The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы
правила/FAQ
поиск
регистрация
вход
слежка
RSS



Версия для распечатки Пред. тема | След. тема
Новые ответы [ Отслеживать ]
Настройка IPSec, !*! morf, 05-Ноя-15, 22:18  [смотреть все]
Здравствуйте уважаемые!
Подскажите пож-та как решить следующую проблему.

Есть на известном хетзнере сервак, на котором крутится proxmox 3.4 ядро линукса 2.6 с внешним ip a.a.a.a
Есть офис в котором стоит цыск rv180w ip b.b.b.b
Между ними поднят ipsec

Вот конфиги с линукса strongswan:

conn cisco
        forceencaps=yes
        dpddelay=30
        dpdtimeout=120
        dpdaction=restart_by_peer
        ike=3des-sha1-modp1024
        ikelifetime=86400s
        authby=secret

        type=tunnel
        salifetime=3600s
        pfs=yes

        #left side (myside)
        left=a.a.a.a(gw)
        leftsubnet=10.10.0.0/16
        leftnexthop=a.a.a.a

        #right security gateway (CISCO side)
        right=b.b.b.b
        rightsubnet=192.168.1.0/24
        rightnexthop=b.b.b.b
        auto=start


iptables:

#!/bin/bash
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X

/sbin/iptables -P INPUT DROP # блокируем входящие
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT

/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT

/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -j ACCEPT

/sbin/iptables -A INPUT -p udp --dport 500 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 4500 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 4500 -j ACCEPT
/sbin/iptables -A INPUT -p esp -j ACCEPT
/sbin/iptables -A INPUT -p ah -j ACCEPT
/sbin/iptables -t nat -I POSTROUTING 1 -p 50 -j ACCEPT
/sbin/iptables -t nat -I POSTROUTING 1 -p 51 -j ACCEPT


# Cisco
/sbin/iptables -t nat -A POSTROUTING -s 10.10.0.0/16 -d 192.168.1.0/24 -j SNAT --to-source b.b.b.b

/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 22 -j ACCEPT

/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 8006 -j ACCEPT

/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 5900 -j ACCEPT

/sbin/iptables -A INPUT -s 213.133.99.99 -j ACCEPT

/sbin/iptables -A INPUT -s 213.133.100.100 -j ACCEPT

/sbin/iptables -A INPUT -s 213.133.98.98 -j ACCEPT

/sbin/iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

/sbin/iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE

route:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
a.a.a.a         *               255.255.255.224 U     0      0        0 vmbr0
10.10.12.0      *               255.255.255.0   U     0      0        0 vmbr3
10.10.13.0      *               255.255.255.0   U     0      0        0 vmbr4
10.10.10.0      *               255.255.255.0   U     0      0        0 vmbr1
10.10.11.0      *               255.255.255.0   U     0      0        0 vmbr2
default         a.a.a.a(gw)     0.0.0.0         UG    0      0        0 vmbr0


на стороне цыски - вебморда.

поднятый туннель:

IPsec running  - pluto pid: 3461
pluto pid 3461
1 tunnels up
some eroutes exist


ipsec verify

Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path                                 [OK]
Linux Openswan U2.6.37/K2.6.32-37-pve (netkey)
Checking for IPsec support in kernel                            [OK]
SAref kernel support                                           [N/A]
NETKEY:  Testing XFRM related proc values                      [FAILED]

  Please disable /proc/sys/net/ipv4/conf/*/send_redirects
  or NETKEY will cause the sending of bogus ICMP redirects!

        [OK]
        [OK]
Checking that pluto is running                                  [OK]
Pluto listening for IKE on udp 500                             [OK]
Pluto listening for NAT-T on udp 4500                          [OK]
Two or more interfaces found, checking IP forwarding            [OK]
Checking NAT and MASQUERADEing                                  [OK]
Checking for 'ip' command                                       [OK]
Checking /bin/sh is not /bin/dash                               [WARNING]
Checking for 'iptables' command                                 [OK]
Opportunistic Encryption Support                                [DISABLED]

/proc/sys/net/ipv4/conf/*/ - ругается я так понял на ipv6 для ipv4 отключено.

наблюдаем следующую картину.. со стороны b.b.b.b - a.a.a.a пинги и трафик ходит на ура.
со стороны b.b.b.b - a.a.a.a пинги не идут, все молчит.

курение мануалов, читание форумов результатов не дало..
ПАМАЖЫТЕ!!!ы

Ответить | Сообщить модератору
  • Настройка IPSec, !*! morf, 22:22 , 05-Ноя-15 (1)
    конфигурация сети

    # network interface settings
    auto lo
    iface lo inet loopback

    iface eth0 inet manual
            broadcast  x.x.x.x
            up route add -net a.a.a.a netmask 255.255.255.224 gw a.a.a.a(gw) eth0

    # default route to access subnet

    auto vmbr0
    iface vmbr0 inet static
            address  a.a.a.a
            netmask  255.255.255.224
            gateway  a.a.a.a(gw)
            bridge_ports eth0
            bridge_stp off
            bridge_fd 0

    auto vmbr1
    iface vmbr1 inet static
            address  10.10.10.1
            netmask  255.255.255.0
            bridge_ports none
            bridge_stp off
            bridge_fd 0

    auto vmbr2
    iface vmbr2 inet static
            address  10.10.11.1
            netmask  255.255.255.0
            bridge_ports none
            bridge_stp off
            bridge_fd 0

    Ответить | Сообщить модератору
  • Настройка IPSec, !*! сис.админ_23rus, 02:20 , 06-Ноя-15 (2)
    > наблюдаем следующую картину.. со стороны b.b.b.b - a.a.a.a пинги и трафик ходит
    > на ура.
    > со стороны b.b.b.b - a.a.a.a пинги не идут, все молчит.

    это как? как говориться, хочешь получить правильный ответ - задай правильный вопрос ))

    Ответить | Сообщить модератору
    • Настройка IPSec, !*! morf, 09:34 , 06-Ноя-15 (3)
      >> наблюдаем следующую картину.. со стороны b.b.b.b - a.a.a.a пинги и трафик ходит
      >> на ура.
      >> со стороны b.b.b.b - a.a.a.a пинги не идут, все молчит.
      > это как? как говориться, хочешь получить правильный ответ - задай правильный вопрос
      > ))

      Оу... с a.a.a.a - b.b.b.b пинги не идут... простите

      Ответить | Сообщить модератору
      • Настройка IPSec, !*! сис.админ_23rus, 18:53 , 06-Ноя-15 (4)
        >>> наблюдаем следующую картину.. со стороны b.b.b.b - a.a.a.a пинги и трафик ходит
        >>> на ура.
        >>> со стороны b.b.b.b - a.a.a.a пинги не идут, все молчит.
        >> это как? как говориться, хочешь получить правильный ответ - задай правильный вопрос
        >> ))
        > Оу... с a.a.a.a - b.b.b.b пинги не идут... простите

        возможна проблема в отсутствии правила, который рекомендуется для ipsec
        в вашем случае это:
        iptables -I POSTROUTING -t nat -d b.b.b.b -j RETURN

        Ответить | Сообщить модератору
        • Настройка IPSec, !*! morf, 21:44 , 08-Ноя-15 (5)
          >>>> наблюдаем следующую картину.. со стороны b.b.b.b - a.a.a.a пинги и трафик ходит
          >>>> на ура.
          >>>> со стороны b.b.b.b - a.a.a.a пинги не идут, все молчит.
          >>> это как? как говориться, хочешь получить правильный ответ - задай правильный вопрос
          >>> ))
          >> Оу... с a.a.a.a - b.b.b.b пинги не идут... простите
          > возможна проблема в отсутствии правила, который рекомендуется для ipsec
          > в вашем случае это:
          > iptables -I POSTROUTING -t nat -d b.b.b.b -j RETURN

          iptables -t nat -I POSTROUTING -s 10.10.0.0/16 -d 192.168.1.0/24 -j SNAT --to-source b.b.b.b
          iptables -I POSTROUTING -t nat -d 192.168.1.0/24 -j RETURN

          Заработало, спасибо!

          Ответить | Сообщить модератору

Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру