imho.ws |
|
|
Сообщения:
Перейти к новому /
Последнее
|
Опции темы |
03.01.2022, 02:20 | # 1 |
Junior Member
Регистрация: 30.01.2007
Адрес: Санкт-Петербург
Пол: Female
Сообщения: 84
|
Cisco1<->Cisco2<->Kerio Не могу зайти в третью подсеть Cisco1<->Kerio
Здравствуйте. Помогите решите задачу:
1. Есть Cisco RV345 (Оборудование в филиале Дочка). 1.1 WAN - Интернет провайдер с услугой Белого IP-адреса. 1.2 LAN - 192.168.70.1 / 24 (локальная сеть предприятия) 2. Есть Cisco RV082. (Оборудование в офисе Голова) 2.1 WAN - Интернет провайдер с услугой Белого IP-адреса. 2.2 LAN - Локальная сеть 192.168.27.1 / 24 (подсеть для телефонии) 3. Керио Control (Оборудование в офисе Голова) 3.1 WAN - 192.168.27.5 / 24 (кабель заходит в cisco rv082) 3.2 LAN - 192.168.60.100 / 24 (локальная сеть предприятия) Итак, имеем подсеть 70 одного филиала, надо зайти в подсеть 60 в другом офисе. Связал две cisco между собой Site-to-Site IPSec VPN туннель. из 27 сети (rv082) пингую: 60-"ОК" (kerio), 70-"ОК" (rv345) из 60 сети пингую 27-"ОК", 70-"ОК" C:\>tracert 192.168.70.1 Трассировка маршрута к 192.168.70.1 с максимальным числом прыжков 30 1 1 ms <1 мс <1 мс 192.168.60.100 2 1 ms 1 ms 1 ms 192.168.27.1 3 15 ms 15 ms 15 ms 192.168.70.1 Трассировка завершена. из 70 сети пингую: 27 - "ОК", 60 - не видит C:\>tracert 192.168.27.1 Трассировка маршрута к 192.168.27.1 с максимальным числом прыжков 30 1 1 ms 1 ms 1 ms Router [192.168.70.1] 2 17 ms 16 ms 17 ms 192.168.27.1 Трассировка завершена. На керио скриншот 1, в правилах трафика для подсети 70.0 разрешаю все, в итоге пинги проходят, но только на WAN интерфейс Керио 27.5 C:\>tracert 192.168.27.5 Трассировка маршрута к 192.168.27.5 с максимальным числом прыжков 30 1 1 ms 1 ms 1 ms Router [192.168.70.1] 2 * * * Превышен интервал ожидания для запроса. 3 18 ms 17 ms 17 ms 192.168.27.5 Трассировка завершена. C:\>tracert 192.168.60.100 Трассировка маршрута к 192.168.60.100 с максимальным числом прыжков 30 1 1 ms 1 ms 1 ms Router [192.168.70.1] 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса. 4 * ^C C:\> Попробовал на Керио port forwarding/mapping скриншот 2 - работает, значит пакеты из 70 доходят, как минимум до Kerio WAN на 27.5, но маппинг мне не нужен. PS: в Голове на циске указан статичный маршрут, см. скриншот 3, больше нигде никакой статический роутинг не прописан. Что и где необходимо прописать, чтобы 70 сеть увидела 60, т.е. работали Windows SMB,RDP,Сетевые принтеры и другие сервисы и было все в шоколаде? Спасибо за помощь. |
03.01.2022, 13:37 | # 2 |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 422
|
Clan_F6
Очевидно, на керио нужно включить роутинг (без NAT, который "port forwarding/mapping"). Правда, не факт, что керио умеет роутинг LAN<->WAN без NAT - это нужно документацию изучать. Собственно, изначально продукт предназначен исключительно для "раздачи интернета", т.е. за WAN - "вражеская территория", откуда логично разрешать доступ либо по VPN, либо через port translation... Промежду LAN-портов роутинг, по идее, работать будет - но если в циску воткнуть LAN от керио вместо WAN - то керио не сможет выполнять свою "интернетозащитную функцию"... Разве что поднять для этого дополнительную подсеть между циской и вторым LAN-портом керио и роутить весь межофисный траффик через неё, но насколько это реализуемо в конкретно вашей ситуации - не знаю...
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий |
03.01.2022, 14:31 | # 3 |
СуперМод
IMHO Консультант 2005-2009 Регистрация: 14.08.2002
Адрес: Московская ПЛ, ракетный отс
Пол: Male
Сообщения: 14 422
|
Ещё один вариант: кинуть ещё один ipsec с циски в филиале непосредственно на kerio и пустить "филиальный" траффик по нему. Единственное "но": не готов ответить, насколько совместимы ipsec циски и керио между собой. Если всё-таки совместимы - то это самый простой путь.
__________________
Не засоряйте форум "спасибами"! Для выражения благодарности существуют ПС и репутация! Соблюдайте Правила! Распространенье наше по планете Особенно заметно вдалеке: В общественном парижском туалете Есть надписи на русском языке В. Высоцкий |
03.01.2022, 16:02 | # 4 |
Junior Member
Регистрация: 30.01.2007
Адрес: Санкт-Петербург
Пол: Female
Сообщения: 84
|
Это первое, что мне пришло в голову: не цепляться к циске, а сразу цепануться к керио, минуя 27 подсеть. Но Керио на старой винде и в перспективе будет меняться на что-то другое, типа forti gate, поэтому не хочется двойную работу, да и понять бы, такая схема вообще рабочая или нет.
Сейчас ведь на Керио весь трафик с 27 сети приходит также по WAN порту. И я спокойно пингую из 27 всю 60 подсеть. Просто 70 трафик выходит из туннеля на 27.1, а дальше также по широковещательным запросам прыгает на 27.5 (WAN Kerio), и вот тут засада, как на керио его заставить прозрачно НАТиться в 60 сеть? Ведь 27 пролазит, за счет маршрутной карты А вот правила Керио НАТа |
03.01.2022, 19:00 | # 6 |
Junior Member
Регистрация: 30.01.2007
Адрес: Санкт-Петербург
Пол: Female
Сообщения: 84
|
Итак, все получилось!
Что сделал: 1. На rv082 в IPSec policy поменял Local Group Setup локальную подсеть с 27 на 60. К сожалению, увеличив маску 192.168.0.0. 255.255.0.0 результата не принесло и туннель вообще упал. А эта старушка, не умеет работать с IP Group, как, например rv345, в котором как раз таки указана IP Group "group2760" 2. Прописал в Керио вот такое правило трафика (Т.е. не НАТить трафик, идущий в 70 сеть и кстати, данный скриншот делал уже из 70 сетки) В итоге через этот туннель: из 70 не вижу 27 сеть вообще, но она мне и не нужна, т.к. это телефония между филиалами, а в данном филиале ее пока попросту нет. Вижу всю 60. захожу по всем сервисам абсолютно прозрачно, понятно, что упираюсь в доменные креденшилсы, но это уже другая история, там я уже подкручу как мне надо. Если заменить старушку rv082 на такую же rv345, то схема cisco1<->cisco2<->kerio будет абсолютно рабочая и все три подсети будут видеть друг друга полностью. Большое спасибо за помощь и поддержку. Тему можно считать закрытой. добавлено через 11 минут Циска для организации телефонии между городами, если обратите внимание на номер проблемного туннеля, то увидите, что уже 11 подняты между городами, она гоняет телефонный трафик. Удобно из СПб в МСК набрать 100-199, вместо 9-8-499-123-45-66. Тут же позвонить в Ебург по номеру 200-299, вместо 9-8-343-123-45-66...мысль думаю ясна. Эстония, Германия и ряд других стран. Юзеры не держат в голове все эти коды. Просто три цифры и ты уже разговариваешь с коллегой. Ну, а Kerio уже внутри локалки, шейпить, закрывать торренты и всячески умерять аппетиты пользователей этой самой локалки, ну и параллельно еще эшелон защиты. Да и зачем всем другим филиалам видеть ресурсы локальной сети, если бы она оставалась в 27. Это не совсем секьюрно. добавлено через 5 минут ЗЫ: На этом форуме, я не выкладывал первичные настройки rv345, rv082 и керио, поэтому, выше написав про проблемный туннель №12, я слегка ввел в заблуждение. Если интересно, могу выложить скрины ipsec policy и керио Последний раз редактировалось Clan_F6; 03.01.2022 в 19:15. |