IPsec +freeBSD7.3

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Spook1680
лейтенант
Сообщения: 990
Зарегистрирован: 2009-07-28 12:26:09

IPsec +freeBSD7.3

Непрочитанное сообщение Spook1680 » 2010-06-02 7:40:14

:oops: Подскажите пожалуйста, бъюсь уже вторую неделю, между двумя офисами нутель поднял.
но пинга нет.
Вопрос который я не понял?

Код: Выделить всё

ifconfig_gif0="inet 192.168.0.102 192.168.1.1 netmask 255.255.255.0"
гед 192.168.0.102 шлюз центрального офиса
192.168.1.1 филиала.
Обязательно что бы и там и там заканчивалось на 1. Ну на одинаковую цифру.
центральный офис
ДАмп из офиса в филиал

Код: Выделить всё

>tcpdump -i stge0 host 194.- сетка филиала белый ip
77. /ip белый цент офиса
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on stge0, link-type EN10MB (Ethernet), capture size 96 bytes
08:27:00.078148 IP 194. >77 : ESP(spi=0x037039da,seq=0x137), length 140
08:27:00.078190 IP 194. > 77: ESP(spi=0x037039da,seq=0x138), length 140
08:27:08.445085 IP 194. > 77: ESP(spi=0x037039da,seq=0x139), length 140
08:27:10.120524 IP 194. >77 : ESP(spi=0x037039da,seq=0x13a), length 140
08:27:10.120551 IP 194. > 77: ESP(spi=0x037039da,seq=0x13b), length 140
08:27:14.443596 IP 194. >77 : ESP(spi=0x037039da,seq=0x13c), length 140
08:27:20.121712 IP 194. > 77: ESP(spi=0x037039da,seq=0x13d), length 140
08:27:20.121825 IP 194. > 77: ESP(spi=0x037039da,seq=0x13e), length 140
08:27:20.444241 IP 194. > 77: ESP(spi=0x037039da,seq=0x13f), length 140
08:27:26.444931 IP 194. >77 : ESP(spi=0x037039da,seq=0x140), length 140
08:27:32.450902 IP 194. >77: ESP(spi=0x037039da,seq=0x141), length 140
08:27:38.446425 IP 194. > 77: ESP(spi=0x037039da,seq=0x142), length 140
08:27:44.447033 IP 194. > 77: ESP(spi=0x037039da,seq=0x143), length 140
08:27:50.447834 IP 194. >77 : ESP(spi=0x037039da,seq=0x144), length 140
08:27:56.453637 IP 194. > 77: ESP(spi=0x037039da,seq=0x145), length 140
08:28:00.084997 IP 194. > 77: ESP(spi=0x037039da,seq=0x146), length 140
08:28:00.085029 IP 194. > 77.: ESP(spi=0x037039da,seq=0x147), length 140
08:28:02.449255 IP 194. > 77.: ESP(spi=0x037039da,seq=0x148), length 140
08:28:08.449916 IP 194. > 77.: ESP(spi=0x037039da,seq=0x149), length 140
08:28:10.127134 IP 194. > 77.: ESP(spi=0x037039da,seq=0x14a), length 140
08:28:10.127159 IP 194. > 77.: ESP(spi=0x037039da,seq=0x14b), length 140
08:28:14.450630 IP 194. > 77.: ESP(spi=0x037039da,seq=0x14c), length 140
08:28:20.128107 IP 194. > 77.: ESP(spi=0x037039da,seq=0x14d), length 140
08:28:20.128138 IP 194. > 77.: ESP(spi=0x037039da,seq=0x14e), length 140
^C
24 packets captured
813 packets received by filter
0 packets dropped by kernel
Дамп из филиала в офис

Код: Выделить всё

 tcpdump -i fxp0 host 77.
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on fxp0, link-type EN10MB (Ethernet), capture size 96 bytes
12:36:11.930539 IP 194. > 77. P 580126931:580127127(196) ack 3454310331 win 8212
12:36:11.935711 IP 77. > 194. . ack 196 win 16116
12:36:12.934160 IP 194. > 77.: P 196:440(244) ack 1 win 8212
12:36:13.138492 IP 77. > 194.: . ack 440 win 16425
12:36:13.933497 IP 194. > 77.: P 440:668(228) ack 1 win 8212
12:36:14.138597 IP 77. > 194.: . ack 668 win 16368
12:36:14.933439 IP 194. > 77.108.98.211.51970: P 668:896(228) ack 1 win 8212
12:36:15.147825 IP 77. > 194.: . ack 896 win 16311
12:36:15.744462 IP 194. > 77.: ESP(spi=0x037039da,seq=0x195), length 140
12:36:15.744540 IP 194. > 77.: ESP(spi=0x037039da,seq=0x196), length 140
12:36:15.933581 IP 194. > 77.: P 896:1124(228) ack 1 win 8212
12:36:15.934999 IP 194. > 77.: P 1124:1352(228) ack 1 win 8212
12:36:15.940126 IP 77. > 194.: . ack 1352 win 16197
12:36:16.934536 IP 194. > 77.: P 1352:1676(324) ack 1 win 8212
12:36:17.054082 IP 194. > 77.: ESP(spi=0x037039da,seq=0x197), length 140
12:36:17.139727 IP 77. > 194.: . ack 1676 win 16116
^C
16 packets captured
118 packets received by filter
0 packets dropped by kernel

Получается что трафик в одну сторону шифруется а в другую нет?
Так что ли!!!??
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35411
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: IPsec +freeBSD7.3

Непрочитанное сообщение Alex Keda » 2010-10-03 18:48:23

на основании чего вы так решили?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Spook1680
лейтенант
Сообщения: 990
Зарегистрирован: 2009-07-28 12:26:09

Re: IPsec +freeBSD7.3

Непрочитанное сообщение Spook1680 » 2010-10-06 18:19:13

Alex Keda писал(а):на основании чего вы так решили?
Я если честно этот раздел так и не осилил.
Сделал может быть не самый лучше вариант но на vpnd, он похоже не такой шустрый и надёжный но работает
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

snorlov
подполковник
Сообщения: 3914
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: IPsec +freeBSD7.3

Непрочитанное сообщение snorlov » 2010-10-07 10:11:25

Spook1680 писал(а):
Alex Keda писал(а):на основании чего вы так решили?
Я если честно этот раздел так и не осилил.
Сделал может быть не самый лучше вариант но на vpnd, он похоже не такой шустрый и надёжный но работает
Вы точно подняли тоннель? Я бы вам предложил сначала настроить тоннель без шифрования и лишь затем поднять ipsec и racoon, файер не забыть подрихтовать...