Sputnik Posted March 8, 2016 Share Posted March 8, 2016 Добрый день! Задача с помощью модемов MOXA G3150 стоит следующая: объединить две локальные сети, используя VPN (GRE over IPSec). На каждой стороне используется роутер Cisco 1921 и модем Moxa G3150. GSM - резервный канал связи. Модемы должны только обеспечивать доступ к Интернету, VPN подключение создается через Cisco. Как я понимаю, Moxa должна обеспечить корректный проброс портов (TCP 1723 и 47 в случае GRE). В качестве эксперимента попробовал с одного ПК подключиться к VPN-серверу на другом через G3150 со статическим IP. Использовал Virtual Server для проброса портов на локальный ПК. Тем не менее соединение с VPN-cервером прервалось на проверке имени пользователя и пароля (при использовании другого канала связи без модема MOXA данное подключение устанавливается). Удаленный рабочий стол (RDP) через модем G3150 работал корректно. В связи с вышеописанным возникли вопросы: 1) Может ли модем G3150 использоваться для проброса VPN-подключения (протокол GRE)? 2) Возможно, у кого-то был опыт применения G3150 или другого оборудования в похожей задаче. Буду рад увидеть комментарии и предложения. Спасибо. Link to comment
Незнайка Posted March 8, 2016 Share Posted March 8, 2016 Здравствуйте! Сам не пробовал - но какие есть мысли по этому поводу: 1. Gre - это протокол. Портами его не пробросишь (не тот уровень); 2. Если Gre не идёт через NAT - то либо надо его разрешить, либо NAT отключить. Применительно к G3150 - патовая ситуация 3. Если оно не идёт так - есть смысл попробовать засунуть его вовнутрь чего-то другого, а5-таки применитьльно к G3150 - может, есть смысл попробовать поднимать IPSec с модема на Cisco, а уже внутри него (без NAT) гонять Gre... Какие то такие вот соображения, в теории... Link to comment
Sputnik Posted March 9, 2016 Author Share Posted March 9, 2016 Здравствуйте! Сам не пробовал - но какие есть мысли по этому поводу: 1. Gre - это протокол. Портами его не пробросишь (не тот уровень); 2. Если Gre не идёт через NAT - то либо надо его разрешить, либо NAT отключить. Применительно к G3150 - патовая ситуация 3. Если оно не идёт так - есть смысл попробовать засунуть его вовнутрь чего-то другого, а5-таки применитьльно к G3150 - может, есть смысл попробовать поднимать IPSec с модема на Cisco, а уже внутри него (без NAT) гонять Gre... Какие то такие вот соображения, в теории... Благодарю за оперативный ответ. 2. Если я Вас правильно понял, G3150 не работает с NAT вообще? Virtual Server разве не частный случай NAT? 3. Вы предлагаете поднимать IPSec с модема на удаленный Cisco через другой модем (через который Cisco и имеет доступ в Интернет)? Будет ли модем на удаленной стороне пропускать IPSec соединение, в отличие от GRE? Link to comment
Незнайка Posted March 9, 2016 Share Posted March 9, 2016 2. Нет. G3150 собственно NAT на борту имеет и прекрасно с ним работает. Вопрос в том, как пропустить через NAT Gre. Обычно (на продвинутых роутерах) Gre включается отдельной опцией. На G3150 такой нет (ммм... вроде бы). 3. Да, именно так. Должен пропускать, если включите опцию NAT Traversal (NAT-T).. Не вижу причин, чтоб не пропускал - с его точки зрения это ж UDP будет.. Link to comment
Sputnik Posted March 9, 2016 Author Share Posted March 9, 2016 2. Нет. G3150 собственно NAT на борту имеет и прекрасно с ним работает. Вопрос в том, как пропустить через NAT Gre. Обычно (на продвинутых роутерах) Gre включается отдельной опцией. На G3150 такой нет (ммм... вроде бы). 3. Да, именно так. Должен пропускать, если включите опцию NAT Traversal (NAT-T).. Не вижу причин, чтоб не пропускал - с его точки зрения это ж UDP будет.. То есть NAT-T включаем на модеме, который выступает клиентом VPN (в разделе VPN settings -> ISAKMP Phase 1 -> Enable). На удаленном модеме, который со стороны VPN-сервера Cisco, дополнительных настроек по NAT и Virtual Server, получается не требуется? Или все-таки нужно пробросить порты UDP 500 и 4500, которые использует IPSec? Link to comment
Незнайка Posted March 9, 2016 Share Posted March 9, 2016 Да, NAT-T включаем на VPN-клиенте и на VPN-сервере соответственно. На модеме стороны VNP-сервера порты, разумеется, тоже надо пробросить... Link to comment
Sputnik Posted March 9, 2016 Author Share Posted March 9, 2016 Да, NAT-T включаем на VPN-клиенте и на VPN-сервере соответственно. На модеме стороны VNP-сервера порты, разумеется, тоже надо пробросить... IPSec-туннель с модема G3150 на Cisco поднять удалось. Спасибо. Через этот тоннель удается достучаться до адресов, которые находятся в одной подсети с модемом на стороне Cisco. Но возникла не совсем понятная мне ситуация: Модем-клиента VPN находится в сети 192.168.10.0/24. Модем, через который подключается сервер Cisco - в сети 192.168.100.1/24. Надо достучаться из сети 192.168.10.0/24 до сети 192.168.7.0/24, которая присоединена к Cisco по другому интерфейсу. В настройках клиента VPN в разделе VPN Settings -> Remote Network -> Remote Subnet IP указано 192.168.100.0. Это правильно? И дальше уже в сеть 192.168.7.0 переходим через маршрутизацию на Cisco, так? Link to comment
Незнайка Posted March 9, 2016 Share Posted March 9, 2016 М... если я правильно понял - то и да, и нет. G3150 - это IP модем. Не роутер. То есть функций роутера в нем нет. Совсем. В вашем случае надо из 10 попадать в 7 через 100 (я упрощу написание до 3тьего октета, т.е 7 = 192.168.7.0/24) То есть на модеме-клиенте нужно писать маршрут. И тут вот ничего не сделаешь уже. В такой конфигурации связать 7 и 10 - не получится. Я ещё немного поясню - так можно бы было сделать, будь у вас не G3150, а 5104, который, собственно - именно роутер, а не просто IP модем. Link to comment
Sputnik Posted March 9, 2016 Author Share Posted March 9, 2016 Если я Вас правильно понял, то на 5104 (VPN-клиент) мы бы указали в качестве шлюза IP-адрес интерфейса роутера Cisco, связанного с модемом из сети 100, и в качестве Destination - 192.168.7.0. Верно? Link to comment
Sputnik Posted March 10, 2016 Author Share Posted March 10, 2016 Может быть, я не совсем понимаю механизм работы туннеля, но неужели, если мы можем достучаться до одного из интерфейсов Cisco (в сети 100) со стороны модема-клиента VPN, то в этом случае нет возможности переслать пакет на другой интерфейс Cisco (в сеть 7)? Link to comment
Незнайка Posted March 10, 2016 Share Posted March 10, 2016 Модем-клиент какие знает сети: 1. 10 2. 100 3. сеть на CWAN (предположительно /30) 4. 0.0.0.0/0 на CWAN как default Куда, как Вы думаете, он отправит пакетики, следующие в сеть 7? Link to comment
Незнайка Posted March 10, 2016 Share Posted March 10, 2016 И да, если пакет, следующий в сеть 7 каким-либо образом удастся заставить дойти до интерфейса сети 100 на Cisco - то дальше да, создав какого-либо рода bridge между интерфейсами Cisco можно будет эти пакетики "перекладывать" между интерфейсами по определённым правилам... Link to comment
Незнайка Posted March 10, 2016 Share Posted March 10, 2016 Вам надо внутри IPSec поднять pptp с Cisco стороны 10 и уже на ней осуществлять маршрутизацию, как и предлагалось в сообщении #2 Link to comment
Sputnik Posted March 10, 2016 Author Share Posted March 10, 2016 Вам надо внутри IPSec поднять pptp с Cisco стороны 10 и уже на ней осуществлять маршрутизацию, как и предлагалось в сообщении #2 Получилось организовать туннель между двумя Cisco, каждая из которых выходит в Интернет через MOXA G3150. И даже удалось достучаться из 10-ой сети с одного роутера Cisco до интерфейса в седьмой сети другого роутера. Но сама 7-я сеть не доступна из 10-ой. Пока не можем понять почему. Сама сеть 192.168.7.0 присоединена к интерфейсу Cisco. Link to comment
Незнайка Posted March 10, 2016 Share Posted March 10, 2016 Ну тут либо маршруты, либо шлюзы по умолчанию на клиентах.. Надо разбираться детально Link to comment
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now