I
Сейчас проверю мысль и отпишусь.
Ок, спасибо
Size: a a a
2020 March 28
I
Я попробовал - работать будет. Но надо туннельный режим. По крайней мере на микротике.
А на чем тестовую схему поднимали?
VP
А на чем тестовую схему поднимали?
Докладываю.
1. Очередность политик роль играет. Т.е. ширина маски не решает. Даже если при этом обе политики активны.
2. Собирал в еве.
1. Очередность политик роль играет. Т.е. ширина маски не решает. Даже если при этом обе политики активны.
2. Собирал в еве.
I
Докладываю.
1. Очередность политик роль играет. Т.е. ширина маски не решает. Даже если при этом обе политики активны.
2. Собирал в еве.
1. Очередность политик роль играет. Т.е. ширина маски не решает. Даже если при этом обе политики активны.
2. Собирал в еве.
Спасибо Владимир, зачем же так серьезно?! 😄
Но я так наверное и не понял из вашего доклада)) изменится ли маршрут из / в 10.26.0.0/24 при изменении в маршрутизации и появлении более короткого маршрута, например если стыковочный узел, находящийся сейчас на схеме в сети 172.16.111.0/24 переедет в 172.16.101.0/24
Смогут ли политики ipsec это корректно разрулить без вмешательства человека?
Но я так наверное и не понял из вашего доклада)) изменится ли маршрут из / в 10.26.0.0/24 при изменении в маршрутизации и появлении более короткого маршрута, например если стыковочный узел, находящийся сейчас на схеме в сети 172.16.111.0/24 переедет в 172.16.101.0/24
Смогут ли политики ipsec это корректно разрулить без вмешательства человека?
2020 March 29
I
Я так понимаю что раз политики действуют последовательно, то нельзя динамически изменить маршрут через который пойдет трафик
Также нельзя указать для каждого туннеля идентичную политику, сработает только первая из них
Также нельзя указать для каждого туннеля идентичную политику, сработает только первая из них
VP
Спасибо Владимир, зачем же так серьезно?! 😄
Но я так наверное и не понял из вашего доклада)) изменится ли маршрут из / в 10.26.0.0/24 при изменении в маршрутизации и появлении более короткого маршрута, например если стыковочный узел, находящийся сейчас на схеме в сети 172.16.111.0/24 переедет в 172.16.101.0/24
Смогут ли политики ipsec это корректно разрулить без вмешательства человека?
Но я так наверное и не понял из вашего доклада)) изменится ли маршрут из / в 10.26.0.0/24 при изменении в маршрутизации и появлении более короткого маршрута, например если стыковочный узел, находящийся сейчас на схеме в сети 172.16.111.0/24 переедет в 172.16.101.0/24
Смогут ли политики ipsec это корректно разрулить без вмешательства человека?
В сети 10,26,0,0/24 шлюз 254 - он не поменяется.
В 101-й и 112-й сетях, соответственно 211-для политик и 254 - гейтвей. Вам надо между 211и 254 сделать линк, как вам раньше советовали с узкой маской (т.е. вынести его за пределы броадкаста локалок) и в этот линк прописать прямой и обратный маршрут. Все. Политик это никак не коснется.
В 101-й и 112-й сетях, соответственно 211-для политик и 254 - гейтвей. Вам надо между 211и 254 сделать линк, как вам раньше советовали с узкой маской (т.е. вынести его за пределы броадкаста локалок) и в этот линк прописать прямой и обратный маршрут. Все. Политик это никак не коснется.
VP
Т.е. Вашим визави надо будет просто сменить адрес на интерфейсе и прописать в него один статический маршрут
I
В сети 10,26,0,0/24 шлюз 254 - он не поменяется.
В 101-й и 112-й сетях, соответственно 211-для политик и 254 - гейтвей. Вам надо между 211и 254 сделать линк, как вам раньше советовали с узкой маской (т.е. вынести его за пределы броадкаста локалок) и в этот линк прописать прямой и обратный маршрут. Все. Политик это никак не коснется.
В 101-й и 112-й сетях, соответственно 211-для политик и 254 - гейтвей. Вам надо между 211и 254 сделать линк, как вам раньше советовали с узкой маской (т.е. вынести его за пределы броадкаста локалок) и в этот линк прописать прямой и обратный маршрут. Все. Политик это никак не коснется.
Либо сделать линковочную сеть
Т.е. впихнуть их железку в отдельный бридж или vlan с иной адресацией, верно понял?
Т.е. впихнуть их железку в отдельный бридж или vlan с иной адресацией, верно понял?
VP
Либо сделать линковочную сеть
Т.е. впихнуть их железку в отдельный бридж или vlan с иной адресацией, верно понял?
Т.е. впихнуть их железку в отдельный бридж или vlan с иной адресацией, верно понял?
Да, с отдельной адрессацией.
А на их железе прописывать политики с узкими масками /24 вверху и с общей /16 ниже.
А на их железе прописывать политики с узкими масками /24 вверху и с общей /16 ниже.
I
Т.е. Вашим визави надо будет просто сменить адрес на интерфейсе и прописать в него один статический маршрут
Как на счёт того, куда должен лететь трафик идущий через 10.26.0.254
В какой из туннелей? Или во все 3 сразу?
Я вот этот нюанс не понял
В какой из туннелей? Или во все 3 сразу?
Я вот этот нюанс не понял
I
Да, с отдельной адрессацией.
А на их железе прописывать политики с узкими масками /24 вверху и с общей /16 ниже.
А на их железе прописывать политики с узкими масками /24 вверху и с общей /16 ниже.
Можно схему из Евы если она показывает эти нюансы или визуально их не видно?
VP
Как на счёт того, куда должен лететь трафик идущий через 10.26.0.254
В какой из туннелей? Или во все 3 сразу?
Я вот этот нюанс не понял
В какой из туннелей? Или во все 3 сразу?
Я вот этот нюанс не понял
Так на этом же узле айписек, если я верно понимаю. На нем будут ТРИ политики, как я выше написал. Маршруты не нужны, кроме его дефолтгейтвея.
I
Так на этом же узле айписек, если я верно понимаю. На нем будут ТРИ политики, как я выше написал. Маршруты не нужны, кроме его дефолтгейтвея.
Простите дурака, но я не догоняю, видимо
I
Так на этом же узле айписек, если я верно понимаю. На нем будут ТРИ политики, как я выше написал. Маршруты не нужны, кроме его дефолтгейтвея.
Три политики в 101.0/24, 111.0/24 и 112/24 так?
I
Но тогда где тут /16
I
Если как вы пишете, сделать /16 ниже, то как до нее дойдет дело, если выше уже политика с более узкой маской
I
Либо я просто не до конца понял как это работает... 🤦♂
VP
Простите дурака, но я не догоняю, видимо
I
видимо у меня очень тяжелый случай))) пойду ставить еву