ipsec через NAT

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Dolphin_BSD
ст. сержант
Сообщения: 353
Зарегистрирован: 2007-04-26 9:09:10
Откуда: Kiev
Контактная информация:

ipsec через NAT

Непрочитанное сообщение Dolphin_BSD » 2008-08-04 12:34:30

Добрый день !

Появилась делема ! Если кто знает решение вопроса, или подскажет куда рыть .. буду благодарен !

Есть Офис "А" и офис "Б" - которые соединяются с помощью ipsec. необходимо срочно заменить провайдера, он в свою очередь делает паршивую для меня вешь ! Завязівает на своем серваке МОЙ реальный ИП адрес а мне выдает привязкой по DHCP внутрений.

Как я понимаю в итоге я получаю работу через его NAT.

Я во всех конфигах на точке "Б" прописываю тот ИП адрсе что мне выдает DHCP ( врутрений ) и запускаю racoon
В свою очередь на точке "А" я прописываю отсылать и принимать запросы на реальный ИП адрсе что завязан на серваке провайдера офиса "Б"

В тоге я получаю ответ лога :

точка "А" - центральный

Код: Выделить всё

2008-08-04 12:16:16: INFO: respond new phase 2 negotiation: IP точки "А"[0]<=>IP точки "Б" белый [0]
2008-08-04 12:16:16: ERROR: no policy found: IP точки "Б" белый/32[0] IP точки "А"/32[0] proto=any dir=in
2008-08-04 12:16:16: ERROR: failed to get proposal for responder.
2008-08-04 12:16:16: ERROR: failed to pre-process packet.
точка "Б"

Код: Выделить всё

2008-08-04 12:16:46: ERROR: IP точки "А" give up to get IPsec-SA due to time up to wait.
2008-08-04 12:17:03: INFO: initiate new phase 2 negotiation: 172.16.103.11[0]<=>IP точки "А"[0]
Подскажите толи провайдер на точке "Б" что-то режет что я получаю

2008-08-04 12:16:16: ERROR: failed to get proposal for responder.
2008-08-04 12:16:16: ERROR: failed to pre-process packet

Толи racoon не умеет так работать !

Заранее благодарю !
_______________________________________________________________________________
Каждая секунда жизни имеет собственную цену, которую необходимо вовремя заплатить.
http://www.ftl.com.ua

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: ipsec через NAT

Непрочитанное сообщение terminus » 2008-08-04 12:43:44

IPSec вроде не натится на сколько я помню?

Можно исхитриться и, заюзав netgraph, провести повторную инкапсуляцию IPSec в UDP-IP. Тут наш товаришь LMik статью писал недавно про такое чудо решение - вот: http://www.lissyara.su/?id=1690

Если я правильно понял суть проблемы, то такое должно помоч...
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
Dolphin_BSD
ст. сержант
Сообщения: 353
Зарегистрирован: 2007-04-26 9:09:10
Откуда: Kiev
Контактная информация:

Re: ipsec через NAT

Непрочитанное сообщение Dolphin_BSD » 2008-08-04 13:02:05

Я хочу вообще понять , действительно ли проблема в НАТ, или что-то провайдер перекрыл у ся с портов ... !
_______________________________________________________________________________
Каждая секунда жизни имеет собственную цену, которую необходимо вовремя заплатить.
http://www.ftl.com.ua

Аватара пользователя
Dolphin_BSD
ст. сержант
Сообщения: 353
Зарегистрирован: 2007-04-26 9:09:10
Откуда: Kiev
Контактная информация:

Re: ipsec через NAT

Непрочитанное сообщение Dolphin_BSD » 2008-08-04 13:03:49

И еще на точке "А" - центральном серваке, похожих подключений еще 13 штук которые все работают через ipsec ( racoon ) не повлияет ли єто все дело с этим офисам на другие ! ?
_______________________________________________________________________________
Каждая секунда жизни имеет собственную цену, которую необходимо вовремя заплатить.
http://www.ftl.com.ua

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: ipsec через NAT

Непрочитанное сообщение terminus » 2008-08-04 13:06:25

Вика пишет, что через @#$% оно работает когда NAT посередине...
http://en.wikipedia.org/wiki/NAT_traversal
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: ipsec через NAT

Непрочитанное сообщение terminus » 2008-08-04 13:09:25

Dolphin_BSD писал(а):И еще на точке "А" - центральном серваке, похожих подключений еще 13 штук которые все работают через ipsec ( racoon ) не повлияет ли єто все дело с этим офисам на другие ! ?
Придется на уровне ipfw лепить воркораунд конкретно для заварачивания в netgraph трафика точки B...
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: ipsec через NAT

Непрочитанное сообщение paradox » 2008-08-04 23:19:34

тема уже поднималась
напомню
ipsec через нат не ходит
есть патчи для freebsd которые это позволяют обходить
но
когда два компа виндно друг друга без фаеров и натов

поищите тему про mpd+eap

Аватара пользователя
Dolphin_BSD
ст. сержант
Сообщения: 353
Зарегистрирован: 2007-04-26 9:09:10
Откуда: Kiev
Контактная информация:

Re: ipsec через NAT

Непрочитанное сообщение Dolphin_BSD » 2008-08-05 13:06:25

Вопрос закрыл ... обхитрил провайдеров ))

Всем пасиб !
_______________________________________________________________________________
Каждая секунда жизни имеет собственную цену, которую необходимо вовремя заплатить.
http://www.ftl.com.ua

Аватара пользователя
terminus
майор
Сообщения: 2305
Зарегистрирован: 2007-10-29 11:27:35
Откуда: Рига

Re: ipsec через NAT

Непрочитанное сообщение terminus » 2008-08-05 14:50:03

Чем дело-то кончилось?
Модель: AST-PM-105/0044; Тип: Универсальный, ремонтный; Название: Терминус; Род повреждения: Распад функций; Выводы: Сдать на слом.

Аватара пользователя
Dolphin_BSD
ст. сержант
Сообщения: 353
Зарегистрирован: 2007-04-26 9:09:10
Откуда: Kiev
Контактная информация:

Re: ipsec через NAT

Непрочитанное сообщение Dolphin_BSD » 2008-08-05 19:24:18

Подкрутил конф и заставил их сделать так что бы ipsec заработал . ! но немного и под их дудку поплясать пришлось !

Во всех конфигах на точке "Б" фигурирует ИП внутрених их сети, типа 172.х.х.х он при отправке в итоге выходит через их сервак и получает бетого ИП предназначение ... !

на точке "А" все конфиги настроены на отправку и прием пакетов с реального ИП адреса точни "Б" в итого заставил их все форвардить от "а" то "я" и вроде пошло ... хоть и немого рагульно ... ))) но пашет !
_______________________________________________________________________________
Каждая секунда жизни имеет собственную цену, которую необходимо вовремя заплатить.
http://www.ftl.com.ua