https://slinkov.ru/openforum/vsluhforumID1/90484.html Приветствую. Сказали сделать сеть, которая будет достаточна сложная. Надо настроить в общем так:<br><br>&lt;Server IpSec&gt; ----- &lt;Server IpSec Branch&gt; --- &lt;Server IpSec Branch2&gt; ---- &lt;Server IpSec Branch3&gt;<br><br>Через &lt;Server IpSec&gt; цепляются все удаленные офисы, в том числе и Server IpSec Branch (на нем висит 192.168.6.0/24, на Server IpSec 1-ая подсеть, на Server IpSec Branch2 6.28) через Server IpSec Branch2 подсоединяется 7-ая подсеть. На сервере Branch3 есть как 7-ая, так и 9-ая подсети. <br>И теперь надо сделать так, что бы 9-ую сеть видели в 1-ой, ну и в остальных. <br>7-ю сеть я вижу без проблем. Но не могу пробросить 9-ю.<br>Как это можно сделать? :)<br> https://slinkov.ru/openforum/vsluhforumID1/90484.html#9 Thu, 09 Dec 2010 15:04:53 GMT &gt;[оверквотинг удален]<br>&gt;&gt; на Branch3 прописываю<br>&gt;&gt; route add route add 192.168.6.0/24 192.168.7.147<br>&gt;&gt; а на Branch2<br>&gt;&gt; route add 192.168.9.0/24 192.168.7.162<br>&gt;&gt; но при пингах пишет:<br>&gt;&gt; ping: sendto: Invalid argument<br>&gt;&gt; с обоих сторон.<br>&gt;&gt; По идеи все вроде правильно, но не работает :(<br>&gt; man tcpdump<br>&gt; Встаем на все интерфейсы и запущаем ping. Далее смотрим куда чего течет.<br><br>глаза человек потеряет на это смотреть.... мозг надо включать!<br><br>сказал же уже: нарисуйте схему, настройки роутеров (куда смотрит дефолт, какие маршруты прописаны и т.п.) и подумать чего не хватает.<br>Если с этим туго - читать букварь про адресацию в IP-сетях и про маршрутизацию в IP-сетях.<br>Без этого смотри, не смотри - толку не будет.<br> https://slinkov.ru/openforum/vsluhforumID1/90484.html#8 Thu, 09 Dec 2010 14:20:55 GMT &gt;[оверквотинг удален]<br>&gt;&gt; на Branch3 прописываю<br>&gt;&gt; route add route add 192.168.6.0/24 192.168.7.147<br>&gt;&gt; а на Branch2<br>&gt;&gt; route add 192.168.9.0/24 192.168.7.162<br>&gt;&gt; но при пингах пишет:<br>&gt;&gt; ping: sendto: Invalid argument<br>&gt;&gt; с обоих сторон.<br>&gt;&gt; По идеи все вроде правильно, но не работает :(<br>&gt; man tcpdump<br>&gt; Встаем на все интерфейсы и запущаем ping. Далее смотрим куда чего течет.<br><br>и что он увидит? шифрованный трафик?<br> https://slinkov.ru/openforum/vsluhforumID1/90484.html#7 Thu, 09 Dec 2010 10:37:21 GMT &gt;[оверквотинг удален]<br>&gt;&gt; :)<br>&gt; Пытаюсь сделать так:<br>&gt; на Branch3 прописываю<br>&gt; route add route add 192.168.6.0/24 192.168.7.147<br>&gt; а на Branch2<br>&gt; route add 192.168.9.0/24 192.168.7.162<br>&gt; но при пингах пишет:<br>&gt; ping: sendto: Invalid argument<br>&gt; с обоих сторон.<br>&gt; По идеи все вроде правильно, но не работает :(<br><br>man tcpdump<br><br>Встаем на все интерфейсы и запущаем ping. Далее смотрим куда чего течет.<br> https://slinkov.ru/openforum/vsluhforumID1/90484.html#6 Thu, 09 Dec 2010 03:57:05 GMT &gt;[оверквотинг удален]<br>&gt;&gt; плохо разбираюсь.<br>&gt; Думаю вам стоит "упростить" задачу. Для начала нарисуйте схему сети (временно откиньте<br>&gt; ipsec), решите чисто маршрутизацию. Тут должно быть просто как трусы. Когда<br>&gt; будет решён вопрос с маршрутизацией в сети, думайте как это дело<br>&gt; приложить к ipsec.<br>&gt; P.S. возможно не ipsec, нечто иное. возможно перестроить сеть, чтоб была возможность<br>&gt; применить не ipsec, а что-то более удобное в этой задаче и<br>&gt; более понятное и надёжное в решении и сопровождении именно вами. Всё<br>&gt; же чем больше деталей в механизме - тем менее надёжен механизм<br>&gt; :)<br><br>Пытаюсь сделать так:<br>на Branch3 прописываю <br>route add route add 192.168.6.0/24 192.168.7.147<br>а на Branch2<br>route add 192.168.9.0/24 192.168.7.162<br>но при пингах пишет:<br>ping: sendto: Invalid argument<br>с обоих сторон.<br>По идеи все вроде правильно, но не работает :(<br> https://slinkov.ru/openforum/vsluhforumID1/90484.html#5 Tue, 07 Dec 2010 12:33:29 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; - тунель/транспорт?<br>&gt;&gt;&gt; в режиме туннеля. Но дело думаю именно в маршрутах, потому что вижу<br>&gt;&gt;&gt; все до 7-ой сети на Branch3, а дальше тишина.<br>&gt;&gt; а вы не путаете ничего - в тунельном режиме ipsec не может<br>&gt;&gt; через себя пропустить ничего кроме двух крайних подсетей тунеля - и<br>&gt;&gt; для того чтобы через него пустить другие подсети приходиться юзать нат<br>&gt;&gt; - может быть у вас все таки транспорт а поверх уже<br>&gt;&gt; iptoip/gre тунель?<br>&gt; gif туннели, значит транспорт. Что то я до сих пор в этом<br>&gt; плохо разбираюсь.<br><br>Думаю вам стоит "упростить" задачу. Для начала нарисуйте схему сети (временно откиньте ipsec), решите чисто маршрутизацию. Тут должно быть просто как трусы. Когда будет решён вопрос с маршрутизацией в сети, думайте как это дело приложить к ipsec.<br><br>P.S. возможно не ipsec, нечто иное. возможно перестроить сеть, чтоб была возможность применить не ipsec, а что-то более удобное в этой задаче и более понятное и надёжное в решении и сопровождении именно вами. Всё же чем больше д https://slinkov.ru/openforum/vsluhforumID1/90484.html#4 Tue, 07 Dec 2010 11:43:39 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt; Как это можно сделать? :)<br>&gt;&gt;&gt; слишком мало данных - а в часности в каком режиме работает ipsec<br>&gt;&gt;&gt; - тунель/транспорт?<br>&gt;&gt; в режиме туннеля. Но дело думаю именно в маршрутах, потому что вижу<br>&gt;&gt; все до 7-ой сети на Branch3, а дальше тишина.<br>&gt; а вы не путаете ничего - в тунельном режиме ipsec не может<br>&gt; через себя пропустить ничего кроме двух крайних подсетей тунеля - и<br>&gt; для того чтобы через него пустить другие подсети приходиться юзать нат<br>&gt; - может быть у вас все таки транспорт а поверх уже<br>&gt; iptoip/gre тунель?<br><br>gif туннели, значит транспорт. Что то я до сих пор в этом плохо разбираюсь.<br><br> https://slinkov.ru/openforum/vsluhforumID1/90484.html#3 Tue, 07 Dec 2010 11:40:50 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; на Server IpSec Branch2 6.28) через Server IpSec Branch2 подсоединяется 7-ая<br>&gt;&gt;&gt; подсеть. На сервере Branch3 есть как 7-ая, так и 9-ая подсети.<br>&gt;&gt;&gt; И теперь надо сделать так, что бы 9-ую сеть видели в 1-ой,<br>&gt;&gt;&gt; ну и в остальных.<br>&gt;&gt;&gt; 7-ю сеть я вижу без проблем. Но не могу пробросить 9-ю.<br>&gt;&gt;&gt; Как это можно сделать? :)<br>&gt;&gt; слишком мало данных - а в часности в каком режиме работает ipsec<br>&gt;&gt; - тунель/транспорт?<br>&gt; в режиме туннеля. Но дело думаю именно в маршрутах, потому что вижу<br>&gt; все до 7-ой сети на Branch3, а дальше тишина.<br><br>а вы не путаете ничего - в тунельном режиме ipsec не может через себя пропустить ничего кроме двух крайних подсетей тунеля - и для того чтобы через него пустить другие подсети приходиться юзать нат - может быть у вас все таки транспорт а поверх уже iptoip/gre тунель?<br><br> https://slinkov.ru/openforum/vsluhforumID1/90484.html#2 Tue, 07 Dec 2010 11:30:45 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Через &lt;Server IpSec&gt; цепляются все удаленные офисы, в том числе и Server<br>&gt;&gt; IpSec Branch (на нем висит 192.168.6.0/24, на Server IpSec 1-ая подсеть,<br>&gt;&gt; на Server IpSec Branch2 6.28) через Server IpSec Branch2 подсоединяется 7-ая<br>&gt;&gt; подсеть. На сервере Branch3 есть как 7-ая, так и 9-ая подсети.<br>&gt;&gt; И теперь надо сделать так, что бы 9-ую сеть видели в 1-ой,<br>&gt;&gt; ну и в остальных.<br>&gt;&gt; 7-ю сеть я вижу без проблем. Но не могу пробросить 9-ю.<br>&gt;&gt; Как это можно сделать? :)<br>&gt; слишком мало данных - а в часности в каком режиме работает ipsec<br>&gt; - тунель/транспорт?<br><br>в режиме туннеля. Но дело думаю именно в маршрутах, потому что вижу все до 7-ой сети на Branch3, а дальше тишина.<br><br> https://slinkov.ru/openforum/vsluhforumID1/90484.html#1 Tue, 07 Dec 2010 11:26:34 GMT &gt;[оверквотинг удален]<br>&gt; &lt;Server IpSec&gt; ----- &lt;Server IpSec Branch&gt; --- &lt;Server IpSec Branch2&gt; ---- &lt;Server<br>&gt; IpSec Branch3&gt;<br>&gt; Через &lt;Server IpSec&gt; цепляются все удаленные офисы, в том числе и Server<br>&gt; IpSec Branch (на нем висит 192.168.6.0/24, на Server IpSec 1-ая подсеть,<br>&gt; на Server IpSec Branch2 6.28) через Server IpSec Branch2 подсоединяется 7-ая<br>&gt; подсеть. На сервере Branch3 есть как 7-ая, так и 9-ая подсети.<br>&gt; И теперь надо сделать так, что бы 9-ую сеть видели в 1-ой,<br>&gt; ну и в остальных.<br>&gt; 7-ю сеть я вижу без проблем. Но не могу пробросить 9-ю.<br>&gt; Как это можно сделать? :)<br><br>слишком мало данных - а в часности в каком режиме работает ipsec - тунель/транспорт?<br>