LINUX.ORG.RU
решено ФорумAdmin

Cisco IPSEC source IP

 , ,


0

2

Ситуация:
на циске на одном интерфейсе два ипа - 1.1.1.1 праймари и 2.2.2.1 секондари. Два IPSEC соединения, настроенные на эти два ипа и работает только то, которое на 1.1.1.1 настроено, так как трафик выходит всегда с праймари source ip.

Нужно либо в одном из IPSEC-соединений задать явно source ip 2.2.2.1, потому что на другом конце IPSEC настроен на этот ип. Или же поставить source ip 2.2.2.1 для определенного назначения, аналог линухового:
iptables -t nat -A POSTROUTING -d 3.3.3.3 -j SNAT --to-source 2.2.2.1

Хотелось бы обойтись без ната и поберечь ресурсы, так как трафик будет не маленький, а еще плюс 3 IPSEC соединения.


Дублирование трафика iptables
OpenWRT копирование wifi

Нарыл что можно указать local-address на crypto map.

Но проблемы это не решает, так как можно указать в качестве local-address только интерфейс, а так как crypto map на интерфейсе может быть только один, опять таки source ip на ipsec будет только один. :(

ZigmunD
() автор топика
Ответ на: комментарий от blind_oracle

secondary адреса это вообще плохая практика, я думаю стоит поделить на вланы и на отдельные субинтерфейсы.

Идея... но на другом конце тупой свитч с тупыми железками, не поддерживающими vlan, а субинтерфейс создается только с влан.

Неужели на циске нельзя сделать простой субинтерфейс типа eth0:blabla?

ZigmunD
() автор топика
Ответ на: комментарий от blind_oracle

Ой туплю... достаточно первый влан поставить.

ZigmunD
() автор топика
Ответ на: комментарий от Tasman

если между железками есть маршрутизируемая сеть, то можно построить IPSec на loopback

Я так и сделал вначале, но айпишник, который стоял на lo нужно так же использовать в локалке.

С субинтерфейсом нейтив влан все замечательно вышло - и в локалке доступен, и в IPSEC как source ip используется.

ZigmunD
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Дублирование трафика iptables
Admin
OpenWRT копирование wifi