URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 93618
[ Назад ]

Исходное сообщение
"Проблема с маршрутизацией openswan+Dlink804HV"
Отправлено rodley , 30-Июл-12 17:23

Есть 2 офиса, в головном стоит CentOS 6.3+OpenSWAN, в удаленном - D-Link DI804HV (пробовал Cisco RVS400). В головном офисе подсеть 192.168.1.0/24, в удаленном 192.168.5.0/24. Тоннель между сетями поднимается, из 192.168.5.0 пингуется 192.168.1.0, наоборот пинги не идут.
На CentOS 2 интерфейса:
[root@gw ~]# ifconfig
eth0      Link encap:Ethernet  HWaddr 00:15:17:1B:F8:7E
          inet addr:192.168.1.119  Bcast:192.168.1.255  Mask:255.255.255.0
          inet6 addr: fe80::215:17ff:fe1b:f87e/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:580 errors:0 dropped:0 overruns:0 frame:0
          TX packets:24 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:98224 (95.9 KiB)  TX bytes:3739 (3.6 KiB)
          Interrupt:17 Memory:88180000-881a0000
eth1      Link encap:Ethernet  HWaddr 00:02:44:62:FA:BE
          inet addr:82.117.233.212  Bcast:82.117.235.255  Mask:255.255.252.0
          inet6 addr: fe80::202:44ff:fe62:fabe/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:4279 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4196 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:392046 (382.8 KiB)  TX bytes:389275 (380.1 KiB)
          Interrupt:21 Base address:0x8000
lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 b)  TX bytes:0 (0.0 b)

[root@gw ~]# netstat -rn
Kernel IP routing table
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
192.168.3.0     192.168.1.100   255.255.255.0   UG        0 0          0 eth0
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth0
82.117.232.0    0.0.0.0         255.255.252.0   U         0 0          0 eth1
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth0
169.254.0.0     0.0.0.0         255.255.0.0     U         0 0          0 eth1
0.0.0.0         82.117.232.1    0.0.0.0         UG        0 0          0 eth1
[root@gw ~]# ip xfrm state list
src 82.117.232.198 dst 82.117.233.212
        proto esp spi 0x4357d9ad reqid 16385 mode tunnel
        replay-window 32 flag 20
        auth hmac(sha1) 0x6dba08e52c3daab18b1f271346d3b81e1f8db3cf
        enc cbc(des3_ede) 0x474763ac7e884097160239cdee1aabdba01b650173692fe0
src 82.117.233.212 dst 82.117.232.198
        proto esp spi 0x29909e1d reqid 16385 mode tunnel
        replay-window 32 flag 20
        auth hmac(sha1) 0xbb024e35da604af6383090adc5f43721e996eb05
        enc cbc(des3_ede) 0xfdbcc4a39d76cb80e5aad3eeab863e75fb2d9136be93d6a7
По адресу 192.168.1.100 стоит ещё маршрутизатор, который смотрит в подсеть 192.168.3.0/24. С машины 192.168.1.119 я её вижу.
Подскажите, как правильно организовать маршрутизацию между всеми сетями?

Содержание

Проблема с маршрутизацией openswan+Dlink804HV,Loly, 22:46 , 30-Июл-12
- Проблема с маршрутизацией openswan+Dlink804HV,rodley, 22:52 , 30-Июл-12
Проблема с маршрутизацией openswan+Dlink804HV,foton, 08:07 , 01-Авг-12
- Проблема с маршрутизацией openswan+Dlink804HV,LSTemp, 02:45 , 03-Авг-12
- Проблема с маршрутизацией openswan+Dlink804HV,rodley, 12:30 , 10-Авг-12
  - Проблема с маршрутизацией openswan+Dlink804HV,LSTemp, 23:59 , 10-Авг-12

Сообщения в этом обсуждении

"Проблема с маршрутизацией openswan+Dlink804HV"
Отправлено Loly , 30-Июл-12 22:46

А где Ваш ipsec.conf? left/right/subnet?

"Проблема с маршрутизацией openswan+Dlink804HV"
Отправлено rodley , 30-Июл-12 22:52

> А где Ваш ipsec.conf? left/right/subnet?
[root@gw ~]# cat /etc/ipsec.conf
# /etc/ipsec.conf - Openswan IPsec configuration file
#
# Manual:     ipsec.conf.5
#
# Please place your own config files in /etc/ipsec.d/ ending in .conf
version 2.0     # conforms to second version of ipsec.conf specification
# basic configuration
config setup
        # Debug-logging controls:  "none" for (almost) none, "all" for lots.
        klipsdebug=all
        plutodebug="all"
        # For Red Hat Enterprise Linux and Fedora, leave protostack=netkey
        protostack=netkey
        dumpdir=/var/run/pluto
        plutostderrlog=/var/log/pluto.log
        nat_traversal=yes
        virtual_private=%v4:192.168.5.0/24
        oe=off
        # Enable this if you see "failed to find any available worker"
        nhelpers=0
#You may put your configuration (.conf) file in the "/etc/ipsec.d/" and uncomment this.
include /etc/ipsec.d/*.conf

[root@gw ~]# cat /etc/ipsec.d/ur27.conf
# Настройки урицкого 27
conn ur27
        authby=secret
        aggrmode=yes
#       type=tunnel
# Настройки, начинающиеся с left относятся к локальному узлу
# IP внешнего интерфейса, %defaultroute - по умолчанию
        left=%defaultroute
# Внешний шлюз
        leftnexthop=%defaultroute
# Адрес локальной подсети
        leftsubnet=192.168.1.0/24
# ID локального хоста
        leftid=82.117.233.212
# Настройки, начинающиеся с right - относятся к удаленной сети
        right=82.117.232.198
        rightsubnet=192.168.5.0/24
        rightid=82.117.232.198
# Настройка алгоритмов шифрования и обмена ключами
        auth=esp
        keyexchange=ike
        ike=3des-sha1-modp1024!
        esp=3des-sha1!
        pfs=yes
        auto=start

"Проблема с маршрутизацией openswan+Dlink804HV"
Отправлено foton , 01-Авг-12 08:07

> Тоннель между сетями поднимается, из 192.168.5.0 пингуется 192.168.1.0,
> наоборот пинги не идут.
Пинг в одну сторону быть не может, скорее всего на компьютере из 192.168.5.0/24 стоит межсетевой экран (например подобным образом себя может вести брандмауэер windows).
> По адресу 192.168.1.100 стоит ещё маршрутизатор, который смотрит в подсеть 192.168.3.0/24.
> С машины 192.168.1.119 я её вижу.
> Подскажите, как правильно организовать маршрутизацию между всеми сетями?
маршрутизации в ipsec как таковой нет, в туннель пойдет только трафик подпадающий под правила в SPD. Самый простой вариант в Вашем случае создать еще один туннель с сетями 192.168.3.0/24 и 192.168.5.0/24.

"Проблема с маршрутизацией openswan+Dlink804HV"
Отправлено LSTemp , 03-Авг-12 02:45

>> Тоннель между сетями поднимается, из 192.168.5.0 пингуется 192.168.1.0,
>> наоборот пинги не идут.
> Пинг в одну сторону быть не может, скорее всего на компьютере из
ping именно в одну сторону и идет. зато pong может по другому маршруту идти.
> 192.168.5.0/24 стоит межсетевой экран (например подобным образом себя может вести брандмауэер
> windows).
>> По адресу 192.168.1.100 стоит ещё маршрутизатор, который смотрит в подсеть 192.168.3.0/24.
>> С машины 192.168.1.119 я её вижу.
>> Подскажите, как правильно организовать маршрутизацию между всеми сетями?
> маршрутизации в ipsec как таковой нет, в туннель пойдет только трафик подпадающий
> под правила в SPD. Самый простой вариант в Вашем случае создать
> еще один туннель с сетями 192.168.3.0/24 и 192.168.5.0/24.

"Проблема с маршрутизацией openswan+Dlink804HV"
Отправлено rodley , 10-Авг-12 12:30

>> Тоннель между сетями поднимается, из 192.168.5.0 пингуется 192.168.1.0,
>> наоборот пинги не идут.
> Пинг в одну сторону быть не может, скорее всего на компьютере из
> 192.168.5.0/24 стоит межсетевой экран (например подобным образом себя может вести брандмауэер
> windows).
Имеется ввиду, что когда я из подсети 192.168.1.0/24 делаю traceroute на 192.168.5.0/24 - запрос идет на провайдера.
>> По адресу 192.168.1.100 стоит ещё маршрутизатор, который смотрит в подсеть 192.168.3.0/24.
>> С машины 192.168.1.119 я её вижу.
>> Подскажите, как правильно организовать маршрутизацию между всеми сетями?
> маршрутизации в ipsec как таковой нет, в туннель пойдет только трафик подпадающий
> под правила в SPD. Самый простой вариант в Вашем случае создать
> еще один туннель с сетями 192.168.3.0/24 и 192.168.5.0/24.
Как эти правила настраивать?

"Проблема с маршрутизацией openswan+Dlink804HV"
Отправлено LSTemp , 10-Авг-12 23:59

>[оверквотинг удален]
>> windows).
> Имеется ввиду, что когда я из подсети 192.168.1.0/24 делаю traceroute на 192.168.5.0/24
> - запрос идет на провайдера.
>>> По адресу 192.168.1.100 стоит ещё маршрутизатор, который смотрит в подсеть 192.168.3.0/24.
>>> С машины 192.168.1.119 я её вижу.
>>> Подскажите, как правильно организовать маршрутизацию между всеми сетями?
>> маршрутизации в ipsec как таковой нет, в туннель пойдет только трафик подпадающий
>> под правила в SPD. Самый простой вариант в Вашем случае создать
>> еще один туннель с сетями 192.168.3.0/24 и 192.168.5.0/24.
> Как эти правила настраивать?
таблицу маршрутизации посмотрите. когда будете пинговать 192.168.5.х то пакет пойдет ч/з default gate 82.117.232.1 (на прова, как я понимаю). допишите маршруты вручную или настройте сервис (чем Вы там тунель поднимаете?), чтоб он автоматом эти маршруты втыкал.