Получил роутер Cisco 1800, без нац, с 2 подключениями к интернету. Оба имеют собственные диапазоны IP-адресов и IP-адреса маршрутизатора. Хотите использовать один для Интернета, а другой для VPN, но не можете понять, как увидеть оба общедоступных IP-адреса с помощью одного брандмауэра, поскольку настройки брандмауэра допускают только диапазон IP-адресов от одного из источников. Брандмауэр не имеет двойного ISP, только один порт для WAN.
Любые идеи? Возможно добавление маршрутов?
В общем, я бы сказал, что вам нужно одно большое интернет-соединение. Если вам требуется избыточность, тогда может возникнуть дискуссия о том, нужен ли вам BGP для аварийного переключения вашего IP-пространства или чего-то еще. У меня была мысль о том, как вы могли бы сделать это в любом случае ... Это всего лишь снимок в 2 часа ночи в темноте ... сначала нужно протестировать в лаборатории и т. Д.
Но вы можете использовать Cisco 1841 в качестве конечной точки VPN для клиентов удаленного доступа и поместить интерфейс, который вы используете для этого, в отдельный vrf. У каждого vrf есть своя собственная таблица маршрутизации. В этом случае у вас будет два vrf: глобальный (по умолчанию) vrf, где находятся ваш общедоступный интерфейс для просмотра в Интернете и ваш частный интерфейс, и ваш vpn vrf. Например:
ip vrf vpn
rd 1:1
ip vrf default
rd 2:2
interface fa0/0
description dsl for browsing
ip vrf forwarding default
ip address 172.16.0.2 255.255.255.0
interface fa0/1
description cable internet for vpn
ip vrf forwarding vpn
ip address 172.18.0.2 255.255.255.0
interface vlan 1
description private lan
ip vrf forwarding default
ip address 192.168.0.1 255.255.255.0
ip route vrf default 0.0.0.0 0.0.0.0 172.16.0.1
ip route vrf vpn 0.0.0.0 0.0.0.0 172.18.0.1
Вы видите, что оба подключения к Интернету разделены. Вы можете привязать своих VPN-клиентов к своей частной сети следующим образом:
crypto isakmp profile cisco
vrf deafult
crypto dynamic-map dynmap 10
set isakmp-profile cisco