Host-to-host & Network-to-Network IPSEC (isakmpd)

Вопросы настройки и работы с этой ОС.
Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
enno
проходил мимо
Сообщения: 8
Зарегистрирован: 2009-03-19 10:49:49
Откуда: ЧЛБ

Host-to-host & Network-to-Network IPSEC (isakmpd)

Непрочитанное сообщение enno » 2009-07-16 15:28:29

Добрый день господа..

речь пойдет о isakmpd и его некорректной работе.

Есть два шлюза А и B

к каждому щлюзу подключены по 2 провайдера:
- публичный (unlim) - доступность канала 94-96%
- единый_корпоративный с гарантированным QoS - доступность канала 99%

Столкнулся с проблемой одновременной работы 2х ipsec соединений м/д двумя шлюзами по разным каналам.
Один из 2х ipsec'ов отваливается постоянно. причем это может быть как на публичном канале (что простительно ему за его доступность),
но и может быть на канале с гарантированным QoS - доступностью 99%. Закономерность в падении пока не могу установить.

Код: Выделить всё

A.1. На шлюзе A подымается ipsec (в режиме Network-to-Network) до шлюза B по - публичному каналу (сети 172.16.0.0/24 и 192.168.0.0./24)и 
A.2  На шлюзе A подымается ipsec (в режиме Host-to-Host) до шлюза B по - корпоративному каналу с гарантированным QoS (IP: 172.16.0.100 и 192.168.0.100)
По корпоративному каналу гоняется VoIP голос между VoIPшлюзами с указанными IPадресами (IP: 172.16.0.100 и 192.168.0.100), пускать VoIP голос по публичным каналам не совсем айс. Появляются задержки, потери и т.д.

Аналогичная конфигурация со стороны шлюза B

Код: Выделить всё

B.1. На шлюзе B подымается ipsec (в режиме Network-to-Network) до шлюза A по - публичному каналу (сети 192.168.0.0./24 и 172.16.0.0/24) и 
B.2  На шлюзе B подымается ipsec (в режиме Host-to-Host) до шлюза A по - корпоративному каналу с гарантированным QoS (IP: 192.168.0.100 и 172.16.0.100)
IPsec подымается, но иногда начинаются потери на канале публичном и связь рвется одновременно и на "корпоративном канале".
НИже приложу нконфиг isakmpd.conf для пониманию сути вопроса.


Хост A - isakmpd.conf

Код: Выделить всё

[Phase 1]
111.111.111.111=	ISAKMP-peer-B
10.10.111.2=		ISAKMP-peer-B-corp

[Phase 2]
Connections=	 	IPsec-VoIPA-VoIPB, IPsec-A-B 



[ISAKMP-peer-B]
Phase=                  1
Transport=              udp
Address=            	111.111.111.111
Configuration=          Default-main-mode
Authentication=         paSSword


[ISAKMP-peer-B-corp]                           
Phase=                  1                 
Transport=              udp               
Local-address=		172.16.0.1	
Address=             	10.10.222.2
Configuration=          Default-main-mode 
Authentication=         paSSword          
ID=                     corp-A-ID
Remote-ID=              corp-B-ID


[corp-A-ID]
ID-type=                FQDN
Name=                   corp-A.local

[corp-B-ID]
ID-type=                FQDN
Name=                   corp-B.local




[IPsec-A-B]
Phase=			2
ISAKMP-peer=		ISAKMP-peer-B
Configuration=		Default-quick-mode
Local-ID=		Net-A
Remote-ID=		Net-B



[IPsec-VoIPA-VoIPB]                               
Phase=                  2                 
ISAKMP-peer=            ISAKMP-peer-B-corp     
Configuration=          Default-quick-mode
Local-ID=               Host-VoIP-A             
Remote-ID=              Host-VoIP-B           


[Net-A]
ID-type=                IPV4_ADDR_SUBNET
Network=                172.16.0.0
netmask=                255.255.255.0

[Net-B]
ID-type=		IPV4_ADDR_SUBNET
Network=		192.168.0.0
Netmask=		255.255.255.0


[Host-VoIP-A]
ID-type=                IPV4_ADDR
Address=                172.16.0.100

[Host-VoIP-B]
ID-type=                IPV4_ADDR
Address=                192.168.0.100

[Default-main-mode]
DOI=			IPSEC
EXCHANGE_TYPE=		ID_PROT
Transforms=		3DES-SHA

[Default-quick-mode]
DOI=			IPSEC
EXCHANGE_TYPE=		QUICK_MODE
Suites=			QM-ESP-AES-SHA-PFS-SUITE
Хост B - isakmpd.conf

Код: Выделить всё

[Phase 1]
222.222.222.222=	ISAKMP-peer-A
10.10.222.2=		ISAKMP-peer-A-corp
	
[Phase 2]
Connections=		IPsec-VoIPB-VoIPA, IPsec-B-A

[ISAKMP-peer-A]
Phase=                  1
Transport=              udp
Address=            	222.222.222.222
Configuration=          Default-main-mode
Authentication=         paSSword

[ISAKMP-peer-A-corp]                           
Phase=                  1                 
Transport=              udp               
Local-address=          192.168.0.100
Address=             	10.10.111.2
Configuration=          Default-main-mode 
Authentication=         paSSword          
ID=                     corp-B-ID
Remote-ID=              corp-A-ID


[corp-A-ID]
ID-type=                FQDN
Name=                   corp-A.local

[corp-B-ID]
ID-type=                FQDN
Name=                   corp-B.local



[IPsec-B-A]
Phase=			2
ISAKMP-peer=		ISAKMP-peer-A
Configuration=		Default-quick-mode
Local-ID=		Net-B
Remote-ID=		Net-A



[IPsec-VoIPB-VoIPA]                               
Phase=                  2                 
ISAKMP-peer=            ISAKMP-peer-A-corp     
Configuration=          Default-quick-mode
Local-ID=               Host-VoIP-B             
Remote-ID=              Host-VoIP-A           



[Net-B]
ID-type=		IPV4_ADDR_SUBNET
Network=		192.168.0.0
Netmask=		255.255.255.0



[Net-A]
ID-type=                IPV4_ADDR_SUBNET
Network=                172.16.0.0
netmask=                255.255.255.0



[Host-VoIP-A]
ID-type=                IPV4_ADDR
Address=                172.16.0.100

[Host-VoIP-B]
ID-type=                IPV4_ADDR
Address=                192.168.0.100

[Default-main-mode]
DOI=			IPSEC
EXCHANGE_TYPE=		ID_PROT
Transforms=		3DES-SHA

[Default-quick-mode]
DOI=			IPSEC
EXCHANGE_TYPE=		QUICK_MODE
Suites=			QM-ESP-AES-SHA-PFS-SUITE

IP адреса узлов в нижеследующей секиции isakmpd.conf прописаны в /etc/hosts

Код: Выделить всё

[corp-A-ID]
ID-type=              	FQDN
Name=                   corp-A.local

[corp-B-ID]
ID-type=                FQDN
Name=                   corp-B.local
и имеют вид:

Код: Выделить всё

/etc/hosts

10.10.222.2 corp-A.local
10.10.111.2 corp-B.local
Вопрос правильно ли оформлена конструкция соединения host-to-host ipsec или возможны иные варианты данной реализации?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35462
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Host-to-host & Network-to-Network IPSEC (isakmpd)

Непрочитанное сообщение Alex Keda » 2009-08-27 12:28:44

а пакеты по одному каналу ходят от каждого туннеля?
======
картинку бы чтоли приложили - нифига не понятно...
Убей их всех! Бог потом рассортирует...