Статья по IPSEC

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
zik
мл. сержант
Сообщения: 134
Зарегистрирован: 2007-05-24 21:14:01
Откуда: Одесса
Контактная информация:

Статья по IPSEC

Непрочитанное сообщение zik » 2007-05-24 21:54:29

Не бейте за детский вопрос :oops:
Ситуация такая: настроил тунель IPSEC , как описывается тут http://www.lissyara.su/?id=1328 . Интересует, как прикрутить к нему НАТ , чтоб каждая сеть ходила через свой шлюз - есть ли тут какие-то подводные камни с которыми придёться столкнуться ?

З.Ы. Настроить по статье не получилось, вот описание проблемы:
spdadd 217.15.62.49/32 217.15.62.200/32 ipencap -P out ipsec
esp/tunnel/217.15.62.49-217.15.62.200/require;
spdadd 217.15.62.200/32 217.15.62.49/32 ipencap -P in ipsec
esp/tunnel/217.15.62.200-217.15.62.49/require;

Вот этом конфиге пока в spadd не указал удреса сетей нихуа не зароботало, вот по какому принципу заработало:
spdadd 192.168.160.0/24 192.168.170.0/24 any -P out ipsec
esp/tunnel/217.15.62.49-217.15.62.200/require;
spdadd 192.168.170.0/24 192.168.160.0/24 any -P in ipsec
esp/tunnel/217.15.62.200-217.15.62.49/require;

Я незнаю - это баг или я просто плохо понял ...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
zik
мл. сержант
Сообщения: 134
Зарегистрирован: 2007-05-24 21:14:01
Откуда: Одесса
Контактная информация:

Непрочитанное сообщение zik » 2007-05-24 21:56:38

И ещё вот это:
Почему после установки racoon и ipsec стало появляться при загрузке это собщение: "Starting divert daemons:Are you sure? [yn]" и пока не выберешь да или нет система грузиться не хочет ...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-05-24 22:02:34

zik писал(а):И ещё вот это:
Почему после установки racoon и ipsec стало появляться при загрузке это собщение: "Starting divert daemons:Are you sure? [yn]" и пока не выберешь да или нет система грузиться не хочет ...
фигасе....
надо смотреть конфиг запуска natd - там наверняка объяснено зачем так....
Убей их всех! Бог потом рассортирует...

Аватара пользователя
zik
мл. сержант
Сообщения: 134
Зарегистрирован: 2007-05-24 21:14:01
Откуда: Одесса
Контактная информация:

Непрочитанное сообщение zik » 2007-05-24 22:27:20

Так когда оно стало появляться я ещё не включал нат ...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-05-24 22:52:32

Код: Выделить всё

acer# pwd
/etc
acer# find . -exec grep -l "Are you sure" {} \;
acer#
думается - это не система...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
alex3
лейтенант
Сообщения: 872
Зарегистрирован: 2006-11-20 16:47:56
Откуда: Переславль
Контактная информация:

Непрочитанное сообщение alex3 » 2007-05-25 9:37:44

а в ядре опция IPDIVERT есть?
Если ipfw можно считать речью обычного человека, то pf - речь политика. За каждой ошибкой -ядерный песец.

Аватара пользователя
zik
мл. сержант
Сообщения: 134
Зарегистрирован: 2007-05-24 21:14:01
Откуда: Одесса
Контактная информация:

Непрочитанное сообщение zik » 2007-05-26 10:31:50

а в ядре опция IPDIVERT есть?
Нет, нету.

Это связано с правилами фаервола. Когда обнуляешь правила - то всё работает ! С чем это связано и как это исправить ?

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-05-26 14:10:19

Всё с тем разобрался - была обычная глупость, надо было у меня было так ipfw flush, а надо было так ipfw -f flush. Поэтому оно и выводило. Ещё такой вопрос: а как правильно настроить нат, когда на каждой машине имеется 3 сетевых:
1-ая смотрит в сеть
2-ая подключенна к первому провайдеру и по ней создаётся туннель между офисами
3-ая подключенная к второму провайдеру и через неё по нату ходят в нет .

Заранее спасибо !

Аватара пользователя
zik
мл. сержант
Сообщения: 134
Зарегистрирован: 2007-05-24 21:14:01
Откуда: Одесса
Контактная информация:

Непрочитанное сообщение zik » 2007-05-29 16:56:33

Ну что никто незнает как НАТ реализовать ? А то так я сделал у фирмы интернет перестал работать :? . Подскажите кто знает - буду очень благодарен !
З.Ы. Предыдущие сообщение было моё, если кто не понял :lol:

pimlab
прапорщик
Сообщения: 484
Зарегистрирован: 2007-10-09 11:31:03

Re: Статья по IPSEC

Непрочитанное сообщение pimlab » 2007-11-23 11:11:26

Просветите пожалуста в чем разница использования в этом правиле ipencap или any, чтобы уяснить для себя что лучше ?

spdadd 10.0.0.0/8 192.168.1.0/24 any -P out ipsec
esp/tunnel/A.A.A.A-B.B.B.B/require;

spdadd 192.168.1.0/24 10.0.0.0/8 any -P in ipsec
esp/tunnel/B.B.B.B-A.A.A.A/require;

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Статья по IPSEC

Непрочитанное сообщение Alex Keda » 2007-11-23 11:30:47

непонял...
Убей их всех! Бог потом рассортирует...

pimlab
прапорщик
Сообщения: 484
Зарегистрирован: 2007-10-09 11:31:03

Re: Статья по IPSEC

Непрочитанное сообщение pimlab » 2007-11-23 11:50:50

pimlab писал(а):Просветите пожалуста в чем разница использования в этом правиле ipencap или any, чтобы уяснить для себя что лучше ?

Код: Выделить всё

spdadd 10.0.0.0/8 192.168.1.0/24 any -P out ipsec
esp/tunnel/A.A.A.A-B.B.B.B/require;

spdadd 192.168.1.0/24 10.0.0.0/8 any -P in ipsec
esp/tunnel/B.B.B.B-A.A.A.A/require;

Просто ipencap что за протокол , что он делает ?
В handbook так :

Код: Выделить всё

 spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec
  esp/tunnel/A.B.C.D-W.X.Y.Z/require;
spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec
  esp/tunnel/W.X.Y.Z-A.B.C.D/require;
У самого сечас тоже any стоит, но что если поменять на ipencap ?