sunrise333 Опубликовано 15 мая, 2010 · Жалоба Всем доброго времени суток. Исходные данные: 1. В голове Cisco 3725 flash:c3725-advipservicesk9-mz.123-9.bin от прова ADSL все по PPPoE но оплачен статический IP 2. В удалённых офисах Cisco 1751V flash:c1700-ipvoice-mz.124-23.bin от прова ADSL пока статика, но в начале след года всех переведут на PPPoE и скорее всего даинамический IP Необходимо: Организовать VPN передача голоса доступ удалённых сетей к корпоративной Вопрос: В какую сторону смотреть? Dynamic Multipoint VPN (DMVPN) - это оно? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Ivan_83 Опубликовано 15 мая, 2010 · Жалоба Поставьте фряху и мпд5, настраивается элементарно, достаточно статического ИП только на сервере в центре, на один удалённый офис - 1 линк, который этот офис и поднимает, в обратку не нужно поднимать ничего. А по адсл у вас ничего хорошего не выйдет - скорости маленькие. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
ugluck Опубликовано 15 мая, 2010 · Жалоба VPDN. цыски с филиалов достукиваются до головного офиса по л2тп. всё. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Puno Опубликовано 16 мая, 2010 · Жалоба sunrise333 Не имеет значения PPPoE или нет - главное чтобы был интерфейс (dialer, atm или fa), на котором можно поднять VPN. Важно чтобы IOS был не менее advipservices на всех цисках (и чтобы памяти с флэшем было достаточно для этого IOS). Для организации VPN можно использовать: - EasyVPN - унификация доступа 1751 и программных CiscoVPN-клиентов - DMVPN - я бы предпочел именно DMVPN И ничто не мешает совместить EasyVPN и DMVPN... Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Puno Опубликовано 16 мая, 2010 · Жалоба А по адсл у вас ничего хорошего не выйдет - скорости маленькие. Весьма спорное утверждение - даже в Нерезиновой через ADSL офисники голос беспроблемно гоняют Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sunrise333 Опубликовано 16 мая, 2010 (изменено) · Жалоба sunrise333 Не имеет значения PPPoE или нет - главное чтобы был интерфейс (dialer, atm или fa), на котором можно поднять VPN. Получается interface Tunnel0 просто есть и его привязывать к какому либо уже существующему interface необходимости нет? АТМ и Dialer присутствуют, это понятно, просто как HUBу приписать IP если я его получаю динамически по PPPoE (но каждый раз один и тот же)? Важно чтобы IOS был не менее advipservices на всех цисках (и чтобы памяти с флэшем было достаточно для этого IOS). c3725-advipservicesk9-mz.123-9.bin уже стоит. Пойдет? Для организации VPN можно использовать:- EasyVPN - унификация доступа 1751 и программных CiscoVPN-клиентов - DMVPN - я бы предпочел именно DMVPN И ничто не мешает совместить EasyVPN и DMVPN... Спасибо, уже что -то начинает проясняться. Т.е. софтовый CiscoVPN клиент с DMVPN не работает, нужно ещё и EasyVPN в голове поднимать? Изменено 17 мая, 2010 пользователем sunrise333 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
Puno Опубликовано 17 мая, 2010 · Жалоба Получается interface Tunnel0 просто есть и его привязывать к какому либо уже существующемуinterface необходимости нет? АТМ и Dialer присутствуют, это понятно, просто как HUBу приписать IP если я его получаю динамически по PPPoE (но каждый раз один и тот же)? Нет, Tunnel0 надо привязывать к интерфейсу, но HUBу назначается только внутренний адрес тунеля: interface Tunnel0 description DMVPN Tunnel Hub ip address 172.16.1.1 255.255.255.0 <скип> tunnel source ATM0.40 tunnel mode gre multipoint tunnel key "Key" tunnel protection ipsec profile "Profile-Name" А на всех SPOKE уже надо указывать адрес HUB'а: interface Tunnel1 description DMVPN Tunnel Spoke ip address 172.16.0.1 255.255.255.0 ip nhrp authentication "ХХХХ" ip nhrp map 172.16.0.1 "Real IP HUB'а" ip nhrp map multicast "Real IP HUB'а" <скип> tunnel source Dialer0 tunnel mode gre multipoint tunnel key "Key" tunnel protection ipsec profile "Profile-Name" c3725-advipservicesk9-mz.123-9.bin уже стоит.Пойдет? IOS древний, поэтому надо проверять наличие DMVPN на Feature NavigatorДля 1751 тоже надо IOS c DMVPN (или EasyVPN client) Т.е. софтовый CiscoVPN клиент с DMVPN не работает, нужно ещё и EasyVPN в голове поднимать?Да Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sunrise333 Опубликовано 12 июля, 2010 · Жалоба Всем привет. Вернулся из пампасов и вопрос поднят вновь. Вот конфиги, что не так? Current configuration : 10203 bytes ! version 12.4 service timestamps debug datetime localtime service timestamps log datetime localtime no service password-encryption ! hostname hub ! boot-start-marker boot-end-marker ! enable secret 5 $1$DIn.$0cCoHIGkX1rILryfQypWB0 enable password zuzuzu ! no aaa new-model clock timezone Fiji 12 voice-card 1 no dspfarm ! voice-card 2 no dspfarm ! ip cef ! ! no ip dhcp use vrf connected ip dhcp excluded-address 192.168.1.66 192.168.1.254 ! ip dhcp pool Office network 192.168.1.0 255.255.255.0 default-router 192.168.1.199 dns-server 85.28.195.130 85.28.195.129 ! ! ! no ip domain lookup ip host hub 77.77.77.16 ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 vpdn enable ! ! ! username useruser password 0 zuzuzu ! ! ! crypto keyring dmvpnspokes pre-shared-key address 0.0.0.0 0.0.0.0 key zuzuzu ! crypto isakmp policy 1 authentication pre-share crypto isakmp key zuzuzu address 0.0.0.0 0.0.0.0 ! ! crypto ipsec transform-set trans2 esp-des esp-md5-hmac mode transport ! crypto ipsec profile vpnprof set transform-set trans2 ! ! ! ! ! interface Tunnel0 ip address 10.0.0.1 255.255.255.0 no ip redirects ip mtu 1416 no ip next-hop-self eigrp 1 ip nhrp authentication zuzuzu ip nhrp map multicast dynamic ip nhrp network-id 999 ip nhrp holdtime 300 ip tcp adjust-mss 1360 no ip split-horizon eigrp 1 delay 1000 tunnel source Dialer1 tunnel mode gre multipoint tunnel key 999 tunnel protection ipsec profile vpnprof ! interface ATM0/0 no ip address ip nbar protocol-discovery no atm ilmi-keepalive dsl operating-mode auto pvc 0/35 pppoe-client dial-pool-number 1 ! ! interface FastEthernet0/0 no ip address shutdown duplex auto speed auto ! interface FastEthernet0/1 ip address 192.168.1.199 255.255.255.0 ip nbar protocol-discovery ip nat inside ip nat enable ip virtual-reassembly ip tcp adjust-mss 1452 speed auto full-duplex no mop enabled ! interface Dialer1 mtu 1492 ip address negotiated ip nat outside ip nat enable ip virtual-reassembly encapsulation ppp dialer pool 1 ppp chap hostname pppoe-363636 ppp chap password 0 zuzuzu ppp pap sent-username pppoe-363636 password 0 zuzuzu ! router eigrp 1 redistribute static network 10.0.0.0 0.0.0.255 network 192.168.1.0 network 192.168.28.0 auto-summary ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 10.0.0.0 255.255.255.0 Tunnel0 ip route 192.168.28.0 255.255.255.0 Tunnel0 ! ! no ip http server no ip http secure-server ip nat inside source list 1 interface Dialer1 overload ip nat inside source static 192.168.1.250 interface Dialer1 ! access-list 1 permit 192.168.1.0 0.0.0.255 ! ! ! control-plane ! ! ! ! voice-port 2/0/16 cptone RU connection plar 133 ! voice-port 2/0/17 cptone RU connection plar 134 ! ! ! ! ! dial-peer voice 1 pots destination-pattern 1 port 2/0/15 ! dial-peer voice 131 voip destination-pattern 131 session target ipv4:192.168.1.198 ! ! ! ! line con 0 line aux 0 logging synchronous level all modem Dialin transport input all escape-character NONE stopbits 1 flowcontrol hardware line vty 0 4 password zuzuzu login ! ! end Current configuration : 2634 bytes ! version 12.4 service timestamps debug datetime localtime service timestamps log datetime localtime no service password-encryption ! hostname spoke ! boot-start-marker boot system flash boot system flash c1700-advipservicesk9-mz.124-25a.bin boot-end-marker ! enable secret 5 $1$RMDL$5/qQBvviTMBzoHdxvbAtD1 enable password zuzuzu ! no aaa new-model voice-card 2 ! ip cef ! ! ! ! no ip domain lookup ip auth-proxy max-nodata-conns 3 ip admission max-nodata-conns 3 ! ! username useruser privilege 15 secret 5 $1$OMnR$5d5/TI9xiIy.oh1zQcff70 ! ! ! ! crypto isakmp policy 1 hash md5 authentication pre-share crypto isakmp key zuzuzu address 0.0.0.0 0.0.0.0 ! ! crypto ipsec transform-set trans2 esp-3des esp-md5-hmac mode transport ! crypto ipsec profile vpnprof set security-association lifetime seconds 120 set transform-set trans2 ! ! ! ! ! interface Tunnel0 ip address 10.0.0.2 255.255.255.0 no ip redirects ip mtu 1440 ip nhrp authentication zuzuzu ip nhrp map multicast dynamic ip nhrp map 10.0.0.1 77.77.77.16 ip nhrp map multicast 77.77.77.16 ip nhrp network-id 999 ip nhrp holdtime 300 ip nhrp nhs 10.0.0.1 ip nhrp registration no-unique no ip split-horizon eigrp 1 tunnel source Dialer1 tunnel mode gre multipoint tunnel key 999 tunnel protection ipsec profile vpnprof ! interface ATM0/0 no ip address no atm ilmi-keepalive dsl operating-mode auto pvc 0/35 pppoe-client dial-pool-number 1 ! ! interface FastEthernet0/0 ip address 192.168.28.1 255.255.255.0 ip nbar protocol-discovery ip nat inside ip nat enable ip virtual-reassembly ip tcp adjust-mss 1452 speed auto full-duplex ! interface Dialer1 mtu 1492 ip address negotiated ip nat outside ip nat enable ip virtual-reassembly encapsulation ppp dialer pool 1 ppp chap hostname pppoe-373737 ppp chap password 0 zuzuzu ppp pap sent-username pppoe-373737 password 0 zuzuzu ! router eigrp 1 redistribute static network 10.0.0.0 0.0.0.255 network 192.168.1.0 network 192.168.28.0 auto-summary ! ip forward-protocol nd ip route 0.0.0.0 0.0.0.0 Dialer1 ip route 10.0.0.0 255.255.255.0 Tunnel0 ip route 192.168.1.0 255.255.255.0 Tunnel0 ! ! no ip http server no ip http secure-server ip nat inside source list 1 interface Dialer1 overload ip nat inside source static 192.168.2.114 interface Dialer1 ! access-list 1 permit 192.168.28.0 0.0.0.255 ! ! ! control-plane ! ! ! voice-port 2/0 cptone RU ! voice-port 2/1 cptone RU ! ! line con 0 line aux 0 line vty 0 4 privilege level 15 password zuzuzu login transport input telnet ssh ! end С маршрутизатора spoke белый адрес hubа 77.77.77.16 пингуется больше ничего ни 10.0.0.1 ни естественно 192.168.1.199 С маршрутизатора hub динамически присвоенный адрес spokeа 77.77.77.18 не пингуется Что не так? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 12 июля, 2010 (изменено) · Жалоба МТУ? Маршруты? Изменено 12 июля, 2010 пользователем yakuzzza Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sunrise333 Опубликовано 12 июля, 2010 · Жалоба МТУ? Маршруты?Не сочтите за грубость, но это ответ или вопрос?В любом случае несколько поконкретнее можно? Уже сутки без сна мозги как то плохо соображают. Если есть конкретное предложение то готов его проверить. Если необходим какой либо дебаг вывод то какой? Выложу. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 12 июля, 2010 · Жалоба Туннельные интерфейсы почему имеют разный МТУ на роутерах? Так задумано? Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sunrise333 Опубликовано 12 июля, 2010 · Жалоба Туннельные интерфейсы почему имеют разный МТУ на роутерах? Так задумано?да вижу куча талмудов по DMVPN в них по рзному вот и пропарился.попробовал поменять пара 1416-1416 и пара 1440-1400 результат отрицательный, что дальше? Однако спасибо косяки такого рода уже и не виже. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 12 июля, 2010 · Жалоба Я так понимаю на hub 77.77.77.16 статика всегда отдается на ифейс Dialer1. Должно работать что-то такое типа такого: interface Tunnel0 description === to HUBB === ip address 10.0.0.2 255.255.255.0 no ip redirects ip mtu <что там у вас правильно> ip nhrp authentication nhrp1234 ip nhrp map 10.0.0.1 77.77.77.16 ip nhrp map multicast 77.77.77.16 ip nhrp network-id 333 ip nhrp nhs 10.0.0.1 ip nhrp registration no-unique tunnel source Dialer1 tunnel mode gre multipoint tunnel key 333 end interface Tunnel0 description === to Spokes === ip address 10.0.0.1 255.255.255.0 no ip redirects ip mtu <что там у вас правильно> ip nhrp authentication nhrp1234 ip nhrp map multicast dynamic ip nhrp network-id 333 tunnel source 77.77.77.16 tunnel mode gre multipoint tunnel key 333 end Это без IPSec. Подняли туннель. Потом добавили роуты. Потом пустили ч-з IPSec. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sunrise333 Опубликовано 13 июля, 2010 (изменено) · Жалоба Все уже упростил до минимума. На HUBе ! interface Tunnel0 ip address 10.10.10.1 255.255.255.0 no ip redirects ip mtu 1440 ip nhrp map multicast dynamic ip nhrp network-id 999 tunnel source Dialer1 tunnel mode gre multipoint ! На SPOKE ! interface Tunnel0 ip address 10.10.10.2 255.255.255.0 no ip redirects ip mtu 1440 ip nhrp map 10.10.10.1 77.77.77.16 ip nhrp map multicast 77.77.77.16 ip nhrp network-id 999 ip nhrp nhs 10.10.10.1 ip nhrp registration no-unique tunnel source Dialer1 tunnel destination 77.77.77.16 ! Полная хрень на SPOKE 77.77.77.16 пингуется 10.10.10.1 не пингуется на HUBе не пингуется ни 77.77.77.18 ни 10.10.10.2 по sh ip nhrp на SPOKE виден тунель на HUBе пусто куда копать хрен его знает. Да кстати вот это может быть помехой: ip nat inside source list 1 interface Dialer1 overload ip nat inside source static tcp 192.168.1.250 1723 interface Dialer1 1723 ip nat inside source static tcp 192.168.1.250 21 interface Dialer1 21 ip nat inside source static tcp 192.168.1.250 3389 interface Dialer1 3389 ip nat inside source static 192.168.1.250 interface Dialer1 Изменено 13 июля, 2010 пользователем sunrise333 Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
yakuzzza Опубликовано 13 июля, 2010 · Жалоба Ну ты дядя даешь, ей богу. Как же ты пинговать будешь? Небось еще и винда стоит, и с файерволлом. Завернул все что бежит на реальник твой на внутреннюю машину. Правила пата ваще веселые - сначала пробрасываешь портики, а потом и всю машину завалил. Выкинь статик для 192.168.1.250. Я думаю, что там у тебя еще и ACL есть тоже веселые. Первое, что ты должен проверить - наличие ч-з реальные IP достижимости спока от хаба и наоборот. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...
sunrise333 Опубликовано 13 июля, 2010 · Жалоба Короче сам разобрался. Ну ты дядя даешь, ей богу. Как же ты пинговать будешь? Небось еще и винда стоит, и с файерволлом. Ага она родимая Завернул все что бежит на реальник твой на внутреннюю машину. Правила пата ваще веселые - сначала пробрасываешь портики, а потом и всю машину завалил. Выкинь статик для 192.168.1.250. Уже так и сделал все нормуль просто статик всего на 192.168.1.250 по удаленке вырезать не получилось Вертолет рулит. :) Я думаю, что там у тебя еще и ACL есть тоже веселые.Первое, что ты должен проверить - наличие ч-з реальные IP достижимости спока от хаба и наоборот. Заработало. Японская мафия непобедима. :) Спасибо за участие, Ваши замечания взбадривали головной мозг. Похоже тема закрыта. Вставить ник Цитата Ответить с цитированием Поделиться сообщением Ссылка на сообщение Поделиться на других сайтах More sharing options...