Discussion:
tunel GRE - jak konkretnie
(Wiadomość utworzona zbyt dawno temu. Odpowiedź niemożliwa.)
Sierp
2003-10-13 10:35:30 UTC
Permalink
Witam

Mam za zadanie zestawic tunel GRE miedzy firmami poprzez
lacze FrameRelay (juz zestawiny PVC) - po co chca GRE to
nie wiem... tam i tak bedzie tylko tcp/ip lecial o ile wiem.
Od mojej strony wyglada to tak

[PVC]---cisco3640---firewall---intranet

(wiem wiem, lepiej by bylo miec ten firewall wczesniej ale ma
tez inne zadania ;-)

Od strony klienta - nie wiem...
Przeczytalem juz RFC1701 i RFC1702 i nadal nie mam calkowitej
jasnosci jak to powinienem zrobic.
Mianowicie - czy ten tunel powinienem zestawic miedzy moim
cisco i druga strona, czy tez miedzy maszyna za routerem
zewnetrznym (tutaj bylby to FW) i ich strona?
Co potrzebuje im dac (jakie informacje) aby mozliwe bylo
zestawienie tunelu?

Poza tym tunelem bedzie/jest tez normalna transmisja poprzez to PVC

Sierp
Łukasz Bromirski
2003-10-13 10:49:41 UTC
Permalink
Post by Sierp
Mam za zadanie zestawic tunel GRE miedzy firmami poprzez
lacze FrameRelay (juz zestawiny PVC) - po co chca GRE to
nie wiem... tam i tak bedzie tylko tcp/ip lecial o ile wiem.
Od mojej strony wyglada to tak
[PVC]---cisco3640---firewall---intranet
Od strony klienta - nie wiem...
Przeczytalem juz RFC1701 i RFC1702 i nadal nie mam calkowitej
jasnosci jak to powinienem zrobic.
Mianowicie - czy ten tunel powinienem zestawic miedzy moim
cisco i druga strona, czy tez miedzy maszyna za routerem
zewnetrznym (tutaj bylby to FW) i ich strona?
To zależy od tego, jaki ruch ma biegać w tunelu GRE - z
publiczną czy prywatną adresacją? NAT robisz na firewallu czy
na Cisco?
Post by Sierp
Co potrzebuje im dac (jakie informacje) aby mozliwe bylo
zestawienie tunelu?
Swój publiczny adres IP, do którego przypięty będzie
tunel i musicie się dogadać co do specyfikacji jaki ruch
ma do tunelu wchodzić. Jeśli firewall to FreeBSD (tak wnioskuję
po Twoich postach na pl.comp.os.freebsd) to możesz równie
dobrze zapiąć GRE na nim.
Post by Sierp
Poza tym tunelem bedzie/jest tez normalna transmisja poprzez to PVC
Nie ma to tak naprawdę żadnego znaczenia, tunel GRE może stać
sobie na prywatnych adresach. Np.:

interface Tunnel0
description Tunel do klienta
ip address 172.16.0.1 255.255.255.252
tunnel source Serial0.2
tunnel destination PUBLICZNE_IP_PO_STRONIE_KLIENTA

interface Serial0
no ip address
encapsulation frame-relay ietf
frame-relay lmi-type ansi
!
interface Serial0.1 point-to-point
description Polaczenie do Internetu
ip address PUBLICZNE_IP_DO_INTERNETU 255.255.255.252
frame-relay interface-dlci 99 IETF
!
interface Serial0.2 point-to-point
description End-point GRE do-z klienta
ip address 172.16.10.1 255.255.255.252
frame-relay interface-dlci 100 IETF

...teraz wystarczy że wskażesz, że ruch do sieci klienta
(np. 10.0.10.0/24) ma się odbywać przez GW 172.16.0.1 i skonfigurujesz
oczywiście lustrzaną konfigurację po drugiej stronie, i masz tunel.
Jak chcesz do tego dodawać IPsec itp. to wal na priva.
--
Łukasz Bromirski lbromirski ( at ) mr0vka,eu,org
PGP key http://mr0vka,eu,org/pgp,asc http://mr0vka,eu,org
PGP finger 5C3B 723F A1FA A2BA E57A E959 62A8 63C2 093B 6C49
Sierp
2003-10-13 11:05:39 UTC
Permalink
Użytkownik "Łukasz Bromirski"
Post by Łukasz Bromirski
To zależy od tego, jaki ruch ma biegać w tunelu GRE - z
publiczną czy prywatną adresacją? NAT robisz na firewallu czy
na Cisco?
prywatna, tutaj nie ma w ogole internetu, NATu tez nie ma :-)
tylko routing
Post by Łukasz Bromirski
Post by Sierp
Co potrzebuje im dac (jakie informacje) aby mozliwe bylo
zestawienie tunelu?
Swój publiczny adres IP, do którego przypięty będzie
tunel i musicie się dogadać co do specyfikacji jaki ruch
ma do tunelu wchodzić.
brak publicznego IP...
Post by Łukasz Bromirski
Jeśli firewall to FreeBSD (tak wnioskuję
po Twoich postach na pl.comp.os.freebsd) to możesz równie
dobrze zapiąć GRE na nim.
akurat linuks ale to nieistotne - i jeden i drugi to wspiera :-)
Post by Łukasz Bromirski
...teraz wystarczy że wskażesz, że ruch do sieci klienta
(np. 10.0.10.0/24) ma się odbywać przez GW 172.16.0.1 i skonfigurujesz
oczywiście lustrzaną konfigurację po drugiej stronie, i masz tunel.
Jak chcesz do tego dodawać IPsec itp. to wal na priva.
byc moze bede chcial, takze na cisco, ale nie wiem jeszcze, tak
czy inaczej dzieki
na razie poprosze ich o uargumentowanie ze jest to rzeczywiscie
potrzebne, bo jakos wydaje mi sie ze jest to sztuka dla sztuki

Sierp
jarek p
2003-10-13 11:12:32 UTC
Permalink
Post by Sierp
prywatna, tutaj nie ma w ogole internetu, NATu tez nie ma :-)
tylko routing
nawet jak by byl to wycinasz go dla dlanej klasy lub na podinterfejsie
interfejsie na ktorym stoi pvc
Post by Sierp
brak publicznego IP...
to podajesz ip swojej i drugiej strony pvc
Post by Sierp
byc moze bede chcial, takze na cisco, ale nie wiem jeszcze, tak
czy inaczej dzieki
na razie poprosze ich o uargumentowanie ze jest to rzeczywiscie
potrzebne, bo jakos wydaje mi sie ze jest to sztuka dla sztuki
no ciekawe co ci powiedza ... bo moze sie im pomylilo jednak z ipsec-iem
jp
Sierp
2003-10-13 11:28:54 UTC
Permalink
Post by jarek p
Post by Sierp
na razie poprosze ich o uargumentowanie ze jest to rzeczywiscie
potrzebne, bo jakos wydaje mi sie ze jest to sztuka dla sztuki
no ciekawe co ci powiedza ... bo moze sie im pomylilo jednak z ipsec-iem
mysle ze nie :-)
ipsec to rozumiem i na to jestem gotow pojsc jak najbardziej,
zobaczymy

Sierp
Grzegorz Janoszka
2003-10-13 10:54:53 UTC
Permalink
Post by Sierp
Mam za zadanie zestawic tunel GRE miedzy firmami poprzez
lacze FrameRelay (juz zestawiny PVC) - po co chca GRE to
nie wiem... tam i tak bedzie tylko tcp/ip lecial o ile wiem.
No to po co tunel? Przecież to całkowicie bez sensu, a szyfrowania samo
GRE nie zapewnia.
Post by Sierp
Mianowicie - czy ten tunel powinienem zestawic miedzy moim
cisco i druga strona, czy tez miedzy maszyna za routerem
zewnetrznym (tutaj bylby to FW) i ich strona?
Jak wolisz, obojętne jest, choć pewnie prościej będzie to zrobić na
ciscaczach. Uważaj - kiedyś trafiłem na takiego IOS, który miał memory
leaki i po paru godzinach działania tunelu ruter się wypieprzał
z powodu braku pamięci :)
Post by Sierp
Co potrzebuje im dac (jakie informacje) aby mozliwe bylo
zestawienie tunelu?
IP, które będzie w tunelu i IP zaterminowania tunelu.
Post by Sierp
Poza tym tunelem bedzie/jest tez normalna transmisja poprzez to PVC
Całkowity bezsens.
--
Grzegorz Janoszka odpowiadając POPRAW adres

UWAGA, mam specyficzne poczucie humoru! Na newsach wyrażam swoje prywatne
specyficzne poglądy, a nie moich byłych, obecnych i przyszłych pracodawców.
Sierp
2003-10-13 11:10:40 UTC
Permalink
Post by Grzegorz Janoszka
Post by Sierp
Co potrzebuje im dac (jakie informacje) aby mozliwe bylo
zestawienie tunelu?
IP, które będzie w tunelu i IP zaterminowania tunelu.
tutaj poprosze minimalne wyjasnienie, bo mialem z roznymi
tunelami do czynienia
jezeli zestawie tunel miedzy czyms takim

192.168.1.0/24 192.168.3.0/24
[pvc]------------cisco------------firewall------------intranet
192.168.2.0/24

to jak rozumiem IP zaterminowania tunelu to bedzie (zaleznie
od maszyny ktora tunel stworzy) interfejs wewnetrzny tej maszyny
(czyli dla cisco 192.168.2.1) czy tez zewnetrzny
(czyli dla cisco 192.168.1.1)?
a IP w tunelu to siec 192.168.3.0/24?
Post by Grzegorz Janoszka
Post by Sierp
Poza tym tunelem bedzie/jest tez normalna transmisja poprzez to PVC
Całkowity bezsens.
to sprobuje im przekazac w grzecznej formie ;-)
dzieki

Sierp
Grzegorz Janoszka
2003-10-13 12:01:14 UTC
Permalink
Post by Sierp
tutaj poprosze minimalne wyjasnienie, bo mialem z roznymi
tunelami do czynienia
Właśnie widzę, że z żadnymi ;-P
Post by Sierp
jezeli zestawie tunel miedzy czyms takim
192.168.1.0/24 192.168.3.0/24
[pvc]------------cisco------------firewall------------intranet
192.168.2.0/24
to jak rozumiem IP zaterminowania tunelu to bedzie (zaleznie
od maszyny ktora tunel stworzy) interfejs wewnetrzny tej maszyny
(czyli dla cisco 192.168.2.1) czy tez zewnetrzny
(czyli dla cisco 192.168.1.1)?
IP zaterminowania tunelu będzie zależeć od maszyny, na której go terminujesz,
czy to naprawdę takie trudne? W przypadku gdy terminujesz tunel na cisco,
to możesz podać jego DOWOLNY adres z któregoś interfejsu, albo np loopback
jakiś.
Post by Sierp
a IP w tunelu to siec 192.168.3.0/24?
IP w tunelu będzie dowolny, jaki chcesz, ale nie polecam 192.168.3.0/24,
bo takie adresy już są w tej sieci, weź inne adresy z maską /30.

Coś Ty zgupł, że takie pytania zadajesz?
--
Grzegorz Janoszka odpowiadając POPRAW adres

UWAGA, mam specyficzne poczucie humoru! Na newsach wyrażam swoje prywatne
specyficzne poglądy, a nie moich byłych, obecnych i przyszłych pracodawców.
jarek p
2003-10-13 10:51:51 UTC
Permalink
Post by Sierp
Witam
Mam za zadanie zestawic tunel GRE miedzy firmami poprzez
lacze FrameRelay (juz zestawiny PVC) - po co chca GRE to
nie wiem... tam i tak bedzie tylko tcp/ip lecial o ile wiem.
Od mojej strony wyglada to tak
[PVC]---cisco3640---firewall---intranet
(wiem wiem, lepiej by bylo miec ten firewall wczesniej ale ma
tez inne zadania ;-)
Od strony klienta - nie wiem...
Przeczytalem juz RFC1701 i RFC1702 i nadal nie mam calkowitej
jasnosci jak to powinienem zrobic.
Mianowicie - czy ten tunel powinienem zestawic miedzy moim
cisco i druga strona, czy tez miedzy maszyna za routerem
zewnetrznym (tutaj bylby to FW) i ich strona?
Co potrzebuje im dac (jakie informacje) aby mozliwe bylo
zestawienie tunelu?
Poza tym tunelem bedzie/jest tez normalna transmisja poprzez to PVC
Sierp
interface Tunnel1
ip unnumbered FastEthernet0/0
tunnel source Multilink1 lub jakis serial
tunnel destination x.x.x.x

routing na siec docelowa na interfejs tunel
jp
Sierp
2003-10-13 11:55:02 UTC
Permalink
Post by jarek p
Post by Sierp
Poza tym tunelem bedzie/jest tez normalna transmisja poprzez to PVC
Sierp
interface Tunnel1
ip unnumbered FastEthernet0/0
tunnel source Multilink1 lub jakis serial
tunnel destination x.x.x.x
routing na siec docelowa na interfejs tunel
czyli terminowac na interfejsie wewnetrznym?

Sierp
@isysrz.comm(no spam)
2003-10-13 11:56:00 UTC
Permalink
Post by Sierp
Post by jarek p
Post by Sierp
Poza tym tunelem bedzie/jest tez normalna transmisja poprzez to PVC
Sierp
interface Tunnel1
ip unnumbered FastEthernet0/0
tunnel source Multilink1 lub jakis serial
tunnel destination x.x.x.x
routing na siec docelowa na interfejs tunel
czyli terminowac na interfejsie wewnetrznym?
Sierp
zawsze na zewnetrzny jego czyli serial na ktorym stoi pvc po obu
stronech tak samo jak w ipsec-u bramka na widoczny interfejs a nie na
siec prywatna moze tak bedzie latwiej wytlumaczyc

jp
Sierp
2003-10-13 12:06:43 UTC
Permalink
Post by @isysrz.comm(no spam)
Post by Sierp
czyli terminowac na interfejsie wewnetrznym?
zawsze na zewnetrzny jego czyli serial na ktorym stoi pvc po obu
stronech tak samo jak w ipsec-u bramka na widoczny interfejs a nie na
siec prywatna moze tak bedzie latwiej wytlumaczyc
ee, troche chaotycznie napisane :-)
np. freeswan na linuksie odpalony jest tak ze zestawiony
tunel (konce) sa interfejsami wewnetrznymi firewalla (w te
interfejsy wchodza pakiety i potem wpadaja do tunelu),
natomiast miedzy zewnetrznymi jest nawiazany tunel.

I teraz nie wiem co konkretnie oznacza "terminowanie tunelu GRE"
Chce to zrobic na CISCO, skoro juz tyle na nie wybulila moja firma ;)

W tym cisco bedzie kilka pvc (roznych), w tym pvc do tej firmy,
tak wiec nie wiem (ostatni raz ;) czy terminowac powinienem na
int. serial czy ethernet

Sierp
jarek p
2003-10-13 12:11:02 UTC
Permalink
Post by Sierp
Post by @isysrz.comm(no spam)
Post by Sierp
czyli terminowac na interfejsie wewnetrznym?
zawsze na zewnetrzny jego czyli serial na ktorym stoi pvc po obu
stronech tak samo jak w ipsec-u bramka na widoczny interfejs a nie na
siec prywatna moze tak bedzie latwiej wytlumaczyc
ee, troche chaotycznie napisane :-)
np. freeswan na linuksie odpalony jest tak ze zestawiony
tunel (konce) sa interfejsami wewnetrznymi firewalla (w te
interfejsy wchodza pakiety i potem wpadaja do tunelu),
natomiast miedzy zewnetrznymi jest nawiazany tunel.
I teraz nie wiem co konkretnie oznacza "terminowanie tunelu GRE"
Chce to zrobic na CISCO, skoro juz tyle na nie wybulila moja firma ;)
W tym cisco bedzie kilka pvc (roznych), w tym pvc do tej firmy,
tak wiec nie wiem (ostatni raz ;) czy terminowac powinienem na
int. serial czy ethernet
Sierp
w freeswanie jes podobnie prawa lewa strona i bramki
w cisco masz interfejs zrodlowy czyli ip podinterfejsu seriala na ktowym
jest pvc i docelowy dokladnie to samo tylko po drugiej stronie
a tuneli tobisz sobie ile chcesz zaleznie od ilosci oddzialow kazdy
oczywiscie na inny cel a zroglo to zalezy skoro po pvc to za kazdym
razem inne
pozniej routing do danej sieci na tunel ktorys tam
w czym tu problem ... ??
jp
Sierp
2003-10-13 12:27:31 UTC
Permalink
Post by jarek p
w freeswanie jes podobnie prawa lewa strona i bramki
w cisco masz interfejs zrodlowy czyli ip podinterfejsu seriala na ktowym
jest pvc i docelowy dokladnie to samo tylko po drugiej stronie
a tuneli tobisz sobie ile chcesz zaleznie od ilosci oddzialow kazdy
oczywiscie na inny cel a zroglo to zalezy skoro po pvc to za kazdym
razem inne
pozniej routing do danej sieci na tunel ktorys tam
w czym tu problem ... ??
chyba juz wiem wszystko co chcialem wiedziec..
dzieki wszystkim

Sierp

Grzegorz Janoszka
2003-10-13 12:02:43 UTC
Permalink
Post by Sierp
czyli terminowac na interfejsie wewnetrznym?
Którym chcesz. I najpierw nie terminować, najpierw myśleć i czytać
google.pl i cisco.com. Ehhh... sam krytykujesz innych, jak zadają idiotyczne
pytania o rozdzielenie sygnału asterciot, a potem zachowujesz się tak samo :)
--
Grzegorz Janoszka odpowiadając POPRAW adres

UWAGA, mam specyficzne poczucie humoru! Na newsach wyrażam swoje prywatne
specyficzne poglądy, a nie moich byłych, obecnych i przyszłych pracodawców.
Sierp
2003-10-13 12:09:24 UTC
Permalink
Post by Grzegorz Janoszka
Którym chcesz.
ale ja pytam ktorym lepiej
Post by Grzegorz Janoszka
I najpierw nie terminować, najpierw myśleć i czytać
google.pl i cisco.com. Ehhh... sam krytykujesz innych, jak zadają idiotyczne
pytania o rozdzielenie sygnału asterciot, a potem zachowujesz
się tak samo :)
wierz mi, czytalem
przeczytalem rfc, poszukalem na cisco i bardzo ciezko bylo
znalezc cokolwiek co nie dotyczy samego gre
jedyne dokumenty ogolne o GRE jakie znalazlem to

http://www.europe.redhat.com/documentation/HOWTO/Adv-Routing-HOWTO-5.php3
(i w innych wydaniach ale to samo)
ktore prawie nic o charakterystyce tego polaczenia nie mowia

No wiec gdzie jeszcze moglem o tym poczytac? Bo wierz mi ze
szukalem, a skoro nie moglem znalezc - zapytalem

Sierp
jarek p
2003-10-13 12:14:20 UTC
Permalink
Post by Sierp
Post by Grzegorz Janoszka
Którym chcesz.
ale ja pytam ktorym lepiej
Post by Grzegorz Janoszka
I najpierw nie terminować, najpierw myśleć i czytać
google.pl i cisco.com. Ehhh... sam krytykujesz innych, jak zadają idiotyczne
pytania o rozdzielenie sygnału asterciot, a potem zachowujesz
się tak samo :)
wierz mi, czytalem
przeczytalem rfc, poszukalem na cisco i bardzo ciezko bylo
znalezc cokolwiek co nie dotyczy samego gre
jedyne dokumenty ogolne o GRE jakie znalazlem to
http://www.europe.redhat.com/documentation/HOWTO/Adv-Routing-HOWTO-5.php3
(i w innych wydaniach ale to samo)
ktore prawie nic o charakterystyce tego polaczenia nie mowia
No wiec gdzie jeszcze moglem o tym poczytac? Bo wierz mi ze
szukalem, a skoro nie moglem znalezc - zapytalem
Sierp
w cisco wpisz configure interface tunnel i bedziesz mial od groma
jp
Sierp
2003-10-13 12:26:55 UTC
Permalink
Post by jarek p
w cisco wpisz configure interface tunnel i bedziesz mial od groma
probowalem bardziej intuicyjnie, czyli GRE tunnel
ale niespecjalnie byly to opisy przydatne - wiekszosc
opisywala jak skonfigurowac gre z czyms, a zaden
nie traktowal ogolnie o GRE - i wlasnie w tym moj problem lezal

Sierp
Loading...