Статья по IPSEC
Модератор: terminus
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
- zik
- мл. сержант
- Сообщения: 134
- Зарегистрирован: 2007-05-24 21:14:01
- Откуда: Одесса
- Контактная информация:
Статья по IPSEC
Не бейте за детский вопрос
Ситуация такая: настроил тунель IPSEC , как описывается тут http://www.lissyara.su/?id=1328 . Интересует, как прикрутить к нему НАТ , чтоб каждая сеть ходила через свой шлюз - есть ли тут какие-то подводные камни с которыми придёться столкнуться ?
З.Ы. Настроить по статье не получилось, вот описание проблемы:
spdadd 217.15.62.49/32 217.15.62.200/32 ipencap -P out ipsec
esp/tunnel/217.15.62.49-217.15.62.200/require;
spdadd 217.15.62.200/32 217.15.62.49/32 ipencap -P in ipsec
esp/tunnel/217.15.62.200-217.15.62.49/require;
Вот этом конфиге пока в spadd не указал удреса сетей нихуа не зароботало, вот по какому принципу заработало:
spdadd 192.168.160.0/24 192.168.170.0/24 any -P out ipsec
esp/tunnel/217.15.62.49-217.15.62.200/require;
spdadd 192.168.170.0/24 192.168.160.0/24 any -P in ipsec
esp/tunnel/217.15.62.200-217.15.62.49/require;
Я незнаю - это баг или я просто плохо понял ...
Ситуация такая: настроил тунель IPSEC , как описывается тут http://www.lissyara.su/?id=1328 . Интересует, как прикрутить к нему НАТ , чтоб каждая сеть ходила через свой шлюз - есть ли тут какие-то подводные камни с которыми придёться столкнуться ?
З.Ы. Настроить по статье не получилось, вот описание проблемы:
spdadd 217.15.62.49/32 217.15.62.200/32 ipencap -P out ipsec
esp/tunnel/217.15.62.49-217.15.62.200/require;
spdadd 217.15.62.200/32 217.15.62.49/32 ipencap -P in ipsec
esp/tunnel/217.15.62.200-217.15.62.49/require;
Вот этом конфиге пока в spadd не указал удреса сетей нихуа не зароботало, вот по какому принципу заработало:
spdadd 192.168.160.0/24 192.168.170.0/24 any -P out ipsec
esp/tunnel/217.15.62.49-217.15.62.200/require;
spdadd 192.168.170.0/24 192.168.160.0/24 any -P in ipsec
esp/tunnel/217.15.62.200-217.15.62.49/require;
Я незнаю - это баг или я просто плохо понял ...
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
- zik
- мл. сержант
- Сообщения: 134
- Зарегистрирован: 2007-05-24 21:14:01
- Откуда: Одесса
- Контактная информация:
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
фигасе....zik писал(а):И ещё вот это:
Почему после установки racoon и ipsec стало появляться при загрузке это собщение: "Starting divert daemons:Are you sure? [yn]" и пока не выберешь да или нет система грузиться не хочет ...
надо смотреть конфиг запуска natd - там наверняка объяснено зачем так....
Убей их всех! Бог потом рассортирует...
- zik
- мл. сержант
- Сообщения: 134
- Зарегистрирован: 2007-05-24 21:14:01
- Откуда: Одесса
- Контактная информация:
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Код: Выделить всё
acer# pwd
/etc
acer# find . -exec grep -l "Are you sure" {} \;
acer#
Убей их всех! Бог потом рассортирует...
- alex3
- лейтенант
- Сообщения: 872
- Зарегистрирован: 2006-11-20 16:47:56
- Откуда: Переславль
- Контактная информация:
- zik
- мл. сержант
- Сообщения: 134
- Зарегистрирован: 2007-05-24 21:14:01
- Откуда: Одесса
- Контактная информация:
-
- проходил мимо
Всё с тем разобрался - была обычная глупость, надо было у меня было так ipfw flush, а надо было так ipfw -f flush. Поэтому оно и выводило. Ещё такой вопрос: а как правильно настроить нат, когда на каждой машине имеется 3 сетевых:
1-ая смотрит в сеть
2-ая подключенна к первому провайдеру и по ней создаётся туннель между офисами
3-ая подключенная к второму провайдеру и через неё по нату ходят в нет .
Заранее спасибо !
1-ая смотрит в сеть
2-ая подключенна к первому провайдеру и по ней создаётся туннель между офисами
3-ая подключенная к второму провайдеру и через неё по нату ходят в нет .
Заранее спасибо !
- zik
- мл. сержант
- Сообщения: 134
- Зарегистрирован: 2007-05-24 21:14:01
- Откуда: Одесса
- Контактная информация:
-
- прапорщик
- Сообщения: 484
- Зарегистрирован: 2007-10-09 11:31:03
Re: Статья по IPSEC
Просветите пожалуста в чем разница использования в этом правиле ipencap или any, чтобы уяснить для себя что лучше ?
spdadd 10.0.0.0/8 192.168.1.0/24 any -P out ipsec
esp/tunnel/A.A.A.A-B.B.B.B/require;
spdadd 192.168.1.0/24 10.0.0.0/8 any -P in ipsec
esp/tunnel/B.B.B.B-A.A.A.A/require;
spdadd 10.0.0.0/8 192.168.1.0/24 any -P out ipsec
esp/tunnel/A.A.A.A-B.B.B.B/require;
spdadd 192.168.1.0/24 10.0.0.0/8 any -P in ipsec
esp/tunnel/B.B.B.B-A.A.A.A/require;
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
- прапорщик
- Сообщения: 484
- Зарегистрирован: 2007-10-09 11:31:03
Re: Статья по IPSEC
pimlab писал(а):Просветите пожалуста в чем разница использования в этом правиле ipencap или any, чтобы уяснить для себя что лучше ?
Код: Выделить всё
spdadd 10.0.0.0/8 192.168.1.0/24 any -P out ipsec esp/tunnel/A.A.A.A-B.B.B.B/require; spdadd 192.168.1.0/24 10.0.0.0/8 any -P in ipsec esp/tunnel/B.B.B.B-A.A.A.A/require;
Просто ipencap что за протокол , что он делает ?
В handbook так :
Код: Выделить всё
spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec
esp/tunnel/A.B.C.D-W.X.Y.Z/require;
spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec
esp/tunnel/W.X.Y.Z-A.B.C.D/require;