2 Gateway sulla stessa rete

Tutto ciò che ha a che fare con le reti

Moderatore: Federico.Lagni

Rispondi
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

Ciao,
volevo sottoporvi un quesito ho una rete un po' articolata, cerco di spiegarla tutta.
La rete:
Rete Remota 192.168.2.xxx

Rete locale 192.168.5.xxx
queste due reti vanno in VPN tra loro.
dalla rete remota io pingo 192.168.5.xxx tutta.
Il mio problema e' questo. dovrei far navigare gli utenti della 192.168.2.xxx sul Gw per Internet che e' presente sulla 192.168.5.75
Che rotta posso inserire per specificare a tutti i pacchetti che giungono dalla 192.168.2.xxx sul Gw 192.168.5.75?
tenendo conto del fatto che sul router il defalt Gw e' impostato verso un altro Gw(69.253.68.254).

Ho provato con diverse route:
ip route 0.0.0.0 0.0.0.0 69.253.68.254
ip route 8.8.8.8 255.255.255.255 192.168.5.75

con le due rotte sopra descritte dalla rete remota pingo senza problemi 192.168.5.75 e 8.8.8.8 , ma ovviamente non navigo ...
mi occorrebbe una route che mi trasporti tutto il traffico della Vpn verso il Gw 192.168.5.75.

Vi ringrazio anticipatamente !!!!
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ho letto un po' di corsa, ma se ho capito devi sostituire

Codice: Seleziona tutto

ip route 0.0.0.0 0.0.0.0 69.253.68.254
con

Codice: Seleziona tutto

ip route 0.0.0.0 0.0.0.0 192.168.5.75
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

No, se cambio la default GW, purtroppo poi non mi torna su la VPN.
Io dovrei stabile la VPN su un GW ed un GW per la navigazione ...
Grazie mille per la risposta.
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Beh puoi mettere una rotta per l'indirizzo della VPN su un altro GW

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Allora se ho capito bene questa è la tua situazione:
screenshot.png
Queste sono le rotte di R1

Codice: Seleziona tutto

ip route 0.0.0.0 0.0.0.0 Tunnel0
ip route 192.168.23.0 255.255.255.0 192.168.13.2
Come vedi c'è una rotta per raggiungere l'IP del gateway IPSEC e tutto il traffico viene dirottato sul tunnel 0 (ipsec)
Quando PC1 prova a contattare PC3 (un utente internet), il traffico esce da R2.

Codice: Seleziona tutto

PC1> trace 192.168.3.2
trace to 192.168.3.2, 8 hops max, press Ctrl+C to stop
 1   192.168.1.1   79.000 ms  32.000 ms  36.000 ms
 2   192.168.23.2   339.000 ms  234.000 ms  341.000 ms
 3   192.168.23.3   276.000 ms  264.000 ms  318.000 ms
 4   *192.168.3.2   301.000 ms 
Ricordati di nattare tutte le reti in gioco.

Paolo
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
Non cade foglia che l'inconscio non voglia (S.B.)
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

2GW.JPG
Da qui dovresti trovare tutte le info ... il problema e' appunto che dalla Lan remota 192.168.2.xxx dovrei navigare verso il Gw 192.168.5.75
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Beh il principio è lo stesso di quello che ti ho indicato.

Ciao
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

Ottimo, beh si, a vedere meglio potrebbe andare, ma non riesco.
Ti spiego, non riesco ad inserire la prima rotta che mi indichi:
ip route 0.0.0.0 0.0.0.0 Tunnel0

cioe' mi accetta tutto, tranne non riesco a capire il numero del mio tunnel, nel senso che non si prende tunnel 0, ne 0/0, ne 1 .... ma mi dice solo che e' numerico .... come posso ricavare quale e' il num del mio tunnel?
Grazie Mille mi sa che stiamo arrivando alla giusta conclusione.
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Io ho messo tunnel perché ho fatto una VPN appoggiata sul tunnel.
Tu puoi mettere direttamente l'IP del gateway (se lo riesci a pingare).

Se no posta la configurazione e vediamo.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

Codice: Seleziona tutto

difxxx#sh run
Building configuration...

Current configuration : 1601 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname difxxx
!
boot-start-marker
boot-end-marker
!
logging buffered 1000000 debugging
!
no aaa new-model
!
resource policy
!
ip cef
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 13
 authentication pre-share
 group 2
crypto isakmp key d1f0xxx address 91.81.223.24
crypto isakmp key d1fxxx address 91.81.223.21
!
!
crypto ipsec transform-set DIFxxx esp-3des esp-sha-hmac
!
crypto map cdalight 13 ipsec-isakmp
 set peer 91.81.223.24
 set peer 91.81.223.21
 set transform-set DIFxxx
 match address 103
!
!
!
!
interface FastEthernet0/0
 description FE Verso LAN
 ip address 192.168.5.1 255.255.255.0
 duplex auto
 speed auto
!
interface FastEthernet0/1
 description FE Verso WAN-Internet
 ip address 62.196.76.253 255.255.255.248
 no ip route-cache cef
 no ip route-cache
 duplex auto
 speed auto
 crypto map cdalight
!
ip route 0.0.0.0 0.0.0.0 62.196.76.254
ip route 83.224.94.56 255.255.255.248 192.168.5.6

!
!
ip http server
no ip http secure-server
!
access-list 103 permit ip any 83.224.94.56 0.0.0.7
access-list 103 permit ip any 91.80.47.80 0.0.0.7
access-list 103 permit ip any 192.168.2.0 0.0.0.127
access-list 103 permit ip any 192.168.2.128 0.0.0.127
!
!
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
 login
!
scheduler allocate 20000 1000
end

difxxx#
Questa e' la configigurazione
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Ciao.
Ti conviene di mascherare gli IP nella configurazionen e le password/key.

Venendo a noi, come mai 2 peer della stessa network?
Sembra che hai postato la configurazione del router al centro, invece che quello sulla sinistra.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

Esatto!!! Paolo ho postato la configurazione del router centrale e' quello su cui posso lavorare. che configurazione mi consigli?
paolomat75
Messianic Network master
Messaggi: 2965
Iscritto il: ven 29 gen , 2010 10:25 am
Località: Prov di GE

Devi poter lavorare anche sul router sulla sinistra, dove c'è la rete 192.168.2.XXX. Se quello non manda i pacchetti verso l'altro non potrai mai far niente.

Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
dagoma
n00b
Messaggi: 23
Iscritto il: ven 18 mag , 2012 10:40 am

Ciao grazie ancora per le risposte. Il router di Sx non e' di mia competenza, ma se ho bisogno, posso richiedere un cambio di configurazione.
Rispondi