kimbox
22-09-2009, 21:13
Доброе время. Интересная задачка попалась, но нужная.
Необходимо в двух удаленных сетях одного провайдера обеспечить:
1 - выход в интернет клиентских машин сети
2 - по этому-же каналу связать две сети.
На границе каждой сети находятся шлюзы на XP, маршрутизация на них настроена.
В интернет смотря модемы с NAT, что решает задачу №1
так-же на шлюзах настроена IPSec.. но обо все по порядку:
Схема:
192.168.10.0/24 (СЕТЬ А)
|
192.168.10.1 (GATEWAY1.lan)
192.168.11.2 (GATEWAY1.wan)
|
192.168.11.1 (NAT1.lan)
212.220.10.10 (NAT1.wan)
|
( internet )
|
212.220.20.20 (NAT2.wan)
192.168.1.1 (NAT2.lan)
|
192.168.1.2 (GATEWAY2.wan)
192.168.20.1 (GATEWAY2.lan)
|
192.168.20.0/24 (СЕТЬ В)
где:
NAT - это модемы с включенным NAT в режиме SUA Only, с переадресацией всех портов по умолчанию на GATEWAY
Сейчас реализован IPSec туннель между GATEWAY1 и GATEWAY2 по следующим правилам:
для GATEWAY1:
из GATEWAY1.wan в GATEWAY2.wan, конечная точка туннеля = NAT2.wan
обратно в GATEWAY1.wan, конечная точка туннеля = GATEWAY1.wan (потому, что НАТ перебрасывает запрос на этот-же шлюз)
для GATEWAY2:
из GATEWAY2.wan в GATEWAY1.wan, конечная точка туннеля = NAT1.wan
обратно в GATEWAY2.wan, конечная точка туннеля = GATEWAY2.wan
в данном режиме все работает, шлюз видит другой шлюз отлично, НО мне нужна видимость сети А и В между собой.
Аналогичные правила, где вместо GATEWAY указаны сети 192.168.10.0 и 192.168.20.0 не решают проблему. Перепробовал различные вариации правил, но тщетно. Даже со шлюза который видит другой не удается увидеть LAN интерфейс самого видимого шлюза.
Прошу подсказать в чем я не прав, возможно ли развить данную тему до решения задачи №2 и каким образом?
----
еще отмечу, что IPSec через NAT реализовано методом инкапсуляции в UDP
Необходимо в двух удаленных сетях одного провайдера обеспечить:
1 - выход в интернет клиентских машин сети
2 - по этому-же каналу связать две сети.
На границе каждой сети находятся шлюзы на XP, маршрутизация на них настроена.
В интернет смотря модемы с NAT, что решает задачу №1
так-же на шлюзах настроена IPSec.. но обо все по порядку:
Схема:
192.168.10.0/24 (СЕТЬ А)
|
192.168.10.1 (GATEWAY1.lan)
192.168.11.2 (GATEWAY1.wan)
|
192.168.11.1 (NAT1.lan)
212.220.10.10 (NAT1.wan)
|
( internet )
|
212.220.20.20 (NAT2.wan)
192.168.1.1 (NAT2.lan)
|
192.168.1.2 (GATEWAY2.wan)
192.168.20.1 (GATEWAY2.lan)
|
192.168.20.0/24 (СЕТЬ В)
где:
NAT - это модемы с включенным NAT в режиме SUA Only, с переадресацией всех портов по умолчанию на GATEWAY
Сейчас реализован IPSec туннель между GATEWAY1 и GATEWAY2 по следующим правилам:
для GATEWAY1:
из GATEWAY1.wan в GATEWAY2.wan, конечная точка туннеля = NAT2.wan
обратно в GATEWAY1.wan, конечная точка туннеля = GATEWAY1.wan (потому, что НАТ перебрасывает запрос на этот-же шлюз)
для GATEWAY2:
из GATEWAY2.wan в GATEWAY1.wan, конечная точка туннеля = NAT1.wan
обратно в GATEWAY2.wan, конечная точка туннеля = GATEWAY2.wan
в данном режиме все работает, шлюз видит другой шлюз отлично, НО мне нужна видимость сети А и В между собой.
Аналогичные правила, где вместо GATEWAY указаны сети 192.168.10.0 и 192.168.20.0 не решают проблему. Перепробовал различные вариации правил, но тщетно. Даже со шлюза который видит другой не удается увидеть LAN интерфейс самого видимого шлюза.
Прошу подсказать в чем я не прав, возможно ли развить данную тему до решения задачи №2 и каким образом?
----
еще отмечу, что IPSec через NAT реализовано методом инкапсуляции в UDP