маршрутизация между двумя freebsd7.3 через gif0

[anotherone]

доброго времени суток
коллеги, можете подсказать такую вещь
хочу настроить впн по IPSEC
но для начала пытаюсь сделать чтобы пинговались компы из разных сетей
схема такая: http://saveimg.ru/show-image.php?id=6d2 ... 3b634ef878
пытаюсь сейчас сделать чтобы трафик ходил из одной сети в другую с клиентов
т.е. gif интерфейс сделал, сервера друг друга видят
маршрут на сервера добавил, чтобы из одной сети в другую трафик ходил, но что то не пашет
я видимо что то упустил из виду
подскажите, пожалуйста

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[snorlov]

rc.conf на обозрение и как вы прописали роутинг, да и еще firewall как настроен...

[anotherone]

похоже проблема в том что firewall я вообще не ставил, а натить трафик как раз он должен?

[snorlov]

похоже проблема в том что firewall я вообще не ставил, а натить трафик как раз он должен?

Надо инкапсулировать пакеты, а не натить....

[anotherone]

угу
но это делается с фаерволом же?
без установки оного не выйдет же?
т.е. там нет такого как в винде RRAS?

[snorlov]

rc.conf покажи покажи

[snorlov]

В rc.conf на 172.16.1.2 должно быть

Код: Выделить всё

# создаем тоннель
cloned_interfaces="gif0"
# инициализируем тоннель
ifconfig_gif0="inet 172.16.1.2 172.16.1.1 netmask 0xffffffff"
# настраиваем маршрутизацию
static_routes="RemoteOffice"
# все пакеты для сети 192.168.31.0 кидать в тоннель
route_RemoteOffice="192.168.31.0/24 -interface gif0"

В rc.conf на 172.16.1.1 должно быть

Код: Выделить всё

# создаем тоннель
cloned_interfaces="gif0"
# инициализируем тоннель
ifconfig_gif0="inet 172.16.1.1 172.16.1.2 netmask 0xffffffff"
# настраиваем маршрутизацию
static_routes="RemoteOffice"
# все пакеты для сети 192.168.32.0 кидать в тоннель
route_RemoteOffice="192.168.32.0/24 -interface gif0"

Если тоннель лежит через инет, то включить шифрование тоннеля посредством Ipsec и ipsec-tools(racoon)
Если есть файер то
1. разрешить хождение пакетов локалок друг к другу
2. разрешить хождение пакетов через тоннель(интерфейс gif0)

[anotherone]

абсолютно верно
так и прописано
серваки друг друга пингуют
но клиенты из разных сетей друг друга не видят
вот конфиг:

Код: Выделить всё

# cat /etc/rc.conf
hostname="gate1.comp.local"
ifconfig_em1="inet 172.16.1.1  netmask 255.255.255.0"
ifconfig_em0="inet 192.168.31.2  netmask 255.255.255.0"
keymap="ru.koi8-r"
linux_enable="YES"
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="172.16.1.1 172.16.1.2"
ifconfig_gif0="inet 192.168.31.2 192.168.32.1 netmask 0xffffffff"
static_routes="vpn"
route_vpn="192.168.32.0/24 -interface gif0"
sendmail_enable="NO"
sshd_enable="YES"

и всетаки вопрос
фаервол нужен для маршрутизации пакетов или фря умеет сама инкапсулировать?

[snorlov]

файер не нужен, честно говоря а какая у вас ос

Код: Выделить всё

uname -a

b приведите

Код: Выделить всё

ifconfig -a

[anotherone]

Код: Выделить всё

ifconfig

em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:07:e9:0f:b9:65
        inet 192.168.31.2 netmask 0xffffff00 broadcast 192.168.31.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:07:e9:0f:b8:92
        inet 172.16.1.1 netmask 0xffffff00 broadcast 172.16.1.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x5
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280
        tunnel inet 172.16.1.1 --> 172.16.1.2
        inet 192.168.31.2 --> 192.168.32.1 netmask 0xffffffff
        options=1<ACCEPT_REV_ETHIP_VER>

uname -a
FreeBSD gate1.comp.local 7.3-RC1 FreeBSD 7.3-RC1 #0: Thu Jan 19 11:55:35 MSK 2012     root@gate1:/usr/obj/usr/src/sys/main_kernell_20120119  i386

[anotherone]

Код: Выделить всё

# ifconfig
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
        ether 00:1b:21:88:05:ce
        inet 172.16.1.2 netmask 0xffffff00 broadcast 172.16.1.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
em2: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=19b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4>
        ether 00:1b:21:88:3f:f1
        inet 192.168.32.1 netmask 0xffffff00 broadcast 192.168.32.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
rl0: flags=8802<BROADCAST,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:00:21:25:47:5a
        media: Ethernet autoselect
        status: no carrier
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x6
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280
        tunnel inet 172.16.1.2 --> 172.16.1.1
        inet 192.168.32.1 --> 192.168.31.2 netmask 0xffffffff
        options=1<ACCEPT_REV_ETHIP_VER>
gate2# uname -a
FreeBSD gate2.comp.local 7.3-RC1 FreeBSD 7.3-RC1 #0: Thu Jan 19 12:54:20 MSK 2012     root@gate2:/usr/obj/usr/src/sys/main_kernell_20120119  i386

[anotherone]

а блина
параметр -а забыл воткнуть
переделать или сойдет?

[snorlov]

а блина
параметр -а забыл воткнуть
переделать или сойдет?

сойдет, поменяйте маску

Код: Выделить всё

ifconfig_gif0="inet 192.168.31.2 192.168.32.1 netmask 0xffffff00"

[anotherone]

поменял
так и не видят друг дружку

[snorlov]

А как не видят то? Вы для начала попытайтесь с серверо пинговать внутренние карты серверов, т.е.
на 172.16.1.2 дайте ping 192.168.31.2 и наоборот, эффект будет или нет...

[anotherone]

шлюзы друг друга видят и со 172.16... и со 192.168.
и по туннелю трафик проходит
от клиента 192.168.32.55 в сеть(к шлюзу) 192.168.31.2 трафик не идет, также как и к 192.168.31.55 соответственно и с другого клиента к шлюзу 192.168.32.1...
http://saveimg.ru/show-image.php?id=79c ... f2a271ca88

[snorlov]

тогда надо смотреть настройки клиентов локалок , если это винда, то там ipconfig /all и route print

[tynix]

Код: Выделить всё

gateway_enable="YES"

в rc.conf есть?

[anotherone]

фух!
спасибо
я уж думал неразгадаем ребус
с одного клиента 192.168.31.55 запинговалось
с другого пока нет

сча пока сверяю настройки, может уже успел что то накасипорить

[tynix]

traceroute -n в помощь

[anotherone]

проблема была в zonealarm %)
даж при отключеном пинги непроходят

[anotherone]

народ, пожскажите такую вещь, пожалуйста
сейчас работает 1 линк на фре вот так: http://saveimg.ru/show-image.php?id=6d2 ... 3b634ef878
есть идея сделать оба линка через одну фрю так:
http://imagepost.ru/?v=f3.drawing.jpg

собственно вопрос в том что создавать gif1 получается все по такому же аналогу?
а как быть с секретным ключем в ракуне?
прост не совсем понятно должно ли оно так работать

[snorlov]

Не понятно зачем городить еще один сегмент 172.16.5.*, неужели нельзя иметь еще одну фрю в 172.16.1.*

[anotherone]

да, впринципе можно и в том же сегменте, например, 172.16.1.4 в сети 192.168.34.0/24 прост не понятно как оно будет подключаться сетевая же на шлюзе 172.168.1.1 будет другая например 172.168.1.3
и как это все в ракуне делать не понятно

[snorlov]

В одном сегменте лучше, так не запутаешься в маршрутизации и тоннелях, т.е. у каждой фри будет по 2-а тоннеля, да и нагрузка будет лежать на тех компах, которые задействованы, по поводу парольной фразы, она ведь привязывается к конкретному ip адресу на другом конце тоннеля, т.е. на 172.168.1.1 появится 2-е строчки в одной будет фигурировать 172.168.1.2, в другой 172.168.1.3, она ведь нужна только на момент установки инициализации тоннелей...