VPN через IPSec - как попасть на 80 порт

[Sweeper_jr]

Настроил VPN через IPSec. Соеденил так сказать две сети. Вообщем пинги из одной сети в другую бегают без проблем. Но в одной сети стоит веб-сервер.
Как сделать так что бы из одной сети в другую через VPN по http ходить на веб-сервак?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Alex Keda]

а в чём проблема-то?
http://ip_sevaka/
должно работать...

[Sweeper_jr]

а в чём проблема-то?
http://ip_sevaka/
должно работать...

да, так и делаю, но нехочет...

[Alex Keda]

телнетом на 80-й порт пробовал? чё говорит?

[Sweeper_jr]

Телнетом вчера не смог, порты были закрыты.
вот сегодня например пинги то ходят то не ходят, перегрузил оба шлюза, вроде пинги опять нормально пошли (кроме одного хоста, не пойму почему). Как то все нестабильно. Конечно есть разница между моим sockstat'ом и твоим. Может здесь проблема.
У тебя

Код: Выделить всё

root     racoon   10396    6 udp4   192.168.20.254:500     *:*
root     racoon   10396    7 udp4   127.0.0.1:500         *:*
root     racoon   10396    8 udp4   222.222.222.222:500   *:*
root     racoon   10396    3 dgram  syslogd[167]:3

А у меня

Код: Выделить всё

root     racoon     239    6 udp4   194.183.167.198:500   *:*                  
root     racoon     239    3 dgram  syslogd[134]:3                             

194.183.167.198 это внешний IP.
А вот telnet на 80 порт я попробовал. С шлюза на шлюз пробовал (там Апачи крутятся) - ничего, тишина. Пишит connected to host.com. Escape character is '^]'. И все... Также пробовал 80 порт на внутреннем инерфейсе - Permission denied (возможно файервол).
Беспокоит меня отсутствие сокета на 127.0.0.1:500 и на INT_IP:500 ...

[Alex Keda]

забавно... посмотрел у ся - тоже стал один интерфейс слушать...

Код: Выделить всё

root     racoon     914    6 udp4   222.222.222.222:500   *:*
root     racoon     914    3 dgram  syslogd[636]:3

Странно. Я точно помню, что все слушал...

Тем не менее - пробовал открыть страницу - открывается. http на том же сервере, что и racoon в удалённо сети...

вот сегодня например пинги то ходят то не ходят, перегрузил оба шлюза, вроде пинги опять нормально пошли (кроме одного хоста, не пойму почему). Как то все нестабильно.

А напрямую в это время стабильно ходили?
У меня пока тока один глюк - из моей сети в ту vpn не всегда сразу взлетает, но оттуда ко мне - со свистом всегда....

[Alex Keda]

с другой стороны

Код: Выделить всё

listen
{
        #isakmp ::1 [7000];
        isakmp 222.222.222.222 [500];
        #admin [7002];          # administrative's port by kmpstat.
        #strict_address;        # required all addresses must be bound.
}

всё же жёско задано....

[Sweeper_jr]

Ощущение у меня такое что вовсем виноват файер. Что то я не наблюдаю правила которое разрешает через внутренний интерфейс порт 80. А в браузере при попытке зайти на http://ip_servaka/ появляется стандартная Сквидовская страница с Error и сообщением Connection Faild, sytem returned: (13) Permission denied.
Или может я не прав?

[Alex Keda]

я ж в статье приводил правила...

и они должны быть до fwd на сквид....
чё-то там типа

Код: Выделить всё

allow all from any to any via tun0

[Sweeper_jr]

Да, так и есть. Есть правила, из твоей статьи, типа:

Код: Выделить всё

allow udp from 222.222.222.222 to 111.111.111.111 500
allow udp from 111.111.111.111 to 222.222.222.222 500
allow esp from 222.222.222.222 to 111.111.111.111
allow esp from 111.111.111.111 to 222.222.222.222

и стоят они перед fwd и divert и так далее, в самом начале.
может сделать такой
allow all from any to any via gif0 ?
gif0 - интерфейс тунеля.

[Sweeper_jr]

Прикинь, добовил это правило
ipfw 150 add allow all from any to any via gif0
впереди всех правил и все нормально, работает
Спасибо!

[Alex Keda]

Это мой косяк - в статье не написал ))

Ща исправлю