|
Cisco1<->Cisco2<->Kerio Не могу зайти в третью подсеть Cisco1<->Kerio
Здравствуйте. Помогите решите задачу:
1. Есть Cisco RV345 (Оборудование в филиале Дочка). 1.1 WAN - Интернет провайдер с услугой Белого IP-адреса. 1.2 LAN - 192.168.70.1 / 24 (локальная сеть предприятия) 2. Есть Cisco RV082. (Оборудование в офисе Голова) 2.1 WAN - Интернет провайдер с услугой Белого IP-адреса. 2.2 LAN - Локальная сеть 192.168.27.1 / 24 (подсеть для телефонии) 3. Керио Control (Оборудование в офисе Голова) 3.1 WAN - 192.168.27.5 / 24 (кабель заходит в cisco rv082) 3.2 LAN - 192.168.60.100 / 24 (локальная сеть предприятия) Итак, имеем подсеть 70 одного филиала, надо зайти в подсеть 60 в другом офисе. Связал две cisco между собой Site-to-Site IPSec VPN туннель. из 27 сети (rv082) пингую: 60-"ОК" (kerio), 70-"ОК" (rv345) из 60 сети пингую 27-"ОК", 70-"ОК" C:\>tracert 192.168.70.1 Трассировка маршрута к 192.168.70.1 с максимальным числом прыжков 30 1 1 ms <1 мс <1 мс 192.168.60.100 2 1 ms 1 ms 1 ms 192.168.27.1 3 15 ms 15 ms 15 ms 192.168.70.1 Трассировка завершена. из 70 сети пингую: 27 - "ОК", 60 - не видит C:\>tracert 192.168.27.1 Трассировка маршрута к 192.168.27.1 с максимальным числом прыжков 30 1 1 ms 1 ms 1 ms Router [192.168.70.1] 2 17 ms 16 ms 17 ms 192.168.27.1 Трассировка завершена. На керио скриншот 1, в правилах трафика для подсети 70.0 разрешаю все, в итоге пинги проходят, но только на WAN интерфейс Керио 27.5 C:\>tracert 192.168.27.5 Трассировка маршрута к 192.168.27.5 с максимальным числом прыжков 30 1 1 ms 1 ms 1 ms Router [192.168.70.1] 2 * * * Превышен интервал ожидания для запроса. 3 18 ms 17 ms 17 ms 192.168.27.5 Трассировка завершена. C:\>tracert 192.168.60.100 Трассировка маршрута к 192.168.60.100 с максимальным числом прыжков 30 1 1 ms 1 ms 1 ms Router [192.168.70.1] 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса. 4 * ^C C:\> Попробовал на Керио port forwarding/mapping скриншот 2 - работает, значит пакеты из 70 доходят, как минимум до Kerio WAN на 27.5, но маппинг мне не нужен. PS: в Голове на циске указан статичный маршрут, см. скриншот 3, больше нигде никакой статический роутинг не прописан. Что и где необходимо прописать, чтобы 70 сеть увидела 60, т.е. работали Windows SMB,RDP,Сетевые принтеры и другие сервисы и было все в шоколаде? Спасибо за помощь. |
Clan_F6
Очевидно, на керио нужно включить роутинг (без NAT, который "port forwarding/mapping"). Правда, не факт, что керио умеет роутинг LAN<->WAN без NAT - это нужно документацию изучать. Собственно, изначально продукт предназначен исключительно для "раздачи интернета", т.е. за WAN - "вражеская территория", откуда логично разрешать доступ либо по VPN, либо через port translation... Промежду LAN-портов роутинг, по идее, работать будет - но если в циску воткнуть LAN от керио вместо WAN - то керио не сможет выполнять свою "интернетозащитную функцию"... Разве что поднять для этого дополнительную подсеть между циской и вторым LAN-портом керио и роутить весь межофисный траффик через неё, но насколько это реализуемо в конкретно вашей ситуации - не знаю... |
Ещё один вариант: кинуть ещё один ipsec с циски в филиале непосредственно на kerio и пустить "филиальный" траффик по нему. Единственное "но": не готов ответить, насколько совместимы ipsec циски и керио между собой. Если всё-таки совместимы - то это самый простой путь.
|
Это первое, что мне пришло в голову: не цепляться к циске, а сразу цепануться к керио, минуя 27 подсеть. Но Керио на старой винде и в перспективе будет меняться на что-то другое, типа forti gate, поэтому не хочется двойную работу, да и понять бы, такая схема вообще рабочая или нет.
Сейчас ведь на Керио весь трафик с 27 сети приходит также по WAN порту. И я спокойно пингую из 27 всю 60 подсеть. Просто 70 трафик выходит из туннеля на 27.1, а дальше также по широковещательным запросам прыгает на 27.5 (WAN Kerio), и вот тут засада, как на керио его заставить прозрачно НАТиться в 60 сеть? Ведь 27 пролазит, за счет маршрутной карты А вот правила Керио НАТа |
Зачем вообще Керио за Сиской?
|
Итак, все получилось!
Что сделал: 1. На rv082 в IPSec policy поменял Local Group Setup локальную подсеть с 27 на 60. К сожалению, увеличив маску 192.168.0.0. 255.255.0.0 результата не принесло и туннель вообще упал. А эта старушка, не умеет работать с IP Group, как, например rv345, в котором как раз таки указана IP Group "group2760" 2. Прописал в Керио вот такое правило трафика (Т.е. не НАТить трафик, идущий в 70 сеть и кстати, данный скриншот делал уже из 70 сетки) В итоге через этот туннель: из 70 не вижу 27 сеть вообще, но она мне и не нужна, т.к. это телефония между филиалами, а в данном филиале ее пока попросту нет. Вижу всю 60. захожу по всем сервисам абсолютно прозрачно, понятно, что упираюсь в доменные креденшилсы, но это уже другая история, там я уже подкручу как мне надо. Если заменить старушку rv082 на такую же rv345, то схема cisco1<->cisco2<->kerio будет абсолютно рабочая и все три подсети будут видеть друг друга полностью. Большое спасибо за помощь и поддержку. Тему можно считать закрытой. добавлено через 11 минут Цитата:
добавлено через 5 минут ЗЫ: На этом форуме, я не выкладывал первичные настройки rv345, rv082 и керио, поэтому, выше написав про проблемный туннель №12, я слегка ввел в заблуждение. Если интересно, могу выложить скрины ipsec policy и керио |
| Часовой пояс GMT +4, время: 09:43. |
Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.