форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"Роутинг и IPSEC"	+/–
Сообщение от SPIDERL33T (ok) on 17-Фев-11, 18:12
Не могу объединить офисы-сателиты. Есть центральный сервер (внешний IP: A.B.C.D, внутренний: 192.168.7.1) FreeBSD 8.2, который строит туннели с офисами. В rc.conf у меня: ----------------- ifconfig_re0="inet A.B.C.D netmask 255.255.255.0" ifconfig_em0="inet 192.168.7.1 netmask 255.255.255.0" gif_interfaces="gif0 gif1 gif2" # Satelite_1 #gif_interfaces="gif0" gifconfig_gif0="A.B.C.D A1.B1.C1.D1" ifconfig_gif0="inet 192.168.7.1 192.168.0.8 netmask 255.255.255.0" # Satelite_2 #gif_interfaces="gif1" gifconfig_gif1="A.B.C.D A2.B2.C2.D2" ifconfig_gif1="inet 192.168.7.1 192.168.5.5 netmask 255.255.255.0" # Satelite_3 #gif_interfaces="gif2" gifconfig_gif2="A.B.C.D A3.B3.C3.D3" ifconfig_gif2="inet 192.168.7.1 192.168.8.10 netmask 255.255.255.0" gateway_enable="YES" static_routes="vpn0 vpn1 vpn2" route_vpn0="192.168.0.0/24 -Interface gif0" route_vpn1="192.168.5.0/24 -Interface gif1" route_vpn2="192.168.8.0/24 -Interface gif2" --------------- В ipsec.conf: #!/usr/local/sbin/setkey -f flush; spdflush; # IPSec for Satelite_1 spdadd 192.168.7.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/A.B.C.D-A1.B1.C1.D1/require; spdadd 192.168.0.0/24 192.168.7.0/24 any -P in ipsec esp/tunnel/A1.B1.C1.D1-A.B.C.D/require; # IPSec for Satelite_1 spdadd 192.168.7.0/24 192.168.5.0/24 any -P out ipsec esp/tunnel/A.B.C.D-A3.B3.C3.D3/require; spdadd 192.168.5.0/24 192.168.7.0/24 any -P in ipsec esp/tunnel/A3.B3.C3.D3-A.B.C.D/require; # IPSec for Satelite_3 spdadd 192.168.7.0/24 192.168.8.0/24 any -P out ipsec esp/tunnel/A.B.C.D-A2.B2.C2.D2/require; spdadd 192.168.8.0/24 192.168.7.0/24 any -P in ipsec esp/tunnel/A2.B2.C2.D2-A.B.C.D/require; ---------------------- Вывод команды "netstat -rn": Internet: Destination        Gateway            Flags    Refs      Use  Netif Expire default            A0.B0.C0.D0    UGS         2        4    re0 127.0.0.1          link#6             UH          0        0    lo0 A.B.C.D/24         link#1             U           3       18    re0 A.B.C.D            link#1             UHS         0        0    lo0 192.168.0.0/24     gif0               US          0        3   gif0 192.168.0.8        link#7             UH          0        0   gif0 192.168.5.0/24     gif1               US          0        0   gif1 192.168.5.5        link#8             UH          0        0   gif1 192.168.7.0/24     link#2             U           2       67    em0 192.168.7.1        link#2             UHS         3        0    lo0 192.168.8.0/24     gif2               US          0        5   gif2 192.168.8.10       link#9             UH          0        0   gif2 192.168.70.0/24    link#3             U           0        0    em1 192.168.70.1       link#3             UHS         0        0    lo0 ------------------ Что работает: Работают туннели: 1. "Центральный сервер <---> Satelite_1" 2. "Центральный сервер <---> Satelite_2" 3. "Центральный сервер <---> Satelite_3" Ходят все типы данных и без нареканий ------------------ Что НЕ работает: Не работает туннель: "Satelite_2 <---> Satelite_3" т.е. не ходит ничего, даже пинги ------------------ IPFW работает в режиме "разрешено все". ========================================= Очевидно, что проблема в роутинге, но я что-то конкретно торможу и не могу понять в каком месте я упустил настройку. Помогите, пожалуйста, решить проблему. Заранее благодарен.
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Роутинг и IPSEC"	+/–
Сообщение от GoshaLV on 17-Фев-11, 20:03
Курите RIP или OSPF, или динамическая маржрутизация.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Роутинг и IPSEC"	+/–
Сообщение от Alexey Leonchik (??) on 18-Фев-11, 03:34
> Не могу объединить офисы-сателиты. > ------------------ > Что НЕ работает: > Не работает туннель: > "Satelite_2 <---> Satelite_3" > т.е. не ходит ничего, даже пинги > ------------------ On Satelite_2 route add -net satelite_3 gw IP_OF_Central_Office On Satelite_3 route add -net satelite_2 gw IP_OF_Central_Office Только ЭТОГО лучше не делать :) Потому как ваши 2-й и 3-й будут общаться между собой используя ваш КАНАЛ ЦЕНТРАЛЬНОГО офиса :) А зачем это нужно? Уж лучше в этом случае сделать Satelite_2 <- IPSEC -> Satelite_3 С уважением Алексей Леончик
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

3. "Роутинг и IPSEC"	+/–
Сообщение от a2l on 18-Фев-11, 08:51
>[оверквотинг удален] > ------------------ > Что НЕ работает: > Не работает туннель: > "Satelite_2 <---> Satelite_3" > т.е. не ходит ничего, даже пинги > ------------------ > IPFW работает в режиме "разрешено все". > ========================================= > Очевидно, что проблема в роутинге, но я что-то конкретно торможу и не > могу понять в каком месте я упустил настройку. Раз проблема в роутинге , то почему бы не посмотреть(показать) вывод netstat -rn на втором и третьем участке? И ещё. Вы зря усложняете сеть gif-ами, уберите их (принцип KISS). Достаточно оставить только правила ipsec  и прописать маршруты как советует Alexey Leonchik.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Роутинг и IPSEC"	+/–
	Сообщение от SPIDERL33T (ok) on 18-Фев-11, 17:24
	>[оверквотинг удален] >> ------------------ >> IPFW работает в режиме "разрешено все". >> ========================================= >> Очевидно, что проблема в роутинге, но я что-то конкретно торможу и не >> могу понять в каком месте я упустил настройку. > Раз проблема в роутинге , то почему бы не посмотреть(показать) вывод netstat > -rn на втором и третьем участке? > И ещё. Вы зря усложняете сеть gif-ами, уберите их (принцип KISS). Достаточно > оставить только правила ipsec  и прописать маршруты как советует Alexey > Leonchik. На втором и третьем участке стоят CISCO PIX 501. Строить между ними дополнительный туннель нехочется, т.к. будут ещё офисы и число туннелей увеличится (тогда упадёт пропускная способность PIX`ов). Фрагмент конфигов. Satelite_2: ------------- access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.7.0 255.255.255.0 access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.8.0 255.255.255.0 access-list outside_cryptomap_60 permit ip 192.168.0.0 255.255.255.0 192.168.7.0 255.255.255.0 access-list outside_cryptomap_60 permit ip 192.168.0.0 255.255.255.0 192.168.8.0 255.255.255.0 * ip address outside A1.B1.C1.D1 255.255.255.0 ip address inside 192.168.0.8 255.255.255.0 * global (outside) 1 interface nat (inside) 0 access-list 100 * route outside 0.0.0.0 0.0.0.0 A0.B0.C0.D0 1 * crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac crypto map VPN 60 ipsec-isakmp crypto map VPN 60 match address outside_cryptomap_60 crypto map VPN 60 set peer A.B.C.D crypto map VPN 60 set transform-set ESP-3DES-SHA crypto map VPN interface outside isakmp enable outside isakmp key ******** address A.B.C.D netmask 255.255.255.0 * isakmp policy 10 authentication pre-share isakmp policy 10 encryption 3des isakmp policy 10 hash sha isakmp policy 10 group 2 isakmp policy 10 lifetime 86400 Satelite_3: всё тоже самое, только внешний и внутренние IP другие. ------------ Раньше в качестве центрального сервера использовалась CISCO ASA 5500 и удалённые PIX`ы нормально подключались и с их маршрутизацией проблем не было. Вот таблица маршрутизации на Satelite_2 (на Satelite_3 аналогично). Её внешний IP "A1.B1.C1.D1": ------------ # sh route outside 0.0.0.0 0.0.0.0 A0.B0.C0.D0 1 OTHER static outside A.B.C.0 255.255.255.0 A1.B1.C1.D1 1 CONNECT static inside 192.168.0.0 255.255.255.0 192.168.0.8 1 CONNECT static ------------ На Satelite_3: # sh route outside 0.0.0.0 0.0.0.0 A0.B0.C0.D0 1 OTHER static outside A.B.C.0 255.255.255.0 A3.B3.C3.D3 1 CONNECT static inside 192.168.8.0 255.255.255.0 192.168.8.10 1 CONNECT static ------------ Когда стояла CISCO ASA 5500 таблица маршрутизации была такая же и всё разруливалось через access-list. ------------ Пробовал писать на PIX`ах маршрут типа: route inside 192.168.8.0 255.255.255.0 192.168.7.1 (для Satelite_2) и route inside 192.168.0.0 255.255.255.0 192.168.7.1 (для Satelite_3) но это не помогло.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	5. "Роутинг и IPSEC"	+/–
	Сообщение от SPIDERL33T (ok) on 18-Фев-11, 17:25
	забыл сказать. Gif`ы я убрал, чтобы не отвлекаться на них.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	6. "Роутинг и IPSEC"	+/–
	Сообщение от a2l on 21-Фев-11, 07:05
	>[оверквотинг удален] >>> могу понять в каком месте я упустил настройку. >> Раз проблема в роутинге , то почему бы не посмотреть(показать) вывод netstat >> -rn на втором и третьем участке? >> И ещё. Вы зря усложняете сеть gif-ами, уберите их (принцип KISS). Достаточно >> оставить только правила ipsec  и прописать маршруты как советует Alexey >> Leonchik. > На втором и третьем участке стоят CISCO PIX 501. Строить между ними > дополнительный туннель нехочется, т.к. будут ещё офисы и число туннелей увеличится > (тогда упадёт пропускная способность PIX`ов). > Фрагмент конфигов. Вроде как в первом письме satelite2 имел адрес 192.168.5.5 ? > Satelite_2: > ------------- > access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.7.0 255.255.255.0 > access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.8.0 255.255.255.0 > access-list outside_cryptomap_60 permit ip 192.168.0.0 255.255.255.0 192.168.7.0 255.255.255.0 > access-list outside_cryptomap_60 permit ip 192.168.0.0 255.255.255.0 192.168.8.0 255.255.255.0 Я в цисках мало копенгаген, но понимаю так, что верхние две строчки разрешают туннелировать пакеты идущие в сети 192.168.7/24 и 192.168.8/24. Если так, то фря на том конце не знает об этом. Попробуй вставить в ipsec.conf сервера spdadd 192.168.7.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/A.B.C.D-A1.B1.C1.D1/unique; spdadd 192.168.8.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/A.B.C.D-A1.B1.C1.D1/unique; spdadd 192.168.0.0/24 192.168.7.0/24 any -P in ipsec esp/tunnel/A1.B1.C1.D1-A.B.C.D/unique; spdadd 192.168.0.0/24 192.168.8.0/24 any -P in ipsec esp/tunnel/A1.B1.C1.D1-A.B.C.D/unique; и аналогично для других сателитов. unique - задаёт поведение при формировании туннелей как у cisco >[оверквотинг удален] > inside 192.168.8.0 255.255.255.0 192.168.8.10 1 CONNECT static > ------------ > Когда стояла CISCO ASA 5500 таблица маршрутизации была такая же и всё > разруливалось через access-list. > ------------ > Пробовал писать на PIX`ах маршрут типа: > route inside 192.168.8.0 255.255.255.0 192.168.7.1 (для Satelite_2) > и > route inside 192.168.0.0 255.255.255.0 192.168.7.1 (для Satelite_3) > но это не помогло.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема