форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Маршрутизация, NAT)
Изначальное сообщение		[ Отслеживать ]

"Проблема с маршрутизацией openswan+Dlink804HV"	+/–
Сообщение от rodley (ok) on 30-Июл-12, 17:23
Есть 2 офиса, в головном стоит CentOS 6.3+OpenSWAN, в удаленном - D-Link DI804HV (пробовал Cisco RVS400). В головном офисе подсеть 192.168.1.0/24, в удаленном 192.168.5.0/24. Тоннель между сетями поднимается, из 192.168.5.0 пингуется 192.168.1.0, наоборот пинги не идут. На CentOS 2 интерфейса: [root@gw ~]# ifconfig eth0      Link encap:Ethernet  HWaddr 00:15:17:1B:F8:7E           inet addr:192.168.1.119  Bcast:192.168.1.255  Mask:255.255.255.0           inet6 addr: fe80::215:17ff:fe1b:f87e/64 Scope:Link           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1           RX packets:580 errors:0 dropped:0 overruns:0 frame:0           TX packets:24 errors:0 dropped:0 overruns:0 carrier:0           collisions:0 txqueuelen:1000           RX bytes:98224 (95.9 KiB)  TX bytes:3739 (3.6 KiB)           Interrupt:17 Memory:88180000-881a0000 eth1      Link encap:Ethernet  HWaddr 00:02:44:62:FA:BE           inet addr:82.117.233.212  Bcast:82.117.235.255  Mask:255.255.252.0           inet6 addr: fe80::202:44ff:fe62:fabe/64 Scope:Link           UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1           RX packets:4279 errors:0 dropped:0 overruns:0 frame:0           TX packets:4196 errors:0 dropped:0 overruns:0 carrier:0           collisions:0 txqueuelen:1000           RX bytes:392046 (382.8 KiB)  TX bytes:389275 (380.1 KiB)           Interrupt:21 Base address:0x8000 lo        Link encap:Local Loopback           inet addr:127.0.0.1  Mask:255.0.0.0           inet6 addr: ::1/128 Scope:Host           UP LOOPBACK RUNNING  MTU:16436  Metric:1           RX packets:0 errors:0 dropped:0 overruns:0 frame:0           TX packets:0 errors:0 dropped:0 overruns:0 carrier:0           collisions:0 txqueuelen:0           RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b) [root@gw ~]# netstat -rn Kernel IP routing table Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface 192.168.3.0     192.168.1.100   255.255.255.0   UG        0 0          0 eth0 192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0 82.117.232.0    0.0.0.0         255.255.252.0   U         0 0          0 eth1 169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth0 169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth1 0.0.0.0         82.117.232.1    0.0.0.0         UG        0 0          0 eth1 [root@gw ~]# ip xfrm state list src 82.117.232.198 dst 82.117.233.212         proto esp spi 0x4357d9ad reqid 16385 mode tunnel         replay-window 32 flag 20         auth hmac(sha1) 0x6dba08e52c3daab18b1f271346d3b81e1f8db3cf         enc cbc(des3_ede) 0x474763ac7e884097160239cdee1aabdba01b650173692fe0 src 82.117.233.212 dst 82.117.232.198         proto esp spi 0x29909e1d reqid 16385 mode tunnel         replay-window 32 flag 20         auth hmac(sha1) 0xbb024e35da604af6383090adc5f43721e996eb05         enc cbc(des3_ede) 0xfdbcc4a39d76cb80e5aad3eeab863e75fb2d9136be93d6a7 По адресу 192.168.1.100 стоит ещё маршрутизатор, который смотрит в подсеть 192.168.3.0/24. С машины 192.168.1.119 я её вижу. Подскажите, как правильно организовать маршрутизацию между всеми сетями?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Проблема с маршрутизацией openswan+Dlink804HV"	+/–
Сообщение от Loly on 30-Июл-12, 22:46
А где Ваш ipsec.conf? left/right/subnet?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Проблема с маршрутизацией openswan+Dlink804HV"	+/–
	Сообщение от rodley (ok) on 30-Июл-12, 22:52
	> А где Ваш ipsec.conf? left/right/subnet? [root@gw ~]# cat /etc/ipsec.conf # /etc/ipsec.conf - Openswan IPsec configuration file # # Manual:     ipsec.conf.5 # # Please place your own config files in /etc/ipsec.d/ ending in .conf version 2.0     # conforms to second version of ipsec.conf specification # basic configuration config setup         # Debug-logging controls:  "none" for (almost) none, "all" for lots.         klipsdebug=all         plutodebug="all"         # For Red Hat Enterprise Linux and Fedora, leave protostack=netkey         protostack=netkey         dumpdir=/var/run/pluto         plutostderrlog=/var/log/pluto.log         nat_traversal=yes         virtual_private=%v4:192.168.5.0/24         oe=off         # Enable this if you see "failed to find any available worker"         nhelpers=0 #You may put your configuration (.conf) file in the "/etc/ipsec.d/" and uncomment this. include /etc/ipsec.d/*.conf [root@gw ~]# cat /etc/ipsec.d/ur27.conf # Настройки урицкого 27 conn ur27         authby=secret         aggrmode=yes #       type=tunnel # Настройки, начинающиеся с left относятся к локальному узлу # IP внешнего интерфейса, %defaultroute - по умолчанию         left=%defaultroute # Внешний шлюз         leftnexthop=%defaultroute # Адрес локальной подсети         leftsubnet=192.168.1.0/24 # ID локального хоста         leftid=82.117.233.212 # Настройки, начинающиеся с right - относятся к удаленной сети         right=82.117.232.198         rightsubnet=192.168.5.0/24         rightid=82.117.232.198 # Настройка алгоритмов шифрования и обмена ключами         auth=esp         keyexchange=ike         ike=3des-sha1-modp1024!         esp=3des-sha1!         pfs=yes         auto=start
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Проблема с маршрутизацией openswan+Dlink804HV"	+/–
Сообщение от foton on 01-Авг-12, 08:07
> Тоннель между сетями поднимается, из 192.168.5.0 пингуется 192.168.1.0, > наоборот пинги не идут. Пинг в одну сторону быть не может, скорее всего на компьютере из 192.168.5.0/24 стоит межсетевой экран (например подобным образом себя может вести брандмауэер windows). > По адресу 192.168.1.100 стоит ещё маршрутизатор, который смотрит в подсеть 192.168.3.0/24. > С машины 192.168.1.119 я её вижу. > Подскажите, как правильно организовать маршрутизацию между всеми сетями? маршрутизации в ipsec как таковой нет, в туннель пойдет только трафик подпадающий под правила в SPD. Самый простой вариант в Вашем случае создать еще один туннель с сетями 192.168.3.0/24 и 192.168.5.0/24.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Проблема с маршрутизацией openswan+Dlink804HV"	+/–
	Сообщение от LSTemp (ok) on 03-Авг-12, 02:45
	>> Тоннель между сетями поднимается, из 192.168.5.0 пингуется 192.168.1.0, >> наоборот пинги не идут. > Пинг в одну сторону быть не может, скорее всего на компьютере из ping именно в одну сторону и идет. зато pong может по другому маршруту идти. > 192.168.5.0/24 стоит межсетевой экран (например подобным образом себя может вести брандмауэер > windows). >> По адресу 192.168.1.100 стоит ещё маршрутизатор, который смотрит в подсеть 192.168.3.0/24. >> С машины 192.168.1.119 я её вижу. >> Подскажите, как правильно организовать маршрутизацию между всеми сетями? > маршрутизации в ipsec как таковой нет, в туннель пойдет только трафик подпадающий > под правила в SPD. Самый простой вариант в Вашем случае создать > еще один туннель с сетями 192.168.3.0/24 и 192.168.5.0/24.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Проблема с маршрутизацией openswan+Dlink804HV"	+/–
	Сообщение от rodley (ok) on 10-Авг-12, 12:30
	>> Тоннель между сетями поднимается, из 192.168.5.0 пингуется 192.168.1.0, >> наоборот пинги не идут. > Пинг в одну сторону быть не может, скорее всего на компьютере из > 192.168.5.0/24 стоит межсетевой экран (например подобным образом себя может вести брандмауэер > windows). Имеется ввиду, что когда я из подсети 192.168.1.0/24 делаю traceroute на 192.168.5.0/24 - запрос идет на провайдера. >> По адресу 192.168.1.100 стоит ещё маршрутизатор, который смотрит в подсеть 192.168.3.0/24. >> С машины 192.168.1.119 я её вижу. >> Подскажите, как правильно организовать маршрутизацию между всеми сетями? > маршрутизации в ipsec как таковой нет, в туннель пойдет только трафик подпадающий > под правила в SPD. Самый простой вариант в Вашем случае создать > еще один туннель с сетями 192.168.3.0/24 и 192.168.5.0/24. Как эти правила настраивать?
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "Проблема с маршрутизацией openswan+Dlink804HV"	+/–
	Сообщение от LSTemp (ok) on 10-Авг-12, 23:59
	>[оверквотинг удален] >> windows). > Имеется ввиду, что когда я из подсети 192.168.1.0/24 делаю traceroute на 192.168.5.0/24 > - запрос идет на провайдера. >>> По адресу 192.168.1.100 стоит ещё маршрутизатор, который смотрит в подсеть 192.168.3.0/24. >>> С машины 192.168.1.119 я её вижу. >>> Подскажите, как правильно организовать маршрутизацию между всеми сетями? >> маршрутизации в ipsec как таковой нет, в туннель пойдет только трафик подпадающий >> под правила в SPD. Самый простой вариант в Вашем случае создать >> еще один туннель с сетями 192.168.3.0/24 и 192.168.5.0/24. > Как эти правила настраивать? таблицу маршрутизации посмотрите. когда будете пинговать 192.168.5.х то пакет пойдет ч/з default gate 82.117.232.1 (на прова, как я понимаю). допишите маршруты вручную или настройте сервис (чем Вы там тунель поднимаете?), чтоб он автоматом эти маршруты втыкал.
	Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема