VPN promet kroz jedan link u multilink okruženju

[t-cat]

Pozdrav ekipa, nisam vas dugo čitao, ali naletio sam na jedan problem pa ako bi itko to znao riješiti, bio bih zahvalan

Uglavnom, imam dva linka u firmi, jedan primarni (Amisov) i drugi backup link (mikrolink od Vipneta) ali tipovi nisu toliko bitni. Naime, trenutno imam omogućen Vipnetov link zbog stabilnosti, pouzdanosti i veće brzine uploada, dok mi je Amisov besposlen. E sada, problem se javlja kad omogućim Amisov link. Naime kada se spajam VPN-om izvana prema firmi (imamo jedan NPS i RRAS na jednom serveru), ovaj se uredno poveže preko Vipneta (što je konfigurirano u NAT-u na routeru), no problem je što stvara GRE tunel preko Amisovog linka, jer taj ima manju metriku i cijela stvar pada u vodu. Naime htjeli bismo da službene stvari kao što je VPN idu preko Vipneta, dok sve ostalo, standardni Internet ide preko Amisa pa smo zato tako postavili metriku. Eh da, router je Catalyst 1812.

E sad, kako reći routeru da proslijedi GRE pakete isključivo na Vipnetov link.

[Hrvoje Kusulja]

cek nisam shvatio..

ajde ovako, imas 2 linka, oboje je recimo ethernet i na svakom imas jednu staticku public ip adresu.., a treci link na routeru je od etherent LANa.., a router je softwareski i tu furas 2008 server..

Sto se tice VPN-a, ocito pricas o PPTP-u, dal pricas o spajanju s Interneta na firmu ili iz firme na neki drugi VPN server

[t-cat]

Imam dva linka, na oba su statičke IP adrese i ne, nema trećeg linka, znači jedan je direktan prema Vipnetovoj anteni, a drugi ide preko Amisovog Thomson DSL modema na njihovu liniju. Sa Vipnetom imamo dobivamo statičku IP adresu, a Amis je standardni DSL link bez statike. Trebali bi se korisnici izvan firme spajati u našu firmu, dakle VPN server je unutar mreže, a korisnici koji bi se spajali na njega su izvan. Znači ne treba mi fiksni GRE tunel prema drugom IP-u, što bi se dalo lako napraviti na Ciscu, nego bi se korisnici spajali izvana da dobiju pristup resursima firme.

[Hrvoje Kusulja]

dobro, mislim da shvacam sto je problem...

problem ti je sto imas jedan server i on ide na jedan router, a taj router radi NAT prema VIP-ovoj mrezi..., medjutim tu je problem sto ako tebi dodje request na Amis mrezu i ti radis recimo PAT (port overloading) na interni server, ali kod vracanja paketa nazad, se taj paket posalje defaultno kroz VIP a ne kroz Amis (odkuda je i dosao)...
eto ako sam shvatio tvoj problem..

uglavnom imao sam slicne sitaucije - ne nisam rjesio s niti jednim rjesenjem niti ciscom... :/

[t-cat]

Zapravo obrnuto. VPN promet ide kroz Vipnetov link (na routeru je postavljen takav rule u NAT-u da svi paketi kroz VPN port koji je već broj idu kroz Vipnetov link), no PPTP tunel se stvara kroz Amisov link, zato jer ima manju metriku.

[The MasteR]

Mozda da se ubaci ACL koja ce rutati sav promet za taj VPN van kroz odredeni interface a na drugom to zabranis. Moze se s extended listom mozda to rijesit, a ako ne upali probaj pogledati dinamycke ACL. Znaci dode paket na ulazni link i u tom trenu router krira sam ACL listu koja ce znati vratiti taj paket istim putem nazad.

Mozda ili jos neka fora specifikacije defaultnog gatewaya za odredenu vrstu prometa.

[Hrvoje Kusulja]

koliko ja znam, specifikacija gatewaya, po paketima nije moguca.., to je jednostavno layer ispod i to rjesavaju routing tablice, a one nisu svjesne, tcp, udp, gre i slicnih protokola koji su level vise po osi modelu..

heh, da se barem to moze..

jedino mozda neki pametni routeri to mogu, al nikad to nisam vidio niti cuo da netko radi..., no potrebe za time je bilo...

[t-cat]

E sad, sorry što me nije bilo dulje vrijeme. Malo sam istraživao. Naime, skužio sam teoretski da sav promet sa tog PPTP servera furati na jedan link - naime to je onda obično rutanje, a to bi se moglo izvesti putem route-map komande i access listi. Teoretski, ja njemu mogu dodjeliti još jedan IP izvan tog .0.0 subneta, recimo 5.0, pa onda VPN promet furati kroz čitav taj subnet i to sam mislio probati. To ću danas probati pa vidjeti rezultat.

DODATAK: Evo, riješio sam problem. Naime, korištenjem route-map naredbe može se preusmjeriti promet sa određenog IP-a na određeni interface. Kvaka je bila u sljedećem, trebalo je ta pravila integrirati kroz postojeći NAT - jer nam je i NAT bio izveden putem route-mapa. E sad, da bi se to riješilo pravilo je sljedeće. Osim standardnog ACL-a koji propušta promet kroz NAT za sve postojeće subnetove s kojima želimo izaći van - nazovimo ga ACL 1 - potrebno je dodati još jedan ACL, recimo 2 koji sadržava IP adrese hostova koji bi trebali ići na alternativni link. Takav ACL je potrebno dodati u route mapu pomoću match naredbe (match address 2), i postaviti tako da ga se forwarda na željeni link. Kod mene je zajeb bio što sam koristio set interface naredbu, a link je imao statičku adresu. U tom slučaju je bolje koristiti set ip next-hop IP-adresa. Onda možeš dodati i naredbu set interface PRIMARNI_LINK tako da ako se alternativni link sruši, da taj promet ipak prođe i na standardni link. E onda pod istom route-mapom ali različitim prioritetom (recimo da je prvi dio route mape imao prioritet 10, a drugi dio jedan, naredba za prvi dio route-mape bi bio route-map abc permit 10, a za drugi route-map abc permit 11) je potrebno pustiti standardni NAT, znači match ip address 1 i set interface PRIMARNI LINK i onda poželjno set ip next-hop IP.adresa.sekundarnog.linka.
I ključni zajeb koji sam napravio jest da sam taj policy stavio da se primjenjuje na outgoing linkovima (znači outside), a trebao sam staviti na dolaznim linkovima (Vlanovima ili Ethernet sučeljima koji dovode pakete iz switcheva i drugih računala). To se radi u config-if modu sa naredbom ip policy route-map IME_ROUTE_MAPE_KOJU_STE_NAPRAVILI. I sad sve radi kako spada

E sada, ovo je limitirano na filtriranje po IP adresama, tako da ako imate više servera na jednom fizičkom stroju nemoguće je odrediti koji promet ide gdje - jer za to treba inteligentniji router - možda neki Linux routing server. Alternativno - virtualizacija - svaki server u zasebni virtualni stroj, dodjeliš svakom stroju zasebnu IP adresu i šibaj.

[Hrvoje Kusulja]

very nice.., svaka cast.., mozda bi bilo lakse da si stavio kompletan running config s laznim public ip adresama..

thnx

[t-cat]

Evo, tek sad vidio

! Konfiguracija interfacea
!
interface FastEthernet0
 description AMIS Link$ETH-WAN$
 bandwidth 1048576
 no ip address
 ip route-cache flow
 duplex auto
 speed auto
 pppoe enable group global
 pppoe-client dial-pool-number 1
!
interface FastEthernet1
 description VIPNet Link$ETH-LAN$
 bandwidth 1536
 ip address staticka.ip.adresa.vipnet-linka subnet
 ip nat outside
!
interface BRI0
 no ip address
 encapsulation hdlc
 shutdown
!
interface FastEthernet2
 description 192.168.0.0 subnet
!
interface FastEthernet3
 description 192.168.1.0 subnet
 switchport access vlan 2
!
interface FastEthernet4
 description 192.168.2.0 subnet
 switchport access vlan 3
!
interface FastEthernet5
 description 192.168.4.0 subnet
 switchport access vlan 4
!
interface FastEthernet6
 shutdown
!
interface FastEthernet7
 shutdown
!
interface FastEthernet8
 shutdown
!
interface FastEthernet9
 shutdown
!
interface Vlan1
 ip address neka.adresa.u_0.subnetu standardna.maska.c.klase
 ip nat inside
! E ovo je bitno - route mapa se postavlja na inside interfaceove, a ne na outside
 ip policy route-map equal-access
!
interface Vlan2
 ip address neka.adresa.u_0.subnetu standardna.maska.c.klase
 ip nat inside
 ip policy route-map equal-access
!
interface Vlan3
 ip address neka.adresa.u_0.subnetu standardna.maska.c.klase
 ip nat inside
 ip policy route-map equal-access
!
interface Vlan4
 ip address neka.adresa.u_0.subnetu standardna.maska.c.klase
 ip nat inside
 ip policy route-map equal-access
!
interface Dialer0
 ip address negotiated
 ip mtu 1452
 ip nat outside
 encapsulation ppp
 dialer pool 1
 dialer-group 1
 no cdp enable
 ppp authentication chap pap callin
 ppp chap hostname neki_host
 ppp chap password 7 pass
 ppp pap sent-username neki_host password 7 pass
!
ip route 0.0.0.0 0.0.0.0 ip_adresa_sljedeceg_routera_iza_vipnet_linka
ip route 0.0.0.0 0.0.0.0 Dialer0
!
!
ip http server
ip http access-class 23
ip http authentication local
ip http secure-server
ip http timeout-policy idle 60 life 86400 requests 10000
ip nat inside source list nat_static_routes interface FastEthernet1 reversible
ip nat inside source route-map dialer0 interface Dialer0 overload
ip nat inside source route-map ethernet1 interface FastEthernet1 overload
!
ip access-list extended NAT_EXT2VIP
! Ovdje ide sav traffic koji želimo forwardati na "stabilni" link
ip access-list extended NAT_INT2VLAN1
! Ovdje moramo označiti da sav promet koji ima destinaciju 0 subnet da ide u 0 subnet
 permit ip any sve_ip_adrese_u_0_subnetu sa_odgovarajucom_wildcard_maskom
ip access-list extended NAT_INT2VLAN2
! Ovdje moramo označiti da sav promet koji ima destinaciju 1 subnet da ide u 1 subnet
 permit ip any sve_ip_adrese_u_1_subnetu sa_odgovarajucom_wildcard_maskom
ip access-list extended NAT_INT2VLAN3
! Ovdje moramo označiti da sav promet koji ima destinaciju 2 subnet da ide u 2 subnet
 permit ip any sve_ip_adrese_u_2_subnetu sa_odgovarajucom_wildcard_maskom
ip access-list extended NAT_INT2VLAN4
! Ovdje moramo označiti da sav promet koji ima destinaciju 4 subnet da ide u 4 subnet
 permit ip any sve_ip_adrese_u_4_subnetu sa_odgovarajucom_wildcard_maskom
ip access-list extended nat_static_routes
! Ovdje dodavamo ip adrese destinacije koje želimo prema drugom linku
!
access-list 101 permit ip ovdje dodajemo sve adrese koje zelimo pustiti kroz nat any
dialer-list 1 protocol ip permit
no cdp run
!
!
!
route-map ethernet1 permit 10
 match ip address 101
!
route-map dialer0 permit 10
 match ip address 101
!
route-map equal-access permit 30
 match ip address NAT_INT2VLAN1
 set interface Vlan1
!
route-map equal-access permit 40
 match ip address NAT_INT2VLAN2
 set interface Vlan2
!
route-map equal-access permit 50
 match ip address NAT_INT2VLAN3
 set interface Vlan3
!
route-map equal-access permit 60
 match ip address NAT_INT2VLAN4
 set interface Vlan4
!
route-map equal-access permit 70
 match ip address nat_static_routes
 set ip next-hop ip_adresa_sljedeceg_routera_iza_vipnet_linka
 set default interface Dialer0
!
route-map equal-access permit 80
 match ip address NAT_EXT2VIP
 set ip next-hop ip_adresa_sljedeceg_routera_iza_vipnet_linka
 set default interface Dialer0
!
route-map equal-access permit 90
 match ip address 101
 set interface Dialer0
 set ip default next-hop ip_adresa_sljedeceg_routera_iza_vipnet_linka
!
!
!
!
control-plane
!
banner login ^CCOvaj sustav je samo za autorizirano osoblje!
This system is for authorized personnel only!


^C
!
line con 0
 transport output telnet
line aux 0
 transport output telnet
line vty 0 4
 access-class 100 in
 privilege level 15
 transport input telnet ssh
line vty 5 15
 access-class 100 in
 privilege level 15
 transport input telnet ssh
!
ntp clock-period 17180194
ntp update-calendar
ntp server network_time_server prefer

!
webvpn cef
end