|
|
|
|
| Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » VPN - [решено] site to site IPSec (Windows XP) |
|
|
VPN - [решено] site to site IPSec (Windows XP)
|
|
Новый участник Сообщения: 3 |
Доброе время. Интересная задачка попалась, но нужная.
Необходимо в двух удаленных сетях одного провайдера обеспечить: 1 - выход в интернет клиентских машин сети 2 - по этому-же каналу связать две сети. На границе каждой сети находятся шлюзы на XP, маршрутизация на них настроена. В интернет смотря модемы с NAT, что решает задачу №1 так-же на шлюзах настроена IPSec.. но обо все по порядку: Схема: 192.168.10.0/24 (СЕТЬ А) | 192.168.10.1 (GATEWAY1.lan) 192.168.11.2 (GATEWAY1.wan) | 192.168.11.1 (NAT1.lan) 212.220.10.10 (NAT1.wan) | ( internet ) | 212.220.20.20 (NAT2.wan) 192.168.1.1 (NAT2.lan) | 192.168.1.2 (GATEWAY2.wan) 192.168.20.1 (GATEWAY2.lan) | 192.168.20.0/24 (СЕТЬ В) где: NAT - это модемы с включенным NAT в режиме SUA Only, с переадресацией всех портов по умолчанию на GATEWAY Сейчас реализован IPSec туннель между GATEWAY1 и GATEWAY2 по следующим правилам: для GATEWAY1: из GATEWAY1.wan в GATEWAY2.wan, конечная точка туннеля = NAT2.wan обратно в GATEWAY1.wan, конечная точка туннеля = GATEWAY1.wan (потому, что НАТ перебрасывает запрос на этот-же шлюз) для GATEWAY2: из GATEWAY2.wan в GATEWAY1.wan, конечная точка туннеля = NAT1.wan обратно в GATEWAY2.wan, конечная точка туннеля = GATEWAY2.wan в данном режиме все работает, шлюз видит другой шлюз отлично, НО мне нужна видимость сети А и В между собой. Аналогичные правила, где вместо GATEWAY указаны сети 192.168.10.0 и 192.168.20.0 не решают проблему. Перепробовал различные вариации правил, но тщетно. Даже со шлюза который видит другой не удается увидеть LAN интерфейс самого видимого шлюза. Прошу подсказать в чем я не прав, возможно ли развить данную тему до решения задачи №2 и каким образом? ---- еще отмечу, что IPSec через NAT реализовано методом инкапсуляции в UDP |
|
|
Отправлено: 21:13, 22-09-2009 |
|
Новый участник Сообщения: 3
|
в общем именно этот вопрос не закрыт, но решение использовал другое
Unix шлюзы. в отличие от предудыщей схемы, модемы работают просто в режиме роутинга, а NAT и IPSec реализованы на самом шлюзе, причем выход через NAT для IPSec - прозрачный. |
|
Отправлено: 06:30, 25-09-2009 | #2 |
fascinating rhythm
Сообщения: 6558
|
Профиль | Отправить PM | Цитировать Я не понимаю, зачем NAT сделан для WAN. Для LAN понятно, а WAN зачем как NAT представлять?
|
|
------- Отправлено: 20:53, 26-09-2009 | #3 |
|
Новый участник Сообщения: 3
|
NAT для того, чтобы выпустить пользователей серой сети в интернет. Провайдер не предоставляет маршрутизации.
А если вопрос почему пишу NAT.lan и NAT.wan, то это символично отмечен модем так, вот и все.. кстати NAT для LAN не ставится, он обычно на интерфейсе WAN |
|
Отправлено: 22:27, 26-09-2009 | #4 |
|
Участник сейчас на форуме |
 |
Участник вне форума |
 |
Автор темы |
 |
Сообщение прикреплено |
| |||||
| Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
| Site-to-site ISA на 2006 | kilogen | ISA Server / Microsoft Forefront TMG | 12 | 29-06-2009 12:31 | |
| xDSL/DialUp - 2 ADSL модема <VPN, site-to-site> | Denzl | Сетевое оборудование | 2 | 04-04-2009 20:03 | |
| [решено] web-site + MTU | exo | Microsoft Windows NT/2000/2003 | 3 | 21-11-2008 15:14 | |
| VPN - Необходимо реализовать подключение Site-to-site | extremal | Сетевые технологии | 6 | 25-03-2008 14:56 | |
| [решено] VPN тунель Site-to-Site в ISAServer | Jekael | ISA Server / Microsoft Forefront TMG | 7 | 06-07-2007 11:48 | |
|
|
Время: 03:54. | © OSzone.net 2001-
|
|
Powered by: vBulletin Copyright ©2000 - 2024, Jelsoft Enterprises Ltd. |
