Страница 1 из 1
IPSec Nat
Добавлено: 2009-04-29 16:47:31
buryanov
Hi All
Собрал IPSec между Racoon и Cisco
на шлюзе поднят нат на gif1
Код: Выделить всё
gif1: flags=8151<UP,POINTOPOINT,RUNNING,PROMISC,MULTICAST> metric 0 mtu 1280
tunnel inet 217.112.209.33 --> 8.5.5.2
inet 172.25.1.8 --> 172.25.7.3 netmask 0xffff0000
${FwCMD} nat 117 config ip 172.25.31.128
${FwCMD} add nat 117 all from ${lan} to 172.20.6.0/24 out via gif1
${FwCMD} add nat 117 all from 172.20.6.0/24 to 172.25.1.8 in via gif1
со шлюза всё ходит
Код: Выделить всё
16:41:26.873247 IP 8.5.5.2 > 217.112.209.33: ESP(spi=0x011568e4,seq=0x22), length 100
16:41:26.873591 IP 217.112.209.33 > 8.5.5.2: ESP(spi=0x298b2797,seq=0x24), length 100
но, когда я иду с машины, которая за нат
Код: Выделить всё
16:39:27.359587 IP 217.112.209.33 > 80.5.5.2: IP 172.25.1.8.4686 > 172.20.6.2.80: S 646185615:646185615(0) win 64512 <mss 1460,nop,nop,sackOK> (ipip-proto-4)
Получается, что не применяется политика ipsec. Где собака зарыта?
Re: IPSec Nat
Добавлено: 2009-04-29 16:51:13
paradox
роут должен быть в гиф
и желательно дефолт
что бы все шифровалось
а иначе это тунель
по котому ничего не ходит
ipfw nat ище ничего никуда не перенаправляет
Re: IPSec Nat
Добавлено: 2009-04-29 17:03:43
buryanov
Код: Выделить всё
[root@hqgw1 /etc]# route change 172.20.6.2 -interface gif1
change host 172.20.6.2: gateway gif1
tcpdump -i ng2 host 80.5.5.2
16:58:53.855134 IP 217.112.209.33 > 80.5.5.2: etherip 50
16:58:56.865760 IP 217.112.209.33 > 80.5.5.2: etherip 50
16:59:02.901862 IP 217.112.209.33 > 80.5.5.2: etherip 50
tcpdump -i gif1
16:58:53.855099 AF Unknown (18), length 52:
0x0000: 4500 0030 c363 4000 7f06 de27 ac19 1f80 E..0.c@....'....
0x0010: ac14 e28e 045b 0050 9d05 15c8 0000 0000 .....[.P........
0x0020: 7002 fc00 7569 0000 0204 05b4 0101 0402 p...ui..........
16:58:56.865727 AF Unknown (18), length 52:
0x0000: 4500 0030 c44e 4000 7f06 dd3c ac19 1f80 E..0.N@....<....
0x0010: ac14 e28e 045b 0050 9d05 15c8 0000 0000 .....[.P........
0x0020: 7002 fc00 7569 0000 0204 05b4 0101 0402 p...ui..........
16:59:02.901826 AF Unknown (18), length 52:
0x0000: 4500 0030 c5ee 4000 7f06 db9c ac19 1f80 E..0..@.........
0x0010: ac14 e28e 045b 0050 9d05 15c8 0000 0000 .....[.P........
0x0020: 7002 fc00 7569 0000 0204 05b4 0101 0402 p...ui..........
Re: IPSec Nat
Добавлено: 2009-04-29 20:47:53
buryanov
пошел по другому, поднял natd и на него завернул трафик
Код: Выделить всё
${FwCMD} add divert 8669 ip from 10.4.0.0/16 to 172.20.6.0/24 out via gif1
${FwCMD} add divert 8669 ip from any to 172.25.1.8 in via gif1
но всёравно не то
Код: Выделить всё
[root@hqgw1 ~]# tcpdump -i gif1 -n
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on gif1, link-type NULL (BSD loopback), capture size 96 bytes
20:29:48.264854 IP 172.20.6.2.80 > 172.25.1.8.2466: S 673603226:673603226(0) ack 2522486351 win 5840 <mss 1380,nop,nop,sackOK>
при этом вижу ESP пакеты на интерфейсе, но, судя по записи
через gif1 идёт пакет в обратном направлении, опять непонятка
Код: Выделить всё
[root@hqgw1 /etc]# ipfw show|grep 172
04400 9 432 divert 8669 ip from 10.4.0.0/16 to 172.20.6.0/24 out via gif1
04500 0 0 divert 8669 ip from any to 172.25.1.8 in via gif1
Re: IPSec Nat
Добавлено: 2009-04-30 8:55:38
snorlov
Честно говоря, я не понял, зачем поднимать nat на gif, может тогда проще шифровать соединение между Free и Cisco
Re: IPSec Nat
Добавлено: 2009-04-30 9:29:33
buryanov
snorlov писал(а):Честно говоря, я не понял, зачем поднимать nat на gif, может тогда проще шифровать соединение между Free и Cisco
У нас не Site-2-Site, удалённая система должна видить нас как 172.25.1.8, таковы правила.
Re: IPSec Nat
Добавлено: 2009-04-30 9:43:42
snorlov
buryanov писал(а):snorlov писал(а):Честно говоря, я не понял, зачем поднимать nat на gif, может тогда проще шифровать соединение между Free и Cisco
У нас не Site-2-Site, удалённая система должна видить нас как 172.25.1.8, таковы правила.
Ну так подумай, что ты делаешь, тебе не нужен тоннель, тебе надо шифровать все пакеты после Nat'а идущие к Сisco
Re: IPSec Nat
Добавлено: 2009-04-30 9:55:32
buryanov
Я пробовал поднять в транспортном режиме, но канал не поднимается