Т. е. правило фаера src-address=172.16.30.9 dst-address=172.16.30.1 action=accept, а маркировку и маршрут в топку ?
ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.
-
- Сообщения: 13
- Зарегистрирован: 20 дек 2018, 11:19
-
- Сообщения: 13
- Зарегистрирован: 20 дек 2018, 11:19
Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.
Мля чёйто или я дурак или одно из двух.
Если из сети УО делать трассировку до шлюза ЦО на СИСЬКЕ (192.168.0.2) трассировка до него идёт. Если делать трассировку с Микротика УО до шлюза ЦО на СИСЬКЕ (192.168.0.2) трассировка до него идёт. А если делать трассировку любого хоста в сети ЦО за шлюзом на СИСЬКЕ (192.168.0.2) то затык на 172.16.30.1
Если из сети УО делать трассировку до шлюза ЦО на СИСЬКЕ (192.168.0.2) трассировка до него идёт. Если делать трассировку с Микротика УО до шлюза ЦО на СИСЬКЕ (192.168.0.2) трассировка до него идёт. А если делать трассировку любого хоста в сети ЦО за шлюзом на СИСЬКЕ (192.168.0.2) то затык на 172.16.30.1
-
- Сообщения: 3911
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.
Между теми именно, между которыми в прямую сторону не работает и между которыми мы сейчас диагностируем. Вы же не сферическую лошадь в вакууме трассируете?
С чего вдруг оно туда попадает? Что трассируете, почему оно не может с 192.168.0.1 уйти к получателю, а уходит на какое-то другое устройство в сети?..
Т.е. из ЦО в УО трассировка проходит, а между теми же хостами обратно из УО в ЦО - нет? Видимо, что-то с маркировкой маршрутов, потому что в первом случае пакеты в обе стороны нормально ходят. Есть ещё вариант, что вы где-то костыль в виде Masquerade поставили - поэтому работает. Внутренний трафик маскарадить вряд ли есть смысл.
В топку, но откуда взялись эти адреса - я не понимаю. Вроде в изначальном варианте был только "dst-address=192.168.0.0/24".
А ваша сиська вообще в курсе роутов к сетям УО? А то может она куда-нибудь в Интернет отвечает...Gungster писал(а): ↑20 дек 2018, 21:29 Если из сети УО делать трассировку до шлюза ЦО на СИСЬКЕ (192.168.0.2) трассировка до него идёт. Если делать трассировку с Микротика УО до шлюза ЦО на СИСЬКЕ (192.168.0.2) трассировка до него идёт. А если делать трассировку любого хоста в сети ЦО за шлюзом на СИСЬКЕ (192.168.0.2) то затык на 172.16.30.1
Я правильно понимаю, что роутер 192.168.0.1 в ЦО не является шлюзом по умолчанию для ЦО? На роутере ЦО лишнего masquerade нет?
-
- Сообщения: 13
- Зарегистрирован: 20 дек 2018, 11:19
Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.
СИСЬКА про удалённый офис, как и про тырнет вообще не в курсе, она маршрутизирует трафик между VLAN внутренней сети, всё, что не относится ко внутренней сети улетает на 192.168.210.1 (некротик) в интернет.Адреса 172.16.30.1 (адрес l2tp сервера на некротике ЦО)-172.16.30.9 (Адрес l2tp клиента на некротике в УО). Через этот канал они и общаются.
-
- Сообщения: 13
- Зарегистрирован: 20 дек 2018, 11:19
Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.
Шлюзами в сети являются адреса VLANов на сиське (0.2, 2.2, 3.2 .....), все запросы не относящиеся ко внутренней сети (192.168.0.0./16) улетают через некротик (192.168.210.1) в тырнет, l2tp канал .
-
- Сообщения: 13
- Зарегистрирован: 20 дек 2018, 11:19
Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.
Настройки СИСЬКИ зря не выложил. было бы понятней. СИСЬКА это ядро сети L3 коммутатор (она маршрутизирует все внутренние подсети).
Вот её настройки.
Вот её настройки.
Код: Выделить всё
ip routing
!
no errdisable detect cause gbic-invalid
port-channel load-balance src-dst-ip
!
spanning-tree mode rapid-pvst
spanning-tree extend system-id
!
vlan internal allocation policy ascending
!
vlan 2
name Mobile_LAN
!
vlan 3
name Guest_LAN
!
vlan 10
name OFFICE_NET
!
vlan 11
name SERVERS_NET
!
vlan 15
name WiFi_LAN
!
vlan 100
name VoIP_NET
!
vlan 101
name Printers_NET
!
vlan 102
name Video_LAN
!
vlan 210
name Manegement_LAN
!
interface Port-channel1
description TO_LAN
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,3,10,15,100-102,210
switchport mode trunk
!
interface Port-channel2
description TO_DHCP
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
ip dhcp relay information trusted
spanning-tree bpdufilter enable
ip dhcp snooping trust
!
interface FastEthernet1/0/1
switchport access vlan 2
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/2
switchport access vlan 3
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/3
switchport access vlan 10
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/4
switchport access vlan 15
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/5
switchport access vlan 100
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/6
switchport access vlan 101
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/7
switchport access vlan 102
switchport mode access
spanning-tree portfast
!
interface FastEthernet1/0/8
switchport access vlan 210
switchport mode access
spanning-tree portfast
!
interface GigabitEthernet1/0/1
description TO_LAN
switchport trunk encapsulation dot1q
switchport trunk allowed vlan 2,3,10,15,100-102,210
switchport mode trunk
channel-protocol lacp
channel-group 1 mode active
!
interface range GigabitEthernet1/0/2,GigabitEthernet1/0/4
switchport trunk encapsulation dot1q
switchport mode trunk
switchport nonegotiate
channel-protocol lacp
channel-group 2 mode active
!
interface Vlan1
no ip address
shutdown
spanning-tree portfast
!
interface Vlan2
ip address 192.168.2.2 255.255.255.0
ip helper-address 192.168.210.1
!
interface Vlan3
ip address 192.168.3.2 255.255.255.0
ip access-group 110 in
ip helper-address 192.168.210.1
!
interface Vlan10
ip address 192.168.0.2 255.255.255.0
ip helper-address 192.168.210.1
!
interface Vlan15
ip address 192.168.15.2 255.255.255.0
ip helper-address 192.168.210.1
!
interface Vlan100
ip address 192.168.100.2 255.255.255.0
ip helper-address 192.168.210.1
!
interface Vlan101
ip address 192.168.101.2 255.255.255.0
ip helper-address 192.168.210.1
!
interface Vlan102
ip address 192.168.102.2 255.255.255.0
ip helper-address 192.168.210.1
!
interface Vlan210
ip address 192.168.210.2 255.255.255.0
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.210.1
no ip http server
ip http secure-server
!
!
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.0.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.2.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.11.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.15.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.100.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.101.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.102.0 0.0.0.255
access-list 110 deny ip 192.168.3.0 0.0.0.255 192.168.210.0 0.0.0.255
access-list 110 permit ip any any
no cdp run
no cdp tlv location
no cdp tlv app
!
snmp-server community cisco RO
snmp-server community cisco123 RW
!
!
line con 0
line vty 5 15
!
end
-
- Сообщения: 13
- Зарегистрирован: 20 дек 2018, 11:19
Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.
По сути некротик это чупа-чупс так называемый, только до кучи на нём DHCP сервер поднят, из-за него приходится создавать на некротике VLANы и присваивать им IP иначе DHCP сервер никому ничего раздавать не будет. Вот тут все костыли и возникают. Если нет DHCP сервера на некротике у него на интерфейсе смотрящим в локалку только один адрес 192.168.210.1 и проблем нет, весь трафик шурует через него. При наличии DHCP сервера для VLANов внутренней сети появляются IP VLANов и лишние маршруты не через 192.18.210.2(шлюз на СИСЬКЕ), а через адреса VLANов, что не есть гут.
-
- Сообщения: 3911
- Зарегистрирован: 29 фев 2016, 15:26
- Откуда: Минск
Re: ЦО-L2TP-Удалённый офис. Затык с маршрутом в ЦО.
Стоп, 192.168.0.1 — чей адрес?
Вы, может, нарисуйте топологию, а то на словах очень тяжело воспринимается.
Вы, может, нарисуйте топологию, а то на словах очень тяжело воспринимается.