Pagina 1 di 1
2821 e last resort gateway, è possibile sceglierne + di uno?
Inviato: lun 06 ago , 2007 8:12 pm
da boobee
Ciao a tutti..
Sto usando due 2821 in glbp come router interni per un po' di vlan. Configurazione molto elementare in quanto in ambito cisco ne so meno di zero, ho aggiunto ip route 0.0.0.0 0.0.0.0 ip_del_firewall per permettere ad ogni macchina di uscire dalla rete interna (hanno come default gateway l'ip della subint -della vlan di appartenenza- definita sui cisco).
Di firewall poi ne ho due, posso definire le cose in modo che un gruppo di ip interni venga instradato sul primo firewall e un altro gruppo sul secondo? Vorrei in sostanza poter cambiare la tabella di routing per un singolo client senza intervenire sul default gateway del client stesso.
Immagino si possa fare senz'altro, ma come? ip route non mi chiede altro che una destinazione.
Grazie mille!
Inviato: mar 07 ago , 2007 8:41 am
da andrewp
Route map...
Inviato: mar 07 ago , 2007 10:17 am
da boobee
Grazie Andrea!
Piu' loquacemente, a chi dovesse interessare:
Creare l'acl:
Creare la route-map:
Codice: Seleziona tutto
route-map nome_della_route_map permit 10
match ip address 10
set ip next-hop ip_del_gateway
Poi sull'interfaccia dove transita ip_sorgente
Inviato: mar 07 ago , 2007 10:56 am
da andrewp
Esatto, ottimo lavoro
Non potevo toglierti la gioia di scoprirlo con le tue manine ghghggh...
Inviato: mar 07 ago , 2007 11:37 am
da boobee
ho assolutamente apprezzato il gesto, la gioia nel vederlo funzionare è stata grande, confermo, grazie di nuovo
MA, visto che ci siamo: ultima domanda da profano, sempre attinente all'oggetto del thread.
Utilizzando questo tipo di policy routing ho potuto specificare l'ip sorgente e l'hop successivo per tutte le destinazioni. Ora, tra le mie route statiche ne ho anche una per una rete (192.168.0.0/24) raggiungibile da un tunnel openvpn (ip route 192.168.0.0 255.255.255.0 10.0.0.2). purtroppo il comando ip route ha perso giustamente priorita' dopo aver aggiunto route-map, c'e' qualcosa da fare nella definizione della route-map stessa?
ho provato a creare una nuova acl definendo la rete remota (acl 11), e ad aggiungerla alla route-map, il risultato e' stato questo e non funge, passa sempre dal primo
Codice: Seleziona tutto
route-map nome_r_m permit 10
match ip address 10 11
set ip next-hop 10.0.0.1 10.0.0.2
la via più semplice sarebbe una route sul primo firewall che inoltri il traffico per la openvpn sul secondo, ma vorrei sapere come poterlo fare direttamente sul 2821!
dimenticavo, mi accontento della parola chiave anche sto giro
grazie 1k
Inviato: mar 07 ago , 2007 1:49 pm
da andrewp
Hehehehe, prova a dare alla prima:
route-map nome_della_route_map permit 20
e la seconda, quella dell'acl 11:
route-map nome_della_route_map permit 10
Fammi sapere...
Inviato: mar 07 ago , 2007 3:33 pm
da boobee
niente da fare...
Codice: Seleziona tutto
route-map nome permit 10
match ip address 11
set ip next-hop 10.0.0.1
!
route-map nome permit 20
match ip address 10
set ip next-hop 10.0.0.2
dove
- acl 10 è l'ip della mia macchina (10.0.0.116)
- acl 11 è la subnet oltre la openvpn (192.168.0.0/0.0.0.255) ed è raggiungibile da 10.0.0.1 (non 10.0.0.2, mea culpa, ma poco importa credo)
se faccio un pathping su un qualunque host (esterno o la 192 remota) vengo instradato sempre e comunque con la route-map 20 (perche' c'e' il match con l'acl 10, il mio ip di provenienza?), non passo mai dalla route-map 10 che mi serve a raggiungere la 192.
Inviato: mar 07 ago , 2007 4:47 pm
da boobee
l'ignoranza è proprio brutta...
l'acl era sbagliata, dichiaravo solo l'host di partenza, cosi' invece specifico sorgente e destinazione.
Codice: Seleziona tutto
access-list 101 permit ip host 10.0.0.116 host 192.168.0.254
ora funziona, ho tirato via anche le default route cosi' i pacchetti che non trovano riscontro nelle acl vengono cestinati.
grazie