Sputnik

Получилось организовать туннель между двумя Cisco, каждая из которых выходит в Интернет через MOXA G3150. И даже удалось достучаться из 10-ой сети с одного роутера Cisco до интерфейса в седьмой сети другого роутера. Но сама 7-я сеть не доступна из 10-ой. Пока не можем понять почему. Сама сеть 192.168.7.0 присоединена к интерфейсу Cisco.

Может быть, я не совсем понимаю механизм работы туннеля, но неужели, если мы можем достучаться до одного из интерфейсов Cisco (в сети 100) со стороны модема-клиента VPN, то в этом случае нет возможности переслать пакет на другой интерфейс Cisco (в сеть 7)?

Если я Вас правильно понял, то на 5104 (VPN-клиент) мы бы указали в качестве шлюза IP-адрес интерфейса роутера Cisco, связанного с модемом из сети 100, и в качестве Destination - 192.168.7.0. Верно?

IPSec-туннель с модема G3150 на Cisco поднять удалось. Спасибо. Через этот тоннель удается достучаться до адресов, которые находятся в одной подсети с модемом на стороне Cisco. Но возникла не совсем понятная мне ситуация: Модем-клиента VPN находится в сети 192.168.10.0/24. Модем, через который подключается сервер Cisco - в сети 192.168.100.1/24. Надо достучаться из сети 192.168.10.0/24 до сети 192.168.7.0/24, которая присоединена к Cisco по другому интерфейсу. В настройках клиента VPN в разделе VPN Settings -> Remote Network -> Remote Subnet IP указано 192.168.100.0. Это правильно? И дальше уже в сеть 192.168.7.0 переходим через маршрутизацию на Cisco, так?

То есть NAT-T включаем на модеме, который выступает клиентом VPN (в разделе VPN settings -> ISAKMP Phase 1 -> Enable). На удаленном модеме, который со стороны VPN-сервера Cisco, дополнительных настроек по NAT и Virtual Server, получается не требуется? Или все-таки нужно пробросить порты UDP 500 и 4500, которые использует IPSec?

Благодарю за оперативный ответ. 2. Если я Вас правильно понял, G3150 не работает с NAT вообще? Virtual Server разве не частный случай NAT? 3. Вы предлагаете поднимать IPSec с модема на удаленный Cisco через другой модем (через который Cisco и имеет доступ в Интернет)? Будет ли модем на удаленной стороне пропускать IPSec соединение, в отличие от GRE?

Добрый день! Задача с помощью модемов MOXA G3150 стоит следующая: объединить две локальные сети, используя VPN (GRE over IPSec). На каждой стороне используется роутер Cisco 1921 и модем Moxa G3150. GSM - резервный канал связи. Модемы должны только обеспечивать доступ к Интернету, VPN подключение создается через Cisco. Как я понимаю, Moxa должна обеспечить корректный проброс портов (TCP 1723 и 47 в случае GRE). В качестве эксперимента попробовал с одного ПК подключиться к VPN-серверу на другом через G3150 со статическим IP. Использовал Virtual Server для проброса портов на локальный ПК. Тем не менее соединение с VPN-cервером прервалось на проверке имени пользователя и пароля (при использовании другого канала связи без модема MOXA данное подключение устанавливается). Удаленный рабочий стол (RDP) через модем G3150 работал корректно. В связи с вышеописанным возникли вопросы: 1) Может ли модем G3150 использоваться для проброса VPN-подключения (протокол GRE)? 2) Возможно, у кого-то был опыт применения G3150 или другого оборудования в похожей задаче. Буду рад увидеть комментарии и предложения. Спасибо.