Показать сообщение отдельно
Старый 03.01.2022, 19:00     # 6
Clan_F6
Junior Member
 
Аватар для Clan_F6
 
Регистрация: 30.01.2007
Адрес: Санкт-Петербург
Пол: Female
Сообщения: 84

Clan_F6 МолодецClan_F6 МолодецClan_F6 Молодец
Итак, все получилось!
Что сделал:
1. На rv082 в IPSec policy поменял Local Group Setup локальную подсеть с 27 на 60.
К сожалению, увеличив маску 192.168.0.0. 255.255.0.0 результата не принесло и туннель вообще упал. А эта старушка, не умеет работать с IP Group, как, например rv345, в котором как раз таки указана IP Group "group2760"

2. Прописал в Керио вот такое правило трафика (Т.е. не НАТить трафик, идущий в 70 сеть и кстати, данный скриншот делал уже из 70 сетки)

В итоге через этот туннель: из 70 не вижу 27 сеть вообще, но она мне и не нужна, т.к. это телефония между филиалами, а в данном филиале ее пока попросту нет. Вижу всю 60. захожу по всем сервисам абсолютно прозрачно, понятно, что упираюсь в доменные креденшилсы, но это уже другая история, там я уже подкручу как мне надо.
Если заменить старушку rv082 на такую же rv345, то схема cisco1<->cisco2<->kerio будет абсолютно рабочая и все три подсети будут видеть друг друга полностью.
Большое спасибо за помощь и поддержку. Тему можно считать закрытой.

добавлено через 11 минут
Цитата:
Сообщение от SinClaus Посмотреть сообщение
Зачем вообще Керио за Сиской?
Циска для организации телефонии между городами, если обратите внимание на номер проблемного туннеля, то увидите, что уже 11 подняты между городами, она гоняет телефонный трафик. Удобно из СПб в МСК набрать 100-199, вместо 9-8-499-123-45-66. Тут же позвонить в Ебург по номеру 200-299, вместо 9-8-343-123-45-66...мысль думаю ясна. Эстония, Германия и ряд других стран. Юзеры не держат в голове все эти коды. Просто три цифры и ты уже разговариваешь с коллегой. Ну, а Kerio уже внутри локалки, шейпить, закрывать торренты и всячески умерять аппетиты пользователей этой самой локалки, ну и параллельно еще эшелон защиты. Да и зачем всем другим филиалам видеть ресурсы локальной сети, если бы она оставалась в 27. Это не совсем секьюрно.

добавлено через 5 минут
ЗЫ: На этом форуме, я не выкладывал первичные настройки rv345, rv082 и керио, поэтому, выше написав про проблемный туннель №12, я слегка ввел в заблуждение.
Если интересно, могу выложить скрины ipsec policy и керио
__________________
У вас никогда не будет второго шанса произвести первое впечатление... © Дон Аспромонте

Последний раз редактировалось Clan_F6; 03.01.2022 в 19:15.
Clan_F6 вне форума