forum.opennet.ru - "Соединение двух подсетей по IPsec" (4)

"Соединение двух подсетей по IPsec"

Форум Информационная безопасность (VPN, IPSec)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Соединение двух подсетей по IPsec"	+/–
Сообщение от bm_rec (ok), 29-Янв-21, 00:41
Я хочу соединить два облака по IPsec. Для этой цели созданы по две виртуальной машины в каждом с внешними IP-адресом. Сам IPsec настроил, пинги идут между двумя точками IPsec-машин если указывать внутренние адреса. Но не могу настроить маршрутизацию на другие виртуальные машины из той же подсети. Машина с IPsec находится в той же подсети, что и остальные. Сетевой адаптер один на каждой ВМ. Нужно ли добавлять ещё один для настройки маршрутизации? ОС Ubuntu 20.04, strongSwan версии U5.8.2, ставил командой apt-get install strongswan. В sysctl указал net.ipv4.ip_forward = 1, добавил маршрут 10.132.0.0/20 via 10.129.0.254 dev eth0, файерволл выключен. Конфиг ipsec.conf с одной стороны: config setup charondebug="all" uniqueids=yes conn test ikelifetime=600m keylife=180m rekeymargin=3m keyingtries=3 keyexchange=ikev2 mobike=no ike=aes256gcm16-sha512-modp4096 esp=aes256gcm16-sha512-modp8192 authby=psk left="10.129.0.254" leftid="1.2.3.4" leftsubnet=10.129.0.0/24 leftauth=psk right="4.3.2.1" rightid="4.3.2.1" rightsubnet=10.132.0.0/20 rightauth=psk type=tunnel auto=start dpdaction=restart closeaction=restart С другой стороны аналогично. Помогите, пожалуйста, настроить маршрутизацию, чтобы подсети видели друг-друга.
Ответить \| Правка \| Cообщить модератору

Оглавление

Вот что говорит tcpdump на пингуемой машине 21 48 24 356378 IP 10 129 0 254 10, bm_rec (ok), 00:58 , 29-Янв-21, (1)

Просто выкинь эту дрянь и подними WireGuard IPSec по жизни через опу работает , ACCA (ok), 05:58 , 29-Янв-21, (2) –2
А твои машины то имеют маршруты , shadow_alone_ (?), 02:40 , 03-Фев-21, (3)

Даdefault via 10 129 0 1 dev eth0 proto dhcp src 10 129 0 254 metric 100 10 129 , bm_rec (ok), 12:55 , 04-Фев-21, (4)

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от bm_rec (ok), 29-Янв-21, 00:58 +/–

Вот что говорит tcpdump на пингуемой машине:
21:48:24.356378 IP 10.129.0.254 > 10.132.0.195: ICMP echo request, id 16, seq 12, length 64
21:48:24.356424 IP 10.132.0.195 > 10.129.0.254: ICMP echo reply, id 16, seq 12, length 64
Хотя с другого облака, откуда я пингую ответ не приходит:
# ping 10.132.0.195
PING 10.132.0.195 (10.132.0.195) 56(84) bytes of data.
^C
--- 10.132.0.195 ping statistics ---
12 packets transmitted, 0 received, 100% packet loss, time 11250ms

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #2, #3

2. Сообщение от ACCA (ok), 29-Янв-21, 05:58 –2 +/–

Просто выкинь эту дрянь и подними WireGuard. IPSec по жизни через *опу работает.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

3. Сообщение от shadow_alone_ (?), 03-Фев-21, 02:40 +/–

А твои машины то имеют маршруты ?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #4

4. Сообщение от bm_rec (ok), 04-Фев-21, 12:55 +/–

> А твои машины то имеют маршруты ?
Да
default via 10.129.0.1 dev eth0 proto dhcp src 10.129.0.254 metric 100
10.129.0.0/24 dev eth0 proto kernel scope link src 10.129.0.254
10.129.0.1 dev eth0 proto dhcp scope link src 10.129.0.254 metric 100
10.132.0.0/20 via 10.129.0.254 dev eth0
Последний добавил руками.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от bm_rec (ok), 29-Янв-21, 00:58	+/–
Вот что говорит tcpdump на пингуемой машине: 21:48:24.356378 IP 10.129.0.254 > 10.132.0.195: ICMP echo request, id 16, seq 12, length 64 21:48:24.356424 IP 10.132.0.195 > 10.129.0.254: ICMP echo reply, id 16, seq 12, length 64 Хотя с другого облака, откуда я пингую ответ не приходит: # ping 10.132.0.195 PING 10.132.0.195 (10.132.0.195) 56(84) bytes of data. ^C --- 10.132.0.195 ping statistics --- 12 packets transmitted, 0 received, 100% packet loss, time 11250ms
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #2, #3

2. Сообщение от ACCA (ok), 29-Янв-21, 05:58	–2 +/–
Просто выкинь эту дрянь и подними WireGuard. IPSec по жизни через *опу работает.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1

3. Сообщение от shadow_alone_ (?), 03-Фев-21, 02:40	+/–
А твои машины то имеют маршруты ?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #1 Ответы: #4

4. Сообщение от bm_rec (ok), 04-Фев-21, 12:55	+/–
> А твои машины то имеют маршруты ? Да default via 10.129.0.1 dev eth0 proto dhcp src 10.129.0.254 metric 100 10.129.0.0/24 dev eth0 proto kernel scope link src 10.129.0.254 10.129.0.1 dev eth0 proto dhcp scope link src 10.129.0.254 metric 100 10.132.0.0/20 via 10.129.0.254 dev eth0 Последний добавил руками.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #3