Cisco1<->Cisco2<->Kerio Не могу зайти в третью подсеть Cisco1<->Kerio

@dom7800 · Регистрация: 11.11.2021

Студворк — интернет-сервис помощи студентам

Здравствуйте. Помогите решите задачу:
1. Есть Cisco RV345 (Оборудование в филиале Дочка).
1.1 WAN - Интернет провайдер с услугой Белого IP-адреса.
1.2 LAN - 192.168.70.1 / 24 (локальная сеть предприятия)

2. Есть Cisco RV082. (Оборудование в офисе Голова)
2.1 WAN - Интернет провайдер с услугой Белого IP-адреса.
2.2 LAN - Локальная сеть 192.168.27.1 / 24 (подсеть для телефонии)

3. Керио Control (Оборудование в офисе Голова)
3.1 WAN - 192.168.27.5 / 24 (кабель заходит в cisco rv082)
3.2 LAN - 192.168.60.100 / 24 (локальная сеть предприятия)

Итак, имеем подсеть 70 одного филиала, надо зайти в подсеть 60 в другом офисе.

Связал две cisco между собой Site-to-Site IPSec VPN туннель.
из 27 сети (rv082) пингую: 60-"ОК" (kerio), 70-"ОК" (rv345)
из 60 сети пингую 27-"ОК", 70-"ОК"
C:\>tracert 192.168.70.1
Трассировка маршрута к 192.168.70.1 с максимальным числом прыжков 30
1 1 ms <1 мс <1 мс 192.168.60.100
2 1 ms 1 ms 1 ms 192.168.27.1
3 15 ms 15 ms 15 ms 192.168.70.1
Трассировка завершена.

из 70 сети пингую: 27 - "ОК", 60 - не видит
C:\>tracert 192.168.27.1
Трассировка маршрута к 192.168.27.1 с максимальным числом прыжков 30
1 1 ms 1 ms 1 ms Router [192.168.70.1]
2 17 ms 16 ms 17 ms 192.168.27.1
Трассировка завершена.
На керио (скриншот 1), в правилах трафика для подсети 70.0 разрешаю все, в итоге пинги проходят, но только на WAN интерфейс Керио 27.5
C:\>tracert 192.168.27.5
Трассировка маршрута к 192.168.27.5 с максимальным числом прыжков 30
1 1 ms 1 ms 1 ms Router [192.168.70.1]
2 * * * Превышен интервал ожидания для запроса.
3 18 ms 17 ms 17 ms 192.168.27.5
Трассировка завершена.
C:\>tracert 192.168.60.100
Трассировка маршрута к 192.168.60.100 с максимальным числом прыжков 30
1 1 ms 1 ms 1 ms Router [192.168.70.1]
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * ^C
C:\>

Попробовал на Керио port forwarding/mapping (скриншот 2) - работает, значит пакеты из 70 доходят, как минимум до Kerio WAN на 27.5,
но маппинг мне не нужен.
PS: в Голове на циске указан статичный маршрут, см. скриншот 3, больше нигде никакой статический роутинг не прописан.

Что и где необходимо прописать, чтобы 70 сеть увидела 60, т.е. работали Windows SMB,RDP,Сетевые принтеры и другие сервисы и было все в шоколаде?
Спасибо за помощь.

@insect_87 · 03.01.2022, 01:22

Покажите политики ipsec на обеих cisco.
Правила nat и таблицу маршрутизации на керио.

@dom7800 · 03.01.2022, 02:28 **[ТС]**

rv345
rv345 adv
rv345 ipsec profile
rv345 group2760

rv082

Kerio Route
Kerio NAT

@insect_87 · 03.01.2022, 13:14

У rv082 в политике ipsec local ip address и mask 192.168.0.0 255.255.0.0
И надо бы либо изменить правило nat, чтобы пакеты из сети 60.0/24 в сеть 70.0/24 не попадали под nat на внешнем интерфейсе,
либо добавить вперёд него терминирующее правило, которое разрешало бы пакеты из сети 60.0/24 в сеть 70.0/24 без дальнейшей трансляции на wan интерфейсе.
Нет керио под рукой.

Иными словами вам надо сделать так, чтобы под трансляцию не попадали пакеты из сети 60.0/24 в сеть 70.0/24

@dom7800 · 03.01.2022, 15:51 **[ТС]**

В политике ipsec на этом роутере, не могу задать определенные подсети, поэтому, скорее всего, как Вы и написали, придется расширять диапазон маской.
Вашу мысль понял, попробую что-нибудь изобразить, не знаю, получится ли такое...

@insect_87 · 03.01.2022, 16:18

Вашу мысль понял, попробую что-нибудь изобразить, не знаю, получится ли такое...
dom7800 вне форума

Если предоставите удалённый доступ к керио, могу сам попробовать

@dom7800 · 03.01.2022, 17:36 **[ТС]**

Итак, все получилось!
Что сделал:
1. Поменял локальную подсеть с 27 на 60.
К сожалению увеличив маску 192.168.0.0. 255.255.0.0 результата не принесло и туннель вообще упал. А эта старушка, не умеет работать с IP Group, как, например rv345, в котором как раз таки указана IP Group "group2760"

2. Прописал в Керио вот такое правило трафика (кстати, данный скриншот делал уже из 70 сетки)

В итоге через этот туннель: из 70 не вижу 27 сеть вообще, но она мне и не нужна, т.к. это телефония между филиалами, а в данном филиале ее пока попросту нет. Вижу всю 60. захожу по всем сервисам абсолютно прозрачно, понятно, что упираюсь в доменные креденшилсы, но это уже другая история, там я уже подкручу как мне надо

Если заменить старушку rv082 на такую же rv345, то схема cisco1<->cisco2<->kerio будет абсолютно рабочая и все три подсети будут видеть друг друга полностью.
Большое спасибо за помощь и наводку на свежие мысли. Тему можно считать закрытой.

Новые блоги и статьи Все статьи Все блоги /
Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .	PowerShell Snippets iNNOKENTIY21 11.11.2025 Модуль PowerShell 5. 1+ : Snippets. psm1 У меня модуль расположен в пользовательской папке модулей, по умолчанию: \Documents\WindowsPowerShell\Modules\Snippets\ А в самом низу файла-профиля. . .	PowerShell и онлайн сервисы. Валюта (floatrates.com руб.) iNNOKENTIY21 11.11.2025 PowerShell функция floatrates-rub Примеры вызова: # Указанная валюта 'EUR' floatrates-rub -Code 'EUR' # Список имеющихся кодов валют floatrates-rub -Available function floatrates-rub {	PowerShell и онлайн сервисы. Погода (RP5.ru) iNNOKENTIY21 11.11.2025 PowerShell функция Get-WeatherRP5rss для получения погоды с сервиса RP5 Примеры вызова Get-WeatherRP5rss с указанием id 5484 — Москва (восток, Измайлово) и переносом строки:. . .
PowerShell и онлайн сервисы. Погода (wttr) iNNOKENTIY21 11.11.2025 PowerShell Функция для получения погоды с сервиса wttr Примеры вызова: Погода в городе Омск с прогнозом на день, можно изменить прогноз на более дней, для этого надо поменять запрос:. . .	PowerShell и онлайн сервисы. Валюта (ЦБР) iNNOKENTIY21 11.11.2025 # Получение курса валют function cbr (] $Valutes = @('USD', 'EUR', 'CNY')) { $url = 'https:/ / www. cbr-xml-daily. ru/ daily_json. js' $data = Invoke-RestMethod -Uri $url $esc = 27 . . .	И решил я переделать этот ноут в машину для распределенных вычислений Programma_Boinc 09.11.2025 И решил я переделать этот ноут в машину для распределенных вычислений Всем привет. А вот мой компьютер, переделанный из ноутбука. Был у меня ноут асус 2011 года. Со временем корпус превратился. . .	Мысли в слух kumehtar 07.11.2025 Заметил среди людей, что по-настоящему верная дружба бывает между теми, с кем нечего делить.	Новая зверюга volvo 07.11.2025 Подарок на Хеллоуин, и теперь у нас кроме Tuxedo Cat есть еще и щенок далматинца: Хочу еще Симбу взять, очень нравится. . .

@dom7800 0 / 0 / 0 Регистрация: 11.11.2021 Сообщений: 4

	Cisco1<->Cisco2<->Kerio Не могу зайти в третью подсеть Cisco1<->Kerio 03.01.2022, 00:03. Показов 1819. Ответов 6 Метки нет (Все метки) Здравствуйте. Помогите решите задачу: 1. Есть Cisco RV345 (Оборудование в филиале Дочка). 1.1 WAN - Интернет провайдер с услугой Белого IP-адреса. 1.2 LAN - 192.168.70.1 / 24 (локальная сеть предприятия) 2. Есть Cisco RV082. (Оборудование в офисе Голова) 2.1 WAN - Интернет провайдер с услугой Белого IP-адреса. 2.2 LAN - Локальная сеть 192.168.27.1 / 24 (подсеть для телефонии) 3. Керио Control (Оборудование в офисе Голова) 3.1 WAN - 192.168.27.5 / 24 (кабель заходит в cisco rv082) 3.2 LAN - 192.168.60.100 / 24 (локальная сеть предприятия) Итак, имеем подсеть 70 одного филиала, надо зайти в подсеть 60 в другом офисе. Связал две cisco между собой Site-to-Site IPSec VPN туннель. из 27 сети (rv082) пингую: 60-"ОК" (kerio), 70-"ОК" (rv345) из 60 сети пингую 27-"ОК", 70-"ОК" C:\>tracert 192.168.70.1 Трассировка маршрута к 192.168.70.1 с максимальным числом прыжков 30 1 1 ms <1 мс <1 мс 192.168.60.100 2 1 ms 1 ms 1 ms 192.168.27.1 3 15 ms 15 ms 15 ms 192.168.70.1 Трассировка завершена. из 70 сети пингую: 27 - "ОК", 60 - не видит C:\>tracert 192.168.27.1 Трассировка маршрута к 192.168.27.1 с максимальным числом прыжков 30 1 1 ms 1 ms 1 ms Router [192.168.70.1] 2 17 ms 16 ms 17 ms 192.168.27.1 Трассировка завершена. На керио (скриншот 1), в правилах трафика для подсети 70.0 разрешаю все, в итоге пинги проходят, но только на WAN интерфейс Керио 27.5 C:\>tracert 192.168.27.5 Трассировка маршрута к 192.168.27.5 с максимальным числом прыжков 30 1 1 ms 1 ms 1 ms Router [192.168.70.1] 2 * * * Превышен интервал ожидания для запроса. 3 18 ms 17 ms 17 ms 192.168.27.5 Трассировка завершена. C:\>tracert 192.168.60.100 Трассировка маршрута к 192.168.60.100 с максимальным числом прыжков 30 1 1 ms 1 ms 1 ms Router [192.168.70.1] 2 * * * Превышен интервал ожидания для запроса. 3 * * * Превышен интервал ожидания для запроса. 4 * ^C C:\> Попробовал на Керио port forwarding/mapping (скриншот 2) - работает, значит пакеты из 70 доходят, как минимум до Kerio WAN на 27.5, но маппинг мне не нужен. PS: в Голове на циске указан статичный маршрут, см. скриншот 3, больше нигде никакой статический роутинг не прописан. Что и где необходимо прописать, чтобы 70 сеть увидела 60, т.е. работали Windows SMB,RDP,Сетевые принтеры и другие сервисы и было все в шоколаде? Спасибо за помощь. 0

@insect_87 11437 / 7006 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	03.01.2022, 01:22
	Покажите политики ipsec на обеих cisco. Правила nat и таблицу маршрутизации на керио. 1

@dom7800 0 / 0 / 0 Регистрация: 11.11.2021 Сообщений: 4
	03.01.2022, 02:28 [ТС]
	rv345 rv345 adv rv345 ipsec profile rv345 group2760 rv082 Kerio Route Kerio NAT 0

@insect_87 11437 / 7006 / 1903 Регистрация: 25.12.2012 Сообщений: 29,398
	03.01.2022, 13:14
	У rv082 в политике ipsec local ip address и mask 192.168.0.0 255.255.0.0 И надо бы либо изменить правило nat, чтобы пакеты из сети 60.0/24 в сеть 70.0/24 не попадали под nat на внешнем интерфейсе, либо добавить вперёд него терминирующее правило, которое разрешало бы пакеты из сети 60.0/24 в сеть 70.0/24 без дальнейшей трансляции на wan интерфейсе. Нет керио под рукой. Иными словами вам надо сделать так, чтобы под трансляцию не попадали пакеты из сети 60.0/24 в сеть 70.0/24 1

@dom7800 0 / 0 / 0 Регистрация: 11.11.2021 Сообщений: 4
	03.01.2022, 15:51 [ТС]
	В политике ipsec на этом роутере, не могу задать определенные подсети, поэтому, скорее всего, как Вы и написали, придется расширять диапазон маской. Вашу мысль понял, попробую что-нибудь изобразить, не знаю, получится ли такое... 0

@dom7800 0 / 0 / 0 Регистрация: 11.11.2021 Сообщений: 4
	03.01.2022, 17:36 [ТС]
	Итак, все получилось! Что сделал: 1. Поменял локальную подсеть с 27 на 60. К сожалению увеличив маску 192.168.0.0. 255.255.0.0 результата не принесло и туннель вообще упал. А эта старушка, не умеет работать с IP Group, как, например rv345, в котором как раз таки указана IP Group "group2760" 2. Прописал в Керио вот такое правило трафика (кстати, данный скриншот делал уже из 70 сетки) В итоге через этот туннель: из 70 не вижу 27 сеть вообще, но она мне и не нужна, т.к. это телефония между филиалами, а в данном филиале ее пока попросту нет. Вижу всю 60. захожу по всем сервисам абсолютно прозрачно, понятно, что упираюсь в доменные креденшилсы, но это уже другая история, там я уже подкручу как мне надо Если заменить старушку rv082 на такую же rv345, то схема cisco1<->cisco2<->kerio будет абсолютно рабочая и все три подсети будут видеть друг друга полностью. Большое спасибо за помощь и наводку на свежие мысли. Тему можно считать закрытой. 0

Опции темы