Страница 1 из 1
VPN через IPSec - как попасть на 80 порт
Добавлено: 2006-02-06 19:11:10
Sweeper_jr
Настроил VPN через IPSec. Соеденил так сказать две сети. Вообщем пинги из одной сети в другую бегают без проблем. Но в одной сети стоит веб-сервер.
Как сделать так что бы из одной сети в другую через VPN по http ходить на веб-сервак?
Добавлено: 2006-02-06 19:23:36
Alex Keda
а в чём проблема-то?
http://ip_sevaka/
должно работать...
Добавлено: 2006-02-06 19:59:29
Sweeper_jr
lissyara писал(а):а в чём проблема-то?
http://ip_sevaka/
должно работать...
да, так и делаю, но нехочет...
Добавлено: 2006-02-06 20:24:01
Alex Keda
телнетом на 80-й порт пробовал? чё говорит?
Добавлено: 2006-02-07 11:45:43
Sweeper_jr
Телнетом вчера не смог, порты были закрыты.
вот сегодня например пинги то ходят то не ходят, перегрузил оба шлюза, вроде пинги опять нормально пошли (кроме одного хоста, не пойму почему). Как то все нестабильно. Конечно есть разница между моим sockstat'ом и твоим. Может здесь проблема.
У тебя
Код: Выделить всё
root racoon 10396 6 udp4 192.168.20.254:500 *:*
root racoon 10396 7 udp4 127.0.0.1:500 *:*
root racoon 10396 8 udp4 222.222.222.222:500 *:*
root racoon 10396 3 dgram syslogd[167]:3
А у меня
Код: Выделить всё
root racoon 239 6 udp4 194.183.167.198:500 *:*
root racoon 239 3 dgram syslogd[134]:3
194.183.167.198 это внешний IP.
А вот telnet на 80 порт я попробовал. С шлюза на шлюз пробовал (там Апачи крутятся) - ничего, тишина. Пишит connected to host.com. Escape character is '^]'. И все... Также пробовал 80 порт на внутреннем инерфейсе - Permission denied (возможно файервол).
Беспокоит меня отсутствие сокета на 127.0.0.1:500 и на INT_IP:500 ...
Добавлено: 2006-02-07 12:03:57
Alex Keda
забавно... посмотрел у ся - тоже стал один интерфейс слушать...
Код: Выделить всё
root racoon 914 6 udp4 222.222.222.222:500 *:*
root racoon 914 3 dgram syslogd[636]:3
Странно. Я точно помню, что все слушал...
Тем не менее - пробовал открыть страницу - открывается. http на том же сервере, что и racoon в удалённо сети...
вот сегодня например пинги то ходят то не ходят, перегрузил оба шлюза, вроде пинги опять нормально пошли (кроме одного хоста, не пойму почему). Как то все нестабильно.
А напрямую в это время стабильно ходили?
У меня пока тока один глюк - из моей сети в ту vpn не всегда сразу взлетает, но оттуда ко мне - со свистом всегда....
Добавлено: 2006-02-07 12:08:46
Alex Keda
с другой стороны
Код: Выделить всё
listen
{
#isakmp ::1 [7000];
isakmp 222.222.222.222 [500];
#admin [7002]; # administrative's port by kmpstat.
#strict_address; # required all addresses must be bound.
}
всё же жёско задано....
Добавлено: 2006-02-07 12:39:30
Sweeper_jr
Ощущение у меня такое что вовсем виноват файер. Что то я не наблюдаю правила которое разрешает через внутренний интерфейс порт 80. А в браузере при попытке зайти на http://ip_servaka/ появляется стандартная Сквидовская страница с Error и сообщением Connection Faild, sytem returned: (13) Permission denied.
Или может я не прав?
Добавлено: 2006-02-07 13:19:15
Alex Keda
я ж в статье приводил правила...
и они должны быть до fwd на сквид....
чё-то там типа
Добавлено: 2006-02-07 13:51:40
Sweeper_jr
Да, так и есть. Есть правила, из твоей статьи, типа:
Код: Выделить всё
allow udp from 222.222.222.222 to 111.111.111.111 500
allow udp from 111.111.111.111 to 222.222.222.222 500
allow esp from 222.222.222.222 to 111.111.111.111
allow esp from 111.111.111.111 to 222.222.222.222
и стоят они перед fwd и divert и так далее, в самом начале.
может сделать такой
allow all from any to any via gif0 ?
gif0 - интерфейс тунеля.
Добавлено: 2006-02-07 13:57:58
Sweeper_jr
Прикинь, добовил это правило
ipfw 150 add allow all from any to any via gif0
впереди всех правил и все нормально, работает
Спасибо!
Добавлено: 2006-02-07 15:39:07
Alex Keda
Это мой косяк - в статье не написал
))
Ща исправлю