IPSec Nat

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

IPSec Nat

Непрочитанное сообщение buryanov » 2009-04-29 16:47:31

Hi All
Собрал IPSec между Racoon и Cisco
на шлюзе поднят нат на gif1

Код: Выделить всё

gif1: flags=8151<UP,POINTOPOINT,RUNNING,PROMISC,MULTICAST> metric 0 mtu 1280
        tunnel inet 217.112.209.33 --> 8.5.5.2
        inet 172.25.1.8 --> 172.25.7.3 netmask 0xffff0000
${FwCMD} nat 117 config ip 172.25.31.128
${FwCMD} add nat 117 all from ${lan} to 172.20.6.0/24 out via gif1
${FwCMD} add nat 117 all from 172.20.6.0/24 to 172.25.1.8 in via gif1
со шлюза всё ходит

Код: Выделить всё

16:41:26.873247 IP 8.5.5.2 > 217.112.209.33: ESP(spi=0x011568e4,seq=0x22), length 100
16:41:26.873591 IP 217.112.209.33 > 8.5.5.2: ESP(spi=0x298b2797,seq=0x24), length 100
но, когда я иду с машины, которая за нат

Код: Выделить всё

16:39:27.359587 IP 217.112.209.33 > 80.5.5.2: IP 172.25.1.8.4686 > 172.20.6.2.80: S 646185615:646185615(0) win 64512 <mss 1460,nop,nop,sackOK> (ipip-proto-4)
Получается, что не применяется политика ipsec. Где собака зарыта?
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: IPSec Nat

Непрочитанное сообщение paradox » 2009-04-29 16:51:13

роут должен быть в гиф
и желательно дефолт
что бы все шифровалось
а иначе это тунель
по котому ничего не ходит

ipfw nat ище ничего никуда не перенаправляет

Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

Re: IPSec Nat

Непрочитанное сообщение buryanov » 2009-04-29 17:03:43

Код: Выделить всё

[root@hqgw1 /etc]# route change 172.20.6.2 -interface gif1
change host 172.20.6.2: gateway gif1
tcpdump -i ng2 host 80.5.5.2
16:58:53.855134 IP 217.112.209.33 > 80.5.5.2:  etherip 50
16:58:56.865760 IP 217.112.209.33 > 80.5.5.2:  etherip 50
16:59:02.901862 IP 217.112.209.33 > 80.5.5.2:  etherip 50

tcpdump -i gif1
16:58:53.855099 AF Unknown (18), length 52:
        0x0000:  4500 0030 c363 4000 7f06 de27 ac19 1f80  E..0.c@....'....
        0x0010:  ac14 e28e 045b 0050 9d05 15c8 0000 0000  .....[.P........
        0x0020:  7002 fc00 7569 0000 0204 05b4 0101 0402  p...ui..........
16:58:56.865727 AF Unknown (18), length 52:
        0x0000:  4500 0030 c44e 4000 7f06 dd3c ac19 1f80  E..0.N@....<....
        0x0010:  ac14 e28e 045b 0050 9d05 15c8 0000 0000  .....[.P........
        0x0020:  7002 fc00 7569 0000 0204 05b4 0101 0402  p...ui..........
16:59:02.901826 AF Unknown (18), length 52:
        0x0000:  4500 0030 c5ee 4000 7f06 db9c ac19 1f80  E..0..@.........
        0x0010:  ac14 e28e 045b 0050 9d05 15c8 0000 0000  .....[.P........
        0x0020:  7002 fc00 7569 0000 0204 05b4 0101 0402  p...ui..........
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov

Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

Re: IPSec Nat

Непрочитанное сообщение buryanov » 2009-04-29 20:47:53

пошел по другому, поднял natd и на него завернул трафик

Код: Выделить всё

${FwCMD} add divert 8669 ip from 10.4.0.0/16 to 172.20.6.0/24 out via gif1
${FwCMD} add divert 8669 ip from any to 172.25.1.8 in via gif1
но всёравно не то

Код: Выделить всё

[root@hqgw1 ~]# tcpdump -i gif1 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on gif1, link-type NULL (BSD loopback), capture size 96 bytes
20:29:48.264854 IP 172.20.6.2.80 > 172.25.1.8.2466: S 673603226:673603226(0) ack 2522486351 win 5840 <mss 1380,nop,nop,sackOK>
при этом вижу ESP пакеты на интерфейсе, но, судя по записи

Код: Выделить всё

172.20.6.2.80 > 172.25.1.8.2466
через gif1 идёт пакет в обратном направлении, опять непонятка

Код: Выделить всё

[root@hqgw1 /etc]# ipfw show|grep 172
04400        9        432 divert 8669 ip from 10.4.0.0/16 to 172.20.6.0/24 out via gif1
04500        0          0 divert 8669 ip from any to 172.25.1.8 in via gif1
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov

snorlov
подполковник
Сообщения: 3829
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: IPSec Nat

Непрочитанное сообщение snorlov » 2009-04-30 8:55:38

Честно говоря, я не понял, зачем поднимать nat на gif, может тогда проще шифровать соединение между Free и Cisco

Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

Re: IPSec Nat

Непрочитанное сообщение buryanov » 2009-04-30 9:29:33

snorlov писал(а):Честно говоря, я не понял, зачем поднимать nat на gif, может тогда проще шифровать соединение между Free и Cisco
У нас не Site-2-Site, удалённая система должна видить нас как 172.25.1.8, таковы правила.
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov

snorlov
подполковник
Сообщения: 3829
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: IPSec Nat

Непрочитанное сообщение snorlov » 2009-04-30 9:43:42

buryanov писал(а):
snorlov писал(а):Честно говоря, я не понял, зачем поднимать nat на gif, может тогда проще шифровать соединение между Free и Cisco
У нас не Site-2-Site, удалённая система должна видить нас как 172.25.1.8, таковы правила.
Ну так подумай, что ты делаешь, тебе не нужен тоннель, тебе надо шифровать все пакеты после Nat'а идущие к Сisco

Аватара пользователя
buryanov
ст. сержант
Сообщения: 311
Зарегистрирован: 2008-04-29 13:41:48
Откуда: Харьков
Контактная информация:

Re: IPSec Nat

Непрочитанное сообщение buryanov » 2009-04-30 9:55:32

Я пробовал поднять в транспортном режиме, но канал не поднимается
Дмитрий.
buryanov*ukr.net
icq# 118639660; skype: buryanov