[MASOCH-L] VPN IPSEC cisco 1700

Gustavo Rodrigues Ramos gustavo at nexthop.com.br
Thu Aug 27 02:52:55 -03 2009


2009/8/26 Bruno L F Cabral <bruno at openline.com.br>:
>
> Posso ter perdido algo do thread, mas o cisco cria a rota
> de forma automática quando um tunel sobe? Se criar tá
> resolvido...

O cisco não cria uma rota automática. No caso da configuração que foi
discutida aqui (sem o uso de interface tunnel - leia-se: não
utilizando encapsulamento GRE), então o roteador usará a tabela de
roteamento para decidir para qual interface deve enviar os pacotes.
Nesta interface de saída (que é onde está aplicado o crypto map) é
que, então, os pacotes serão criptografados.

Note que se os pacotes estiverem sujeitos à uma regra de NAT, então
*neste caso* o tráfego não vai ser aceito pela access-list que criou
o(s) SA(s) e, portanto, não será criptografado...

> É que o autor original da pergunta colocou como faria para
> se comunicar com a rede atrás de um tunel do outro lado...

Iniciando um tráfego para o outro lado. Desde que o túnel VPN esteja
funcionando (QM_IDLE), todos os pacotes que passarem na interface
externa (aquela mesma, com o crypto map aplicado) e que forem aceitos
pela access-list usada na criação da SA, serão criptografados e
enviados para o gateway remoto.

Gustavo.



More information about the masoch-l mailing list