Ciao,
volevo sottoporvi un quesito ho una rete un po' articolata, cerco di spiegarla tutta.
La rete:
Rete Remota 192.168.2.xxx
Rete locale 192.168.5.xxx
queste due reti vanno in VPN tra loro.
dalla rete remota io pingo 192.168.5.xxx tutta.
Il mio problema e' questo. dovrei far navigare gli utenti della 192.168.2.xxx sul Gw per Internet che e' presente sulla 192.168.5.75
Che rotta posso inserire per specificare a tutti i pacchetti che giungono dalla 192.168.2.xxx sul Gw 192.168.5.75?
tenendo conto del fatto che sul router il defalt Gw e' impostato verso un altro Gw(69.253.68.254).
Ho provato con diverse route:
ip route 0.0.0.0 0.0.0.0 69.253.68.254
ip route 8.8.8.8 255.255.255.255 192.168.5.75
con le due rotte sopra descritte dalla rete remota pingo senza problemi 192.168.5.75 e 8.8.8.8 , ma ovviamente non navigo ...
mi occorrebbe una route che mi trasporti tutto il traffico della Vpn verso il Gw 192.168.5.75.
Vi ringrazio anticipatamente !!!!
2 Gateway sulla stessa rete
Moderatore: Federico.Lagni
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ho letto un po' di corsa, ma se ho capito devi sostituire con
Paolo
Codice: Seleziona tutto
ip route 0.0.0.0 0.0.0.0 69.253.68.254
Codice: Seleziona tutto
ip route 0.0.0.0 0.0.0.0 192.168.5.75
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 23
- Iscritto il: ven 18 mag , 2012 10:40 am
No, se cambio la default GW, purtroppo poi non mi torna su la VPN.
Io dovrei stabile la VPN su un GW ed un GW per la navigazione ...
Grazie mille per la risposta.
Io dovrei stabile la VPN su un GW ed un GW per la navigazione ...
Grazie mille per la risposta.
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Beh puoi mettere una rotta per l'indirizzo della VPN su un altro GW
Paolo
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Allora se ho capito bene questa è la tua situazione:
Come vedi c'è una rotta per raggiungere l'IP del gateway IPSEC e tutto il traffico viene dirottato sul tunnel 0 (ipsec)
Quando PC1 prova a contattare PC3 (un utente internet), il traffico esce da R2.
Ricordati di nattare tutte le reti in gioco.
Paolo
Queste sono le rotte di R1
Codice: Seleziona tutto
ip route 0.0.0.0 0.0.0.0 Tunnel0
ip route 192.168.23.0 255.255.255.0 192.168.13.2
Quando PC1 prova a contattare PC3 (un utente internet), il traffico esce da R2.
Codice: Seleziona tutto
PC1> trace 192.168.3.2
trace to 192.168.3.2, 8 hops max, press Ctrl+C to stop
1 192.168.1.1 79.000 ms 32.000 ms 36.000 ms
2 192.168.23.2 339.000 ms 234.000 ms 341.000 ms
3 192.168.23.3 276.000 ms 264.000 ms 318.000 ms
4 *192.168.3.2 301.000 ms
Paolo
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 23
- Iscritto il: ven 18 mag , 2012 10:40 am
Da qui dovresti trovare tutte le info ... il problema e' appunto che dalla Lan remota 192.168.2.xxx dovrei navigare verso il Gw 192.168.5.75
Non hai i permessi necessari per visualizzare i file allegati in questo messaggio.
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Beh il principio è lo stesso di quello che ti ho indicato.
Ciao
Paolo
Ciao
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 23
- Iscritto il: ven 18 mag , 2012 10:40 am
Ottimo, beh si, a vedere meglio potrebbe andare, ma non riesco.
Ti spiego, non riesco ad inserire la prima rotta che mi indichi:
ip route 0.0.0.0 0.0.0.0 Tunnel0
cioe' mi accetta tutto, tranne non riesco a capire il numero del mio tunnel, nel senso che non si prende tunnel 0, ne 0/0, ne 1 .... ma mi dice solo che e' numerico .... come posso ricavare quale e' il num del mio tunnel?
Grazie Mille mi sa che stiamo arrivando alla giusta conclusione.
Ti spiego, non riesco ad inserire la prima rotta che mi indichi:
ip route 0.0.0.0 0.0.0.0 Tunnel0
cioe' mi accetta tutto, tranne non riesco a capire il numero del mio tunnel, nel senso che non si prende tunnel 0, ne 0/0, ne 1 .... ma mi dice solo che e' numerico .... come posso ricavare quale e' il num del mio tunnel?
Grazie Mille mi sa che stiamo arrivando alla giusta conclusione.
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Io ho messo tunnel perché ho fatto una VPN appoggiata sul tunnel.
Tu puoi mettere direttamente l'IP del gateway (se lo riesci a pingare).
Se no posta la configurazione e vediamo.
Paolo
Tu puoi mettere direttamente l'IP del gateway (se lo riesci a pingare).
Se no posta la configurazione e vediamo.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 23
- Iscritto il: ven 18 mag , 2012 10:40 am
Codice: Seleziona tutto
difxxx#sh run
Building configuration...
Current configuration : 1601 bytes
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec
no service password-encryption
!
hostname difxxx
!
boot-start-marker
boot-end-marker
!
logging buffered 1000000 debugging
!
no aaa new-model
!
resource policy
!
ip cef
!
!
!
!
!
!
!
!
!
!
crypto isakmp policy 13
authentication pre-share
group 2
crypto isakmp key d1f0xxx address 91.81.223.24
crypto isakmp key d1fxxx address 91.81.223.21
!
!
crypto ipsec transform-set DIFxxx esp-3des esp-sha-hmac
!
crypto map cdalight 13 ipsec-isakmp
set peer 91.81.223.24
set peer 91.81.223.21
set transform-set DIFxxx
match address 103
!
!
!
!
interface FastEthernet0/0
description FE Verso LAN
ip address 192.168.5.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
description FE Verso WAN-Internet
ip address 62.196.76.253 255.255.255.248
no ip route-cache cef
no ip route-cache
duplex auto
speed auto
crypto map cdalight
!
ip route 0.0.0.0 0.0.0.0 62.196.76.254
ip route 83.224.94.56 255.255.255.248 192.168.5.6
!
!
ip http server
no ip http secure-server
!
access-list 103 permit ip any 83.224.94.56 0.0.0.7
access-list 103 permit ip any 91.80.47.80 0.0.0.7
access-list 103 permit ip any 192.168.2.0 0.0.0.127
access-list 103 permit ip any 192.168.2.128 0.0.0.127
!
!
!
!
!
!
control-plane
!
!
!
line con 0
line aux 0
line vty 0 4
login
!
scheduler allocate 20000 1000
end
difxxx#
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Ciao.
Ti conviene di mascherare gli IP nella configurazionen e le password/key.
Venendo a noi, come mai 2 peer della stessa network?
Sembra che hai postato la configurazione del router al centro, invece che quello sulla sinistra.
Paolo
Ti conviene di mascherare gli IP nella configurazionen e le password/key.
Venendo a noi, come mai 2 peer della stessa network?
Sembra che hai postato la configurazione del router al centro, invece che quello sulla sinistra.
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 23
- Iscritto il: ven 18 mag , 2012 10:40 am
Esatto!!! Paolo ho postato la configurazione del router centrale e' quello su cui posso lavorare. che configurazione mi consigli?
-
- Messianic Network master
- Messaggi: 2965
- Iscritto il: ven 29 gen , 2010 10:25 am
- Località: Prov di GE
Devi poter lavorare anche sul router sulla sinistra, dove c'è la rete 192.168.2.XXX. Se quello non manda i pacchetti verso l'altro non potrai mai far niente.
Paolo
Paolo
Non cade foglia che l'inconscio non voglia (S.B.)
-
- n00b
- Messaggi: 23
- Iscritto il: ven 18 mag , 2012 10:40 am
Ciao grazie ancora per le risposte. Il router di Sx non e' di mia competenza, ma se ho bisogno, posso richiedere un cambio di configurazione.