Как отправлять весь исходящий трафик в GRE туннель?

Question

[Алексей Рудьковский]

Доброго времени суток!
Иметься две сети, расположенные удалённо друг от друга(два филиала предприятия). Каждая сеть имеет множество подсетей. Они должны быть объединены с помощью GRE. Тут появилась проблема: как указать, что бы весь исходящий трафик шёл в туннель? Делать статическую маршрутизацию не хотелось бы, так как в дальнейшем сеть может расширяться, а статическая маршрутизация может быть в данном случае минусом(делаю курсовую работу). Можно ли как-то сделать такое? Если можно, то как?

Answer 1

[Илья Т.]

Ну на самом деле не всё понятно с вашим описанием, но в общем случае:
1. Делается статический маршрут на внешений адрес партнера по GRE
типа
add route ip.of.gre.partner ip.my.inernet.provider
2. Прописывается маршрут по умолчанию на внутренний адрес GRE
add route 0.0.0.0 0.0.0.0. ip.gre.other.side

Понимаем, что без дополнительных телодвижений интерента при такой схеме не будет.
Возможно надо поднимать динамическую маршрутизацию (RIP,OSPF,EIGRP).

Comments

[Алексей Рудьковский]

Спасибо за ответ, сейчас попробуйю

[Илья Т.]

Алексей Рудьковский: не забывайте что это с двух сторон надо сделать

[Алексей Рудьковский]

Илья Т.: не работает. Конфигурация роутеров: pastebin.com/7sg9Fa9j

[Илья Т.]

пока не вчитывался в конфиг. тонель поднялся ? его концы пингуются ? далее оспф - что показывает show ip ospf neighbors ?

[Алексей Рудьковский]

Илья Т.: туннель поднят, без туннеля всё пингуется. Если указать самому задать статический маршрут в одну сеть - в тунель входит. Не работает с 0.0.0.0.
R1:
11.0.0.1 1 FULL/BDR 00:00:32 11.0.0.1 FastEthernet0/0
R2:
100.0.0.0 1 FULL/BDR 00:00:34 10.0.0.2 FastEthernet0/0
175.0.0.1 1 FULL/DR 00:00:39 11.0.0.2 FastEthernet0/1
R3:
11.0.0.1 1 FULL/BDR 00:00:31 11.0.0.1 FastEthernet0/0

[Илья Т.]

sh ip route ?

[Алексей Рудьковский]

Илья Т.: R1:
C 5.0.0.0/8 is directly connected, Tunnel0
C 10.0.0.0/8 is directly connected, FastEthernet0/0
O 11.0.0.0/8 [110/2] via 10.0.0.1, 00:03:31, FastEthernet0/0
175.0.0.0/24 is subnetted, 1 subnets
O 175.0.0.0 [110/3] via 10.0.0.1, 00:03:31, FastEthernet0/0
C 192.168.0.0/24 is directly connected, FastEthernet0/1
S* 0.0.0.0/0 [1/0] via 5.0.0.2
R3:
C 5.0.0.0/8 is directly connected, Tunnel0
O 10.0.0.0/8 [110/2] via 11.0.0.1, 00:03:30, FastEthernet0/0
C 11.0.0.0/8 is directly connected, FastEthernet0/0
175.0.0.0/24 is subnetted, 1 subnets
C 175.0.0.0 is directly connected, FastEthernet0/1
O 192.168.0.0/24 [110/3] via 11.0.0.1, 00:03:30, FastEthernet0/0
S* 0.0.0.0/0 [1/0] via 5.0.0.1
На R2 настроен только OSPF

[Илья Т.]

ну как бы на участке r1-r3 всё нормально. а что tracerote показывает ?

[Илья Т.]

и пинг 5.0.0.2 c R1

[Алексей Рудьковский]

Илья Т.: tracert 175.0.0.2:
1 0 ms 0 ms 0 ms 192.168.0.1
2 0 ms 0 ms 0 ms 10.0.0.1
3 1 ms 0 ms 0 ms 11.0.0.2
4 0 ms 0 ms 1 ms 175.0.0.2
Trace complete.
Если с роутера, то результат следующий:
1 10.0.0.1 0 msec 0 msec 0 msec
2 11.0.0.2 0 msec 0 msec 0 msec
3 175.0.0.2 0 msec 0 msec 0 msec

[Илья Т.]

аа кажется понял. у вас всё пингуется, но проблема в том что трафик идет мимо тун интерфейса? если проблема в этом - переделайте ospf:
вместо тех нетворков которые есть:
network 5.0....
redistribute connected

[Илья Т.]

хотя в такой конфигурации как в примере (без интернета) динамика вообще не нужна

[Алексей Рудьковский]

Илья Т.: да, пакеты не идут по GRE, а продолжают идти как обычно. Это писать на всех трёх роутерах?

[Илья Т.]

дефолт на двух филиалах в центр, а в центре дефолт в два филиала не получится, пусть динамика маршруты разруливает

[Алексей Рудьковский]

Илья Т.: спасибо. Отпишусь уже завтра, как будут какие-то изменения

[Илья Т.]

как успехи?

[Алексей Рудьковский]

Илья Т.: много дел было вчера, забыл ответить. Тоже не помогло с прописыванием в ospf сети туннеля. Преподаватель тоже не нашёл в чём проблема, сказал что в понедельник даст свою сеть с настройками, там оно работает

[Илья Т.]

Алексей Рудьковский: не ведитесь. Доотлаживайте всою схему до конца. Смотрите маршруты, понимайте почему трафик идет туда или не туда. Спрашивайте. Это очень простая схема, в жизни так просто почти никогда не бывает. Не разбересь с этим, пптом будет сложно. Давайте сюда новые конфиги, таблицу маршрутизации, трэйсы

[Алексей Рудьковский]

Илья Т.: странно, но собрав сеть снова на другом ПК она заработала. Может ли быть ошибка в том, что был настроен и OSPF и статическая маршрутизация?

[Илья Т.]

есть определенная логика как статика работает совместно с динамикой - посмотрите. скорей всего вы просто где-то ошиблись.
например, что касается первого примера - там трафик не шел в GRE потому что при прочих равных выбираются те маршруты которые покрывают меньшее количество адресов т.е. маршрут по умолчанию используется в последнюю очередь

[Алексей Рудьковский]

Илья Т.: значит в этом и была проблема. Без настройки OSPF теперь всё работает, трафик идёт в туннель. Спасибо

Answer 2

[nataku]

Если вы хотите отправлять именно весь трафик через туннель(что-бы один офис выходил в интернет через другой) то на центральном маршрутизаторе надо прописывать надо прописывать статикой маршрут.

А если вам надо что-бы из первого офиса были доступны все локальные сети второго офиса а допустим выход в интернет осуществлялся через локальный маршрутизатор, то вам проще всего настраивать OSPF.

Нужно больше информации для ответа.

Comments

[Алексей Рудьковский]

Есть два офиса. Физически они расположены в разных городах, но сеть у них должна быть одна. Т.е. должен быть доступ с одной сети к серверам и компьютерам в другой сети. Так как они расположены в разных городах, нужен vpn, и с ним проблема: нужно сделать так, что бы весь трафик, при выходе из сети офиса, автоматически заходил в туннель.
ip route 0.0.0.0 0.0.0.0 ip.gre.other.side почему-то не раюотает, но я ещё не пробовал этот(Как отправлять весь исходящий трафик в GRE туннель? вариант.
При статическом указании маршрута, например ip route x.x.x.x y.y.y.y ip.gre.other.side трафик в туннель входит. Если бы сеть была небольшой и не планировалась бы расширяться, такой вариант устроил бы, но из-за возможного дальнейшего расширения сети он не подходит.