Cisco IPSec: Δεν έχω πρόσβαση στο απομακρυσμένο δίκτυο από το Router.

[cb_papi]

Έχω φτιάξει ένα IPSec Tunnel χρησιμοποιώντας ένα Cisco 2821 και ένα Mikrotik Router. Ας πούμε ότι έχει αυτές τις ρυθμίσεις:

 

Δίκτυο Α, Cisco 2821:

 

Τοπικό Δίκτυο: 192.168.1.0/24

Τοπική IP: 192.168.1.1, g0/1

WAN IP: 7.7.7.1, Dialer1 (με PPPoE)

 

Δίκτυο Β, Mikrotik:

 

Τοπικό Δίκτυο: 192.168.2.0/24

Τοπική IP: 192.168.2.1

WAN IP: 7.7.7.2

 

Οι υπολογιστές του Δικτύου Α μπορούν να επικοινωνήσουν επιτυχώς με τους υπολογιστές του Δικτύου Β και το Router του Δικτύου Β μέσω του Tunnel.

Οι υπολογιστές του Δικτύου Β μπορούν να επικοινωνήσουν επιτυχώς με τους υπολογιστές του Δικτύου Α και το Router του Δικτύου Α μέσω του Tunnel.

 

Το πρόβλημα είναι ότι το Cisco 2821 δεν μπορεί να επικοινωνήσει καθόλου με το δίκτυο Β, δηλ. π.χ. η εντολή ping 192.168.2.1 μου βγάζει Timeout. Αν όμως βάλω την εντολή ping 192.168.2.1 source g0/1 τότε το ping γίνεται κανονικά. Υποπτεύομαι ότι το Router προσπαθεί να προσπελάσει το απομακρυσμένο δίκτυο από τη WAN IP του και όχι μέσω του IPSec Tunnel. Πως θα μπορούσα να το διορθώσω αυτό;

[Επισκέπτης]

Λογικό δεν είναι για κάθε router να ελέγχει το routing-table και να ψάχνει το πιό specific match για οποιονδήποτε προορισμό θέλει να προσπελάσει και στην συνέχεια να βλέπει μέσω ποιού next-hop να προωθήσει την κίνηση αυτή; Πως θα έπρεπε να δρομολογήτε η κίνηση μεταξύ των 2 δικτύων ; Επίσης μιας και χρησιμοποιείτε ipsec μεταξύ των 2 δικτύων, ποιό είναι το encryption domain σε κάθε router (λογικά η κάθε πλευρά έχει μέσω acl το flow πρός απέναντι, δλδ permit ip a->b σε Α, και permit ip b->a σε B και είναι λογικό αυτό που περιγράφεις για τα ping flow results όπως και το ping με source interface/ip το οποίο είναι εντός των encrypted domains για να είναι επιτυχές).

[Rabican]

δεν υπαρχει κατι να διορθωσεις. ο router δρομολογει με βαση destination IP address και χρησιμοποιει ως source address την ΙΡ του interface που ειναι πιο κοντα στο destination βασει του routing table.

 

 

υπαρχει καποιος λογος που θελεις να καταφερεις κατι τετοιο; γιατι αν ειναι για management traffic (NTP, SNMP, syslog κλπ) του router προς καποιο server στην πλευρα του Mikrotik, τοτε μπορεις να κανεις specify οτι το traffic θα γινεται initiate με την εσωτερικη ΙΡ (G0/1).

[rfc]

το μικροτικ τι firewall rules εχεις? Για ποσταρε τους μια.

[cb_papi]

δεν υπαρχει κατι να διορθωσεις. ο router δρομολογει με βαση destination IP address και χρησιμοποιει ως source address την ΙΡ του interface που ειναι πιο κοντα στο destination βασει του routing table.

 

 

υπαρχει καποιος λογος που θελεις να καταφερεις κατι τετοιο; γιατι αν ειναι για management traffic (NTP, SNMP, syslog κλπ) του router προς καποιο server στην πλευρα του Mikrotik, τοτε μπορεις να κανεις specify οτι το traffic θα γινεται initiate με την εσωτερικη ΙΡ (G0/1).

 

Κάτι τέτοιο θέλω να κάνω. Π.χ. Υπάρχει ένας tftp server στο δίκτυο του Mikrotik και θέλω να είναι προσβάσιμος στο Cisco Router μέσω του VPN.

 

 

το μικροτικ τι firewall rules εχεις? Για ποσταρε τους μια.

 

Όταν ξαναβρεθώ στον χώρο θα τους ανεβάσω. Πάντως από τη μεριά του mikrotik θυμαμαί ότι για να είναι προσβάσιμο το απομακρυσμένο δίκτυο από το ίδιο το ρουτερ (το mikrotik δλδ), έπρεπε να βάλω μία εντολή netmap στο NAT.

[Rabican]

σε πολλες εντολες σε ενα cisco router μπορεις να ορισεις ποιο θα ειναι το source interface.

 

πχ μπορεις να πεις

 

snmp-server X.X.X.X source G0/1

 

η

 

logging X.X.X.X source G0/1

 

οποτε τα πακετα θα ξεκινανε με source address την ΙΡ του G0/1, οποτε οταν θα φευγουν απο το ATM interface θα γινονται πρωτα encapsulate στο ipsec tunnel