The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
IPSEC и маршрутизация, !*! yans, 21-Авг-09, 12:16  [смотреть все]
Добрый день!

Сейчас сделал сеть из 3х шлюзов, между ними интернет.
Схема такая
GW1 ---|тунель IPSEC через инет|--- GW2 ---|тунель IPSEC через инет| --- GW3

создавал так: http://www.linuxnotes.ru/ipsec-centos/
Внутренние IP:
GW1 192.168.99.9
GW2 192.168.0.115
GW3 192.168.212.244

После поднятия туннелей сразу пингуются:
с GW1 - GW2,
c GW2 - оба,
с GW3 - GW2

На GW1 прописываю маршрут:
route add 192.168.0.115 gw 192.168.99.9
route add -net 192.168.212.0/24 gw 192.168.0.115
На GW3:
route add 192.168.0.115 gw 192.168.212.244
route add -net 192.168.99.0/24 gw 192.168.0.115
На GW2 маршруты прописаны автоматически на 99.х и 212.х сети после поднятия туннеля.

После этого пробую с GW1 запустить пинг на GW3:

ping 192.168.212.244
PING 192.168.212.244 (192.168.212.244) 56(84) bytes of data.
From 192.168.0.115: icmp_seq=2 Redirect Host(New nexthop: 192.168.212.244)
From 192.168.0.115: icmp_seq=3 Redirect Host(New nexthop: 192.168.212.244)
From 192.168.0.115 icmp_seq=1 Destination Host Unreachable
From 192.168.0.115 icmp_seq=2 Destination Host Unreachable
From 192.168.0.115 icmp_seq=3 Destination Host Unreachable
From 192.168.0.115: icmp_seq=4 Redirect Host(New nexthop: 192.168.212.244)
From 192.168.0.115: icmp_seq=5 Redirect Host(New nexthop: 192.168.212.244)

в это время на GW2(eth1 внутренний интерфейс):

tcpdump -i eth1 host 192.168.99.9
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
19:09:41.785833 IP 192.168.99.9 > 192.168.212.244: ICMP echo request, id 38922, seq 9, length 64
19:09:42.785768 IP 192.168.99.9 > 192.168.212.244: ICMP echo request, id 38922, seq 10, length 64
19:09:43.786743 IP 192.168.99.9 > 192.168.212.244: ICMP echo request, id 38922, seq 11, length 64

и с GW3 на GW1:

ping 192.168.99.9
PING 192.168.99.9 (192.168.99.9) 56(84) bytes of data.
From 192.168.212.244 icmp_seq=2 Destination Host Unreachable
From 192.168.212.244 icmp_seq=3 Destination Host Unreachable
From 192.168.212.244 icmp_seq=4 Destination Host Unreachable
From 192.168.212.244 icmp_seq=5 Destination Host Unreachable
From 192.168.212.244 icmp_seq=6 Destination Host Unreachable
From 192.168.212.244 icmp_seq=7 Destination Host Unreachable

В это время на GW2 tcpdump молчит


Что я делаю не так?

Ответить | Сообщить модератору
  • IPSEC и маршрутизация, !*! shadow_alone, 13:36 , 21-Авг-09 (1)
    >На GW1 прописываю маршрут:
    >route add 192.168.0.115 gw 192.168.99.9
    >route add -net 192.168.212.0/24 gw 192.168.0.115
    >На GW3:
    >route add 192.168.0.115 gw 192.168.212.244
    >route add -net 192.168.99.0/24 gw 192.168.0.115

    Вообще-то стоит понимать, что, шлюзом можно прописывать адрес из своих сетей.

    Вы хоть после прописания таких маршрутов, посмотрели ip ro?

    Вы сделали у себя на серваках net2net ipsec, добавить маршруты не получиться в такое соединение, ибо это transport.

    В вашем случае надо поднимать peer2peer ipsec, потом gre туннель, и прописывать маршруты уже на туннель.

    http://wiki.dodex.org/?p=546   первый вариант
    а потом
    linux# ip tunnel add tun0 mode ipip remote IP1 local IP2
    linux# ifconfig tun0 TUN2 pointopoint TUN1
    linux# ifconfig tun0 mtu 1500
    linux# ifconfig tun0 up

    Ответить | Сообщить модератору
    • IPSEC и маршрутизация, !*! yans, 13:45 , 21-Авг-09 (2)
      >linux# ip tunnel add tun0 mode ipip remote IP1 local IP2
      >linux# ifconfig tun0 TUN2 pointopoint TUN1
      >linux# ifconfig tun0 mtu 1500
      >linux# ifconfig tun0 up

      А в TUN2 и TUN1 что прописывать надо?

      Ответить | Сообщить модератору
      • IPSEC и маршрутизация, !*! shadow_alone, 13:57 , 21-Авг-09 (3)
        >>linux# ip tunnel add tun0 mode ipip remote IP1 local IP2
        >>linux# ifconfig tun0 TUN2 pointopoint TUN1
        >>linux# ifconfig tun0 mtu 1500
        >>linux# ifconfig tun0 up
        >
        >А в TUN2 и TUN1 что прописывать надо?

        серые адреса внутри тунеля
        например:
        /sbin/ifconfig tun0 10.10.50.2 pointopoint 10.10.50.1 netmask 255.255.255.252
        на другой стороне наоборот
        и у вас туннели получат адреса 10.10.50.2 и 10.10.50.1
        тогда уже сможете прописать маршруты
        ip ro add 192.168.xx.xx via 10.10.50.1 и т.д.

        Ответить | Сообщить модератору
        • IPSEC и маршрутизация, !*! yans, 16:09 , 21-Авг-09 (4)
          >[оверквотинг удален]
          >>
          >>А в TUN2 и TUN1 что прописывать надо?
          >
          >серые адреса внутри тунеля
          >например:
          >/sbin/ifconfig tun0 10.10.50.2 pointopoint 10.10.50.1 netmask 255.255.255.252
          >на другой стороне наоборот
          >и у вас туннели получат адреса 10.10.50.2 и 10.10.50.1
          >тогда уже сможете прописать маршруты
          >ip ro add 192.168.xx.xx via 10.10.50.1 и т.д.

          Спасибо ОГРОМНОЕ! Спустя неделю мучений наконец то все заработало :)

          Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру