IPSec, racoon

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Ответить
Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:
Контактная информация пользователя buryanov

IPSec, racoon

Непрочитанное сообщение buryanov » 2009-04-21 21:22:07

Hi All
Взял за основу http://www.lissyara.su/?id=1503 и поднял ipsec, gif не делал, по причине того, что мне нужно будет конектится к нескольким клиентам, у них cisco, checkpoint, racoon. Попробовал сделать коннект между своими сетями. Соединилось всё, но вот с маршрутизацией проблема.
У меня есть рабочий шлюз на линухах, которому осталось недолго, надеюсь, на нём я маршрутизирую удалённую подсеть на ip, на котором висит racoon. Почитал по форуму, луди делают также, но у меня щас получается:

Код: Выделить всё

 ping 192.168.130.252
36 bytes from 33.209.112.217.unknown.teleportsv.net (217.112.209.33): Redirect Host(New addr: 217.112.209.33)
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 0054 5522   0 0000  2c  01 4b50 217.112.209.33  192.168.130.252

36 bytes from 33.209.112.217.unknown.teleportsv.net (217.112.209.33): Redirect Host(New addr: 217.112.209.33)
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 0054 5522   0 0000  2b  01 4c50 217.112.209.33  192.168.130.252

36 bytes from 33.209.112.217.unknown.teleportsv.net (217.112.209.33): Redirect Host(New addr: 217.112.209.33)
Vr HL TOS  Len   ID Flg  off TTL Pro  cks      Src      Dst
 4  5  00 0054 5522   0 0000  2a  01 4d50 217.112.209.33  192.168.130.252

Код: Выделить всё

[root@hqgw2 ~]# netstat -rn
Routing tables
Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            80.249.224.55      UGS         0  1764185    ng2
10.4.0.0/16        link#2             UC          0        0    sk0
10.4.250.3         00:23:54:37:8e:f0  UHLW        1     6387    sk0   1200
80.249.224.55      80.249.227.65      UH          1        0    ng2
127.0.0.1          127.0.0.1          UH          0     1048    lo0
192.168.130.0/24   217.112.209.33     UGS         0      448 vlan11
Где я туплю?

О себе:

Код: Выделить всё

ng2: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> metric 0 mtu 1492
        inet 80.249.227.65 --> 80.249.224.55 netmask 0xffffffff
vlan11: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        ether 00:15:e9:af:e2:a4
        inet 217.112.209.33 netmask 0xfffffff8 broadcast 217.112.209.39
ng2 - pppoe смотрящий на прова
vlan11 - интерфейс, поднятый для маршрутизируемой подсети(белых адресов).

Код: Выделить всё

[root@hqgw2 /etc]# cat /etc/ipsec.conf
#SV
spdadd 10.4.0.0/16 192.168.130.0/24  any -P out ipsec esp/tunnel/217.112.209.33-80.249.231.163/require;
spdadd 192.168.130.0/24 10.4.0.0/16  any -P in ipsec esp/tunnel/80.249.231.163-217.112.209.33/require;
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov
Вернуться к началу
Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Вернуться к началу
Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:
Контактная информация пользователя buryanov

Re: IPSec, racoon

Непрочитанное сообщение buryanov » 2009-04-22 12:31:19

поменял настройки интерфейса, раньше использовал vlan11(интерфейс познятый для белых ip), а сейчас поднял на ng2(pppoe на прова)

Код: Выделить всё

12:24:39.218353 IP (tos 0x0, ttl 61, id 42322, offset 0, flags [none], proto ESP (50), length 584) mx1.telesens.ru > 65-227-249-80.pppoe.teleportsv.net: ESP(spi=0x0b3b9c9d,seq=0x63), length 564
12:24:39.797163 IP (tos 0x0, ttl 64, id 47574, offset 0, flags [none], proto ICMP (1), length 84) 65-227-249-80.pppoe.teleportsv.net > 192.168.130.252: ICMP echo request, id 42462, seq 93, length 64
12:24:40.240216 IP (tos 0x0, ttl 61, id 42326, offset 0, flags [none], proto ESP (50), length 584) mx1.telesens.ru > 65-227-249-80.pppoe.teleportsv.net: ESP(spi=0x0b3b9c9d,seq=0x64), length 564
12:24:40.798051 IP (tos 0x0, ttl 64, id 47576, offset 0, flags [none], proto ICMP (1), length 84) 65-227-249-80.pppoe.teleportsv.net > 192.168.130.252: ICMP echo request, id 42462, seq 94, length 64
получается, что пакеты не идут через ipsec, а идут просто на интерфейс
опять гдето туплю... :st:
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov
Вернуться к началу
Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:
Контактная информация пользователя buryanov

Re: IPSec, racoon

Непрочитанное сообщение buryanov » 2009-04-22 13:03:49

По статье, я должен добавлять маршрутизировать удалённую сеть на удалённый IP но чтото нето получается

Код: Выделить всё

route add -net 192.168.130.0/16 80.249.231.163
add net 192.168.130.0: gateway 80.249.231.163: Network is unreachable
80.249.231.163 - удалённы freebsd
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov
Вернуться к началу