в ту конференцию. Если возможно, прошу переместить в конференецию, посвященную маршрутизаторам.

Вообще, в этой схеме слабым звеном смотрится DI-804HV. Я так понял, 101 сеть будет подключена также в лан 804го? Мне кажется, на нем вы не сделаете такого. Только DFL. Причем я например с трудом представляю, как прописать несколько подсетей на один интерфейс. Несколько интерфейсов - без проблем. И верно подмечено, что все длинки должны знать, где какие сети. Я думаю, вам возможно придется еще и по VPN для каждой сети от 1600го пускать, если у вас IPsec.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Нет.
Схема такая:
L3 (3550) с двумя VLAN-ми 192.160.100.5 и 192.160.101.5
У хостов в обоих подсетях шлюзом прописан 192.160.10х.5

DI-804HV в 100-й подсети и имеет ip-к 192.160.100.7. Соответственно из 100-й подсети нормально видно удаленную 192.160.14.х. А из 101-й не видно.
Хосты между 100 и 101 видят друг друга нормально.
Хосты из 101-й нормально видят ip-к на LAN-е DI-804HV (192.160.100.7)

Помог бы NAT на L3, но его нету.

Т.е. если еще раз обрисовать схему, то из связь 192.160.100.x<>192.160.101.x работает нормально, связь 192.160.100.x<>192.160.14.x работает нормально, связь 192.160.101.x<>192.160.14.x не работает.

Нарисуйте пожалуйста графическую схеме, непонятно куда из второго описания делать 14я сеть.
Маршрутизировать в IPSec нельзя, если вы идёте по этому пути это не правильно.

Так?



Вообще, важен вопрос - насколько шустро надо роутить 100 и 101 сетки? Полюбому думаю, надо между ними ставить 210...

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Именно так!

Кстати, я настроил в DI-804HV роутинг на 101-ю сетку через 3550, и из 101-й подсети стала доступна подсеть 192.160.12.х/24 (которая является транспортом для VPN). Так понимаю, в DI-804HV есть NAT, который позволил это сделать.

Но сеть 192.168.14.х так и не удалось увидеть из 101-й.

Планируем со временем поднимать на 3550 еще несколько подсетей, а к DFL-1600 подключать еще десяток DI-804HV (через 192.160.12.х/24) за каждым из которых тоже будут подсети. Связь между сетями, которые будут за DI-804HV не нужна. Но всем будет нужна связь с 192.160.14.х/24

з.ы. во втором посте напутал с номерами подсетей, теперь все исправил.

Меняйте DI-804HV на DFL-210 - он и более производителен, и поддерживает интерфейсы на основе VLAN-ов. Да и вообще, у него 3 независимых физических интерфейса - как вам понравится можете сделать - вланами, физически в разные порты включить. Если не надо маршрутизации между удаленными сетями, 210й справится. Если конечно а-ля 100х сетей не будет очень много.

Ну а 804й - у него нет необходимой гибкости.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

А-ля 100х сетей будет много.

Еще раз повторю, что через 804 я вижу 12-ю подсеть из 101. Т.е. из 101-й через 804 трафик ходит нормально, если использовать его просто как маршрутизатор. Однако, 14-ю подсеть я не вижу. Т.е. тогда, когда 804 используется как маршрутизатор - все нормально. Если используется как VPN - не работает.

Исходя из приведенных вами данных - странно что даже так работает. 3550 у вас форвардинг пакетов осуществляет? Кто шлюзами стоит в 100 и 101 сети?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Шлюзами по умолчанию в 100 и 101-й подсети является циска. В циске задан маршрут, что 12 и 14 подсети маршрутизировать на DI-804HV

Все получилось.
У 804 поставил в IPSec NAT, у 1600 поставил в IPSec NAT if supported, и сделал правило NAT all to all

Теперь следующая проблема
Подключаю к одному 1600-му два 804. За каждым 804 есть своя подсеть. К сожалению, они совпадают. Пока что не получается настроить так, что бы из обеих подсетей была корректна видна 192.168.14.0/24

А как вы предлагаете 1600му понять, в какой туннель слать пакеты?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Аналогично тому, как понимает яндекс, куда слать пакеты, когда к нему тысячи пользователей обращаются с сетей 192.168.0.х

Кстати, и как по вашему видна 14-я подсеть из 101-й, когда 101-я нигде явно ни 1600 ни в 804 не указана?

Вы сами говорили о NATе. Советую почитать теорию - http://ru.wikipedia.org/wiki/NAT
Вкратце - NAT (что SNAT, что DNAT) - это преобразование адресов между сетями с подменой их. Соответственно для яндекса нет ни одного клиента с адресами 192.168.х.х, есть адреса шлюзов с реальными интернет-адресами. А уже шлюзы знают о "своих" серых сетях.

Собственно по этому сейчас у вас и работает - могу поспорить, что из 14 в 101 сетку доступа нет. Для серверов в 14 сети все ваши 101е клиенты видятся ровно как ваш 804й, который делает SNAT.

Теперь о том, почему нельзя. Потому что IPsec с одинаковой удаленной сетью может быть только один. На самом деле, лучший вопрос - поставьте DFL-210 и настройте нормальный форвардинг пакетов - работать будет в разы быстрее.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Цитата: "Потому что IPsec с одинаковой удаленной сетью может быть только один. "

Хотите сказать, что если я на стороне DFL-1600 для двух соединений укажу одну и ту же подсеть (например, 0.0.0.0 т.е. any network) в таком режиме сможет работать только один IPsec ? Но это же не так...

Значит сейчас ситуация такая:

К DFL-1600 по VPN подключено 4 DI-804.

за 1-м DI-804 упомянутая сеть с циской. С обоих сторон стоит что за 804-м сеть 0.0.0.0 все работает

за 2-м DI-804 сеть 192.168.151.0. С обоих сторон стоит что за 804-м сеть 0.0.0.0 все работает

За 3-м и 4-м из них разные сети 192.160.150.0/24 У одной из них выставлено, что за 804 сеть 192.160.150.0/24. Так работает. Если указать 0.0.0.0 то не работает.
Причем сам VPN встает, а вот трафик не ходит.

Если на 3-й оставить что с обоих сторон 192.160.150.0/24, то при подключении 4-й (в любой конфирурации) VPN встает а трафик не ходит. При одной из конфигураций трафик из 4-й пошел, но при этом перестал ходить трафик из 3-й.

А ведь надо и 3 и 4 зацепить. Неужели нельзя на уровне 804-го или на уровне IPSec натировать что бы 1600-й различал, откуда пакеты пришли?

Повторюсь, что в 1600 указано правилом all nat to all