imho.ws
IMHO.WS  

Вернуться   IMHO.WS > Интернет, Глобальные и Локальные сети > Сети
Опции темы
Старый 03.01.2022, 02:20     # 1
Clan_F6
Junior Member
 
Регистрация: 30.01.2007
Адрес: Санкт-Петербург
Пол: Female
Сообщения: 84

Clan_F6 МолодецClan_F6 МолодецClan_F6 Молодец
Cisco1<->Cisco2<->Kerio Не могу зайти в третью подсеть Cisco1<->Kerio

Здравствуйте. Помогите решите задачу:
1. Есть Cisco RV345 (Оборудование в филиале Дочка).
1.1 WAN - Интернет провайдер с услугой Белого IP-адреса.
1.2 LAN - 192.168.70.1 / 24 (локальная сеть предприятия)

2. Есть Cisco RV082. (Оборудование в офисе Голова)
2.1 WAN - Интернет провайдер с услугой Белого IP-адреса.
2.2 LAN - Локальная сеть 192.168.27.1 / 24 (подсеть для телефонии)

3. Керио Control (Оборудование в офисе Голова)
3.1 WAN - 192.168.27.5 / 24 (кабель заходит в cisco rv082)
3.2 LAN - 192.168.60.100 / 24 (локальная сеть предприятия)

Итак, имеем подсеть 70 одного филиала, надо зайти в подсеть 60 в другом офисе.

Связал две cisco между собой Site-to-Site IPSec VPN туннель.
из 27 сети (rv082) пингую: 60-"ОК" (kerio), 70-"ОК" (rv345)
из 60 сети пингую 27-"ОК", 70-"ОК"
C:\>tracert 192.168.70.1
Трассировка маршрута к 192.168.70.1 с максимальным числом прыжков 30
1 1 ms <1 мс <1 мс 192.168.60.100
2 1 ms 1 ms 1 ms 192.168.27.1
3 15 ms 15 ms 15 ms 192.168.70.1
Трассировка завершена.

из 70 сети пингую: 27 - "ОК", 60 - не видит
C:\>tracert 192.168.27.1
Трассировка маршрута к 192.168.27.1 с максимальным числом прыжков 30
1 1 ms 1 ms 1 ms Router [192.168.70.1]
2 17 ms 16 ms 17 ms 192.168.27.1
Трассировка завершена.
На керио скриншот 1, в правилах трафика для подсети 70.0 разрешаю все, в итоге пинги проходят, но только на WAN интерфейс Керио 27.5
C:\>tracert 192.168.27.5
Трассировка маршрута к 192.168.27.5 с максимальным числом прыжков 30
1 1 ms 1 ms 1 ms Router [192.168.70.1]
2 * * * Превышен интервал ожидания для запроса.
3 18 ms 17 ms 17 ms 192.168.27.5
Трассировка завершена.
C:\>tracert 192.168.60.100
Трассировка маршрута к 192.168.60.100 с максимальным числом прыжков 30
1 1 ms 1 ms 1 ms Router [192.168.70.1]
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * ^C
C:\>

Попробовал на Керио port forwarding/mapping скриншот 2 - работает, значит пакеты из 70 доходят, как минимум до Kerio WAN на 27.5,
но маппинг мне не нужен.
PS: в Голове на циске указан статичный маршрут, см. скриншот 3, больше нигде никакой статический роутинг не прописан.

Что и где необходимо прописать, чтобы 70 сеть увидела 60, т.е. работали Windows SMB,RDP,Сетевые принтеры и другие сервисы и было все в шоколаде?

Спасибо за помощь.
Clan_F6 вне форума  
Старый 03.01.2022, 13:37     # 2
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 422

Borland - Гад и сволочь
Clan_F6
Очевидно, на керио нужно включить роутинг (без NAT, который "port forwarding/mapping").
Правда, не факт, что керио умеет роутинг LAN<->WAN без NAT - это нужно документацию изучать. Собственно, изначально продукт предназначен исключительно для "раздачи интернета", т.е. за WAN - "вражеская территория", откуда логично разрешать доступ либо по VPN, либо через port translation...
Промежду LAN-портов роутинг, по идее, работать будет - но если в циску воткнуть LAN от керио вместо WAN - то керио не сможет выполнять свою "интернетозащитную функцию"...
Разве что поднять для этого дополнительную подсеть между циской и вторым LAN-портом керио и роутить весь межофисный траффик через неё, но насколько это реализуемо в конкретно вашей ситуации - не знаю...
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  
Старый 03.01.2022, 14:31     # 3
Borland
СуперМод
IMHO Консультант 2005-2009
 
Аватар для Borland
 
Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 422

Borland - Гад и сволочь
Ещё один вариант: кинуть ещё один ipsec с циски в филиале непосредственно на kerio и пустить "филиальный" траффик по нему. Единственное "но": не готов ответить, насколько совместимы ipsec циски и керио между собой. Если всё-таки совместимы - то это самый простой путь.
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила!
Распространенье наше по планете
Особенно заметно вдалеке:
В общественном парижском туалете
Есть надписи на русском языке

В. Высоцкий

Borland вне форума  
Старый 03.01.2022, 16:02     # 4
Clan_F6
Junior Member
 
Регистрация: 30.01.2007
Адрес: Санкт-Петербург
Пол: Female
Сообщения: 84

Clan_F6 МолодецClan_F6 МолодецClan_F6 Молодец
Это первое, что мне пришло в голову: не цепляться к циске, а сразу цепануться к керио, минуя 27 подсеть. Но Керио на старой винде и в перспективе будет меняться на что-то другое, типа forti gate, поэтому не хочется двойную работу, да и понять бы, такая схема вообще рабочая или нет.
Сейчас ведь на Керио весь трафик с 27 сети приходит также по WAN порту. И я спокойно пингую из 27 всю 60 подсеть. Просто 70 трафик выходит из туннеля на 27.1, а дальше также по широковещательным запросам прыгает на 27.5 (WAN Kerio), и вот тут засада, как на керио его заставить прозрачно НАТиться в 60 сеть? Ведь 27 пролазит, за счет маршрутной карты
А вот правила Керио НАТа
Clan_F6 вне форума  
Старый 03.01.2022, 16:12     # 5
SinClaus
Котозавр
 
Аватар для SinClaus
 
Регистрация: 15.04.2003
Адрес: Russia, Tomsk
Пол: Male
Сообщения: 1 317

SinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех ГуруSinClaus Отец (мать) всех Гуру
Зачем вообще Керио за Сиской?
__________________
Паранойю у админов лечить нельзя, надо лишь следить, чтобы развивалась в нужном направлении
SinClaus вне форума  
Старый 03.01.2022, 19:00     # 6
Clan_F6
Junior Member
 
Регистрация: 30.01.2007
Адрес: Санкт-Петербург
Пол: Female
Сообщения: 84

Clan_F6 МолодецClan_F6 МолодецClan_F6 Молодец
Итак, все получилось!
Что сделал:
1. На rv082 в IPSec policy поменял Local Group Setup локальную подсеть с 27 на 60.
К сожалению, увеличив маску 192.168.0.0. 255.255.0.0 результата не принесло и туннель вообще упал. А эта старушка, не умеет работать с IP Group, как, например rv345, в котором как раз таки указана IP Group "group2760"

2. Прописал в Керио вот такое правило трафика (Т.е. не НАТить трафик, идущий в 70 сеть и кстати, данный скриншот делал уже из 70 сетки)

В итоге через этот туннель: из 70 не вижу 27 сеть вообще, но она мне и не нужна, т.к. это телефония между филиалами, а в данном филиале ее пока попросту нет. Вижу всю 60. захожу по всем сервисам абсолютно прозрачно, понятно, что упираюсь в доменные креденшилсы, но это уже другая история, там я уже подкручу как мне надо.
Если заменить старушку rv082 на такую же rv345, то схема cisco1<->cisco2<->kerio будет абсолютно рабочая и все три подсети будут видеть друг друга полностью.
Большое спасибо за помощь и поддержку. Тему можно считать закрытой.

добавлено через 11 минут
Цитата:
Сообщение от SinClaus Посмотреть сообщение
Зачем вообще Керио за Сиской?
Циска для организации телефонии между городами, если обратите внимание на номер проблемного туннеля, то увидите, что уже 11 подняты между городами, она гоняет телефонный трафик. Удобно из СПб в МСК набрать 100-199, вместо 9-8-499-123-45-66. Тут же позвонить в Ебург по номеру 200-299, вместо 9-8-343-123-45-66...мысль думаю ясна. Эстония, Германия и ряд других стран. Юзеры не держат в голове все эти коды. Просто три цифры и ты уже разговариваешь с коллегой. Ну, а Kerio уже внутри локалки, шейпить, закрывать торренты и всячески умерять аппетиты пользователей этой самой локалки, ну и параллельно еще эшелон защиты. Да и зачем всем другим филиалам видеть ресурсы локальной сети, если бы она оставалась в 27. Это не совсем секьюрно.

добавлено через 5 минут
ЗЫ: На этом форуме, я не выкладывал первичные настройки rv345, rv082 и керио, поэтому, выше написав про проблемный туннель №12, я слегка ввел в заблуждение.
Если интересно, могу выложить скрины ipsec policy и керио

Последний раз редактировалось Clan_F6; 03.01.2022 в 19:15.
Clan_F6 вне форума  

Опции темы

Ваши права в разделе
Вы НЕ можете создавать новые темы
Вы не можете отвечать в темах.
Вы НЕ можете прикреплять вложения
Вы НЕ можете редактировать свои сообщения

BB код Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход


Часовой пояс GMT +4, время: 15:14.




Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.