IPSEC поверх PPPoE, SysAdmin, 26-Окт-11, 16:59 [смотреть все]Ситуация в следующем: Есть две машинки, на обеих поднят FreeBSD 8.2. На первой (условно назовём Офис) - IP-адрес и т.п. - статические (модем в режиме бриджа), на второй (условно назовём Склад) - IP-адрес выдаётся через PPPoE - приходит витая пара и всё! (НО! тоже статика, все параметры настройки выдаются через PPPoE, есть только login и password)Вопрос к всезнающему ALL-у: как подружить IPSEC и PPPoE? Та машинка что "Офис", на ней куча других IPSEC-каналов на удалённые точки, но там также статика... Где чего подкрутить нужно? PPPoE соединение поднимает, Internet на складе есть! Чую что трабла именно где-то на стыке PPPoE и IPSEC...
|
- IPSEC поверх PPPoE, shadow_alone, 17:48 , 26-Окт-11 (1)
Какое имеет отношение PPPoE к IPSEC? совершенно разный уровень. Мудрите вы что-то. не там ищите проблему, если она вообще есть. просто сделайте подключение IPSEC и все...
- IPSEC поверх PPPoE, SysAdmin, 18:02 , 26-Окт-11 (2) –1
> Какое имеет отношение PPPoE к IPSEC? совершенно разный уровень. > Мудрите вы что-то. > не там ищите проблему, если она вообще есть. > просто сделайте подключение IPSEC и все...??? Интерфейс который смотрит на провайдера поднимается по PPPoE. IPSEC также поднят, но пакеты не ходят... В файрволе и маршрутизации ошибок НЕТ, т.к. по образу и подобию настроены ещё четыре подсети (со статическими адресами!)... Если бы всё было просто - я не искал бы решения в данном контексте... PPPoE - интерфес tun0 ("привязанный" к rl0) IPSEC - интерфейс gif0 (прописаны соответсвующие Public IP и локальные подсети).
- IPSEC поверх PPPoE, shadow_alone, 18:07 , 26-Окт-11 (3)
Повторяю, PPPoE тут не при чем, полюбе. одно из двух: 1. либо учто-то упустили, перепроверьте все настройки внимательно. 2. провайдер режет 50-й протокол, либо 500-й порт.gif0 - насколько я помню, во фре, это GRE тунель. - может 47 протокол режется у прова, бывает и такое. Писать надо внятно, у Вас не IPSEC, у Вас GRE зашифрованное в IPSEC. на худой конец поднимите просто GRE без IPSEC и посмотрите, проходит ли. ну или проще, pptp куда-нить поднимите, если поднимется, значит GRE пропускают.
- IPSEC поверх PPPoE, SysAdmin, 18:13 , 26-Окт-11 (4)
> Повторяю, PPPoE тут не при чем, полюбе. > одно из двух: > 1. либо учто-то упустили, перепроверьте все настройки внимательно. > 2. провайдер режет 50-й протокол, либо 500-й порт.500 порт открыт, pptp поднимается...
- IPSEC поверх PPPoE, shadow_alone, 18:14 , 26-Окт-11 (5)
Значит внимательно проверьте настройки. Другого быть не может.
- IPSEC поверх PPPoE, SysAdmin, 18:17 , 26-Окт-11 (6) –1
> Значит внимательно проверьте настройки. Другого быть не может.Не сильно помогли ответы... :)
- IPSEC поверх PPPoE, shadow_alone, 18:20 , 26-Окт-11 (7)
> Не сильно помогли ответы... :) Одно примите к сведению и зарубите на носу... PPPoE тут не при чем. Ищите ошибку в другом. Да и вопрос Ваш не сильно развернут был. смотрите tcpdump, поднимается ли первая фаза isakmp - это 500 порт. Все по очереди проверьте. Найдите на чем именно стопорится подключение, оттуда уже и пляшите.
- IPSEC поверх PPPoE, SysAdmin, 18:23 , 26-Окт-11 (8)
> Одно примите к сведению и зарубите на носу... PPPoE тут не при > чем. > Ищите ошибку в другом.ОК! Спасибо... Попытаюсь. Но тему пока не закрываю - может ещё кто чего путнего подскажет...
- IPSEC поверх PPPoE, SysAdmin, 21:43 , 26-Окт-11 (9)
Проблема решена, но обнаружилось следующее: обмена ключами IPSEC не происходит до тех пор, пока, скажем, не будет инициализирован какой-либо трафик на удалённую локальную подсеть (например, ping <локальный удалённый шлюз>). Причём эта инициализация должна происходить со стороны хоста с PPPoE...Извращаться через ppp.uplink? Или есть более удачное решение?
- IPSEC поверх PPPoE, SysAdmin, 23:00 , 26-Окт-11 (10)
> Извращаться через ppp.uplink? Или есть более удачное решение?Точнее ppp.linkup... P.S. и ещё попутный вопрос - не совсем ясно назначение nat в PPP... Я могу его использовать вместо natd? Возможно ламерский вопрос, но до таких "глубин" я PPPoE ещё не раскапывал...
|