VPN через IPSec - как попасть на 80 порт

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Sweeper_jr
ефрейтор
Сообщения: 61
Зарегистрирован: 2006-01-19 12:48:12
Контактная информация:

VPN через IPSec - как попасть на 80 порт

Непрочитанное сообщение Sweeper_jr » 2006-02-06 19:11:10

Настроил VPN через IPSec. Соеденил так сказать две сети. Вообщем пинги из одной сети в другую бегают без проблем. Но в одной сети стоит веб-сервер.
Как сделать так что бы из одной сети в другую через VPN по http ходить на веб-сервак?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-02-06 19:23:36

а в чём проблема-то?
http://ip_sevaka/
должно работать...
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Sweeper_jr
ефрейтор
Сообщения: 61
Зарегистрирован: 2006-01-19 12:48:12
Контактная информация:

Непрочитанное сообщение Sweeper_jr » 2006-02-06 19:59:29

lissyara писал(а):а в чём проблема-то?
http://ip_sevaka/
должно работать...
да, так и делаю, но нехочет...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-02-06 20:24:01

телнетом на 80-й порт пробовал? чё говорит?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Sweeper_jr
ефрейтор
Сообщения: 61
Зарегистрирован: 2006-01-19 12:48:12
Контактная информация:

Непрочитанное сообщение Sweeper_jr » 2006-02-07 11:45:43

Телнетом вчера не смог, порты были закрыты.
вот сегодня например пинги то ходят то не ходят, перегрузил оба шлюза, вроде пинги опять нормально пошли (кроме одного хоста, не пойму почему). Как то все нестабильно. Конечно есть разница между моим sockstat'ом и твоим. Может здесь проблема.
У тебя

Код: Выделить всё

root     racoon   10396    6 udp4   192.168.20.254:500     *:*
root     racoon   10396    7 udp4   127.0.0.1:500         *:*
root     racoon   10396    8 udp4   222.222.222.222:500   *:*
root     racoon   10396    3 dgram  syslogd[167]:3
А у меня

Код: Выделить всё

root     racoon     239    6 udp4   194.183.167.198:500   *:*                  
root     racoon     239    3 dgram  syslogd[134]:3                             
194.183.167.198 это внешний IP.
А вот telnet на 80 порт я попробовал. С шлюза на шлюз пробовал (там Апачи крутятся) - ничего, тишина. Пишит connected to host.com. Escape character is '^]'. И все... Также пробовал 80 порт на внутреннем инерфейсе - Permission denied (возможно файервол).
Беспокоит меня отсутствие сокета на 127.0.0.1:500 и на INT_IP:500 ...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-02-07 12:03:57

забавно... посмотрел у ся - тоже стал один интерфейс слушать...

Код: Выделить всё

root     racoon     914    6 udp4   222.222.222.222:500   *:*
root     racoon     914    3 dgram  syslogd[636]:3
Странно. Я точно помню, что все слушал...

Тем не менее - пробовал открыть страницу - открывается. http на том же сервере, что и racoon в удалённо сети...
вот сегодня например пинги то ходят то не ходят, перегрузил оба шлюза, вроде пинги опять нормально пошли (кроме одного хоста, не пойму почему). Как то все нестабильно.
А напрямую в это время стабильно ходили? :)
У меня пока тока один глюк - из моей сети в ту vpn не всегда сразу взлетает, но оттуда ко мне - со свистом всегда....
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-02-07 12:08:46

с другой стороны

Код: Выделить всё

listen
{
        #isakmp ::1 [7000];
        isakmp 222.222.222.222 [500];
        #admin [7002];          # administrative's port by kmpstat.
        #strict_address;        # required all addresses must be bound.
}
всё же жёско задано....
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Sweeper_jr
ефрейтор
Сообщения: 61
Зарегистрирован: 2006-01-19 12:48:12
Контактная информация:

Непрочитанное сообщение Sweeper_jr » 2006-02-07 12:39:30

Ощущение у меня такое что вовсем виноват файер. Что то я не наблюдаю правила которое разрешает через внутренний интерфейс порт 80. А в браузере при попытке зайти на http://ip_servaka/ появляется стандартная Сквидовская страница с Error и сообщением Connection Faild, sytem returned: (13) Permission denied.
Или может я не прав?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-02-07 13:19:15

я ж в статье приводил правила...

и они должны быть до fwd на сквид....
чё-то там типа

Код: Выделить всё

allow all from any to any via tun0
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Sweeper_jr
ефрейтор
Сообщения: 61
Зарегистрирован: 2006-01-19 12:48:12
Контактная информация:

Непрочитанное сообщение Sweeper_jr » 2006-02-07 13:51:40

Да, так и есть. Есть правила, из твоей статьи, типа:

Код: Выделить всё

allow udp from 222.222.222.222 to 111.111.111.111 500
allow udp from 111.111.111.111 to 222.222.222.222 500
allow esp from 222.222.222.222 to 111.111.111.111
allow esp from 111.111.111.111 to 222.222.222.222
и стоят они перед fwd и divert и так далее, в самом начале.
может сделать такой
allow all from any to any via gif0 ?
gif0 - интерфейс тунеля.

Аватара пользователя
Sweeper_jr
ефрейтор
Сообщения: 61
Зарегистрирован: 2006-01-19 12:48:12
Контактная информация:

Непрочитанное сообщение Sweeper_jr » 2006-02-07 13:57:58

Прикинь, добовил это правило
ipfw 150 add allow all from any to any via gif0
впереди всех правил и все нормально, работает :P :P
Спасибо!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-02-07 15:39:07

Это мой косяк - в статье не написал :)))

Ща исправлю
Убей их всех! Бог потом рассортирует...