IpSec, много сетей и интернет

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Aidaho
рядовой
Сообщения: 47
Зарегистрирован: 2008-11-19 13:13:29
Контактная информация:

IpSec, много сетей и интернет

Непрочитанное сообщение Aidaho » 2012-03-27 6:36:07

Добрый день, друзья-товарищи. Помогите нубу. :(

Есть 2 офиса, в каждом поднят сервер с FreeBSD + IpSec. Получается, что все сети конектятся к серверу по VPN и с него выходят в интернет. Выглядит это примерное так:

Код: Выделить всё

 
             Lan3     Internet
                |            |
Lan1 -----GW2 --- GW1 ---- Lan5
  |                         |              
Lan2                   Lan4
Схема чуть сдвинулась но Internet идет к GW1, Lan3 k GW2, a Lan4 k GW1

За каждым шлюзом есть еще по несколько сетей. Настраиваю, работают сети, я всех вижу, но в сетях за ГВ 2 нет интернета. :(

если делаю правила с двух сторон такое(на другой стороне соответсвенно айпишники меняются):

Код: Выделить всё

spdadd 192.168.60.0/23 0.0.0.0/0 any -P out ipsec esp/tunnel/81.17.174.198-109.238.165.226/require;
spdadd 0.0.0.0/0 192.168.60.0/23 any -P in ipsec esp/tunnel/192.168.100.1-81.17.174.198/require;
То начинает видится интернет, но пропадает локальная сетка (60.1), все кто сидит в 60-ой сети, могут гулять в другие сети, но 60.1 не видят и он никого из своей же сетки не видит. Какие правила нужно добавить, чтобы все работало? Уже неделю бьюсь без толку. :(

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Aidaho
рядовой
Сообщения: 47
Зарегистрирован: 2008-11-19 13:13:29
Контактная информация:

Re: IpSec, много сетей и интернет

Непрочитанное сообщение Aidaho » 2012-03-28 6:25:22

Не уж то никто не сталкивался с подобным случаем? (

sch
сержант
Сообщения: 282
Зарегистрирован: 2009-05-28 14:36:50
Откуда: Кишинев

Re: IpSec, много сетей и интернет

Непрочитанное сообщение sch » 2012-03-31 20:40:13

Как по мне, так описание сети и проблемы не достаточно понятное.
Насколько я понял, суть проблемы в том, что внешний интернет доступен для сетей GW2 только через GW1, который в свою очередь доступен только через IPSEC, и возникает проблема, как описать трафик на внешние адреса интернета и обратно, чтобы он попадал под правила шифрования IPSEC.

Далее возникают вопросы:
  • где находится сеть 60?
  • откуда взялась сеть 100?
  • почему правила фильтров IPSEC имеют разные внешние адреса шлюзов?
  • и какие адреса используются в других внутренних сетях?
  • какие маршруты и какой дефолтый шлюз на GW2, GW1?
Если советовать наугад, то можно попробовать выполнять NAT на GW2 для трафика из сетей LAN1, LAN2 для адресов назначения не в диапазонах LAN4, LAN5. Если конечно на GW2 есть доступ к интернету. Это тоже непонятно из описания проблемы.