FreeBSD 7.1 p3 +Ipsec нужна консультация

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
alik
рядовой
Сообщения: 16
Зарегистрирован: 2009-02-12 14:47:32

FreeBSD 7.1 p3 +Ipsec нужна консультация

Непрочитанное сообщение alik » 2009-03-18 10:33:05

Код: Выделить всё

Здарова ребята, настроил я все по этой вот замечательной статье, автору зачет! Все работает.
http://www.lissyara.su/?id=1503
Автор: freeman_tnu. Спасибо. :smile:

Но возникли пару вопрос: :(
    • 1) Со стороны FreeBSD, имеется ввиду локалки пингуется локальная сеть за DLINKом, а вот наоборот не получается. То есть с филиалов не могут пропинговать сеть за фрёй.
      Привожу конфиг фаервола:

      Код: Выделить всё

      ext_if="rl0"
      int_if="sis0"
      vpn_if="vx0"
      ng_if="gif0"
      
      localnet="192.22.26.0/24"
      vpn_ip="192.23.28.170"
      office2_ip="192.23.28.172"
      vpn_net="192.168.3.0/24"
      
      tcp_ports="{22,80,443,110,465,995,5190, 21 > 1024}" 
      udp_ports="{53}"
      
      set skip on lo0
      set skip on gif0
      set skip on $int_if
      
      scrub in all
      
      nat on $ext_if from $localnet to any -> ($ext_if)
      #nat on $int_if from $vpn_net to any -> ($int_if)
      
      antispoof quick for $ext_if
      
      
      block in log all
      block out log all
      
      block in log quick on $ext_if from <ssh> to any
      block in log quick on $ext_if proto tcp from any port { 135 136 137 138 139 445 2967 6348 1433 5900 } to any
      block in log quick on $ext_if proto udp from any port { 135 136 137 138 139 445 1434 6348 } to any
      
      pass out on $ext_if proto tcp to any port $tcp_ports keep state
      pass out on $ext_if proto udp to any port $udp_ports keep state
      
      #pass in inet proto tcp from any to $ext_if port 22 keep state
      
      pass quick on $ext_if proto icmp all
      
      
      #VPN
      pass quick on $vpn_if proto icmp all
      
      #Ipsec output
      pass out quick on $vpn_if proto udp from $vpn_ip port = isakmp to $office2_ip port = isakmp
      pass out quick on $vpn_if proto esp from $vpn_ip to $office2_ip 
      pass out quick on $vpn_if proto ipencap from $vpn_ip to $office2_ip
      
      #Ipsec input
      pass in quick on $vpn_if proto udp from $office2_ip port = isakmp to $vpn_ip port = isakmp
      pass in quick on $vpn_if proto esp from $office2_ip to $vpn_ip 
      pass in quick on $vpn_if proto ipencap from $office2_ip to $vpn_ip
      2) Подскажите пожалуйста что это значит???

      Код: Выделить всё

      FreeBSD 7.1-RELEASE-p3 (MY) #2: Wed Mar 11 01:45:02 KGT 2009
      vpn# racoon -F -f /usr/local/etc/racoon/racoon.conf 
      Foreground mode.
      2009-03-18 19:46:01: INFO: @(#)ipsec-tools 0.7.1 (http://ipsec-tools.sourceforge.net)
      2009-03-18 19:46:01: INFO: @(#)This product linked OpenSSL 0.9.8j 07 Jan 2009 (http://www.openssl.org/)
      2009-03-18 19:46:01: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
      [b]2009-03-18 19:46:01: INFO: [b]Resize address pool from 0 to 255[/b]
      2009-03-18 19:46:01: ERROR: failed to bind to address 192.23.28.170[500] (Address already in use).
      2009-03-18 19:46:01: ERROR: no address could be bound.[/b]
Последний раз редактировалось alik 2009-03-18 10:47:41, всего редактировалось 1 раз.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

alik
рядовой
Сообщения: 16
Зарегистрирован: 2009-02-12 14:47:32

Re: FreeBSD 7.1 p3 +Ipsec нужна консультация

Непрочитанное сообщение alik » 2009-03-18 10:34:29

Кстати роут со стороны DLINKa прописывал, но все равно дальше фри ничего не вижу.
Ребята очень помощь нужна

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35266
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: FreeBSD 7.1 p3 +Ipsec нужна консультация

Непрочитанное сообщение Alex Keda » 2009-03-18 10:41:24

alik писал(а):Кстати роут со стороны DLINKa прописывал, но все равно дальше фри ничего не вижу.
Ребята очень помощь нужна
крутим эту страничку до верху, читаем текст на красном фоне.
вам лень соблюдать парвила - мне отвечать.
квиты =)
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35266
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: FreeBSD 7.1 p3 +Ipsec нужна консультация

Непрочитанное сообщение Alex Keda » 2009-03-18 11:23:46

маршруты покажи
Убей их всех! Бог потом рассортирует...

alik
рядовой
Сообщения: 16
Зарегистрирован: 2009-02-12 14:47:32

Re: FreeBSD 7.1 p3 +Ipsec нужна консультация

Непрочитанное сообщение alik » 2009-03-18 11:53:36

На Dlinke

Код: Выделить всё

Advanced ---- Routing tables list --- 

Destination           Subnetmask          Gateway 
192.22.26.0           255.255.255.0      172.22.28.172
На фрюхе
ipsec.conf

Код: Выделить всё

#!/usr/local/sbin/setkey -f
flush;
spdflush;

spdadd 192.22.26.0/24 192.168.3.0/24 any -P out ipsec
esp/tunnel/192.22.28.170-192.22.28.172/require;
spdadd 192.168.3.0/24 192.22.26.0/24 any -P in ipsec
esp/tunnel/192.22.28.172-192.22.28.170/require;