Страница 1 из 2
free7.3 + IPsec+nat
Добавлено: 2011-01-04 13:29:05
Spook1680
Кто нибуть пробовал реализовать такой вариант
два сервака нужно поднять ipsec+nat клиенты за натом
В режиме тунеля шифруется пакет целиком, включая заголовки. Т.е. создается виртуальный тунель. Но тут возникает проблема, если клиент находится за натом. Т.к. нат меняет заголовки пакета, то все перестает работать. Решение - NAT-T. На семерку есть патч,
Вопрос!
На семерку есть патч
Где его можно найти, в офиц. доке порылся но пусто.
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-10 20:15:44
fox
Ну а проскипать нат?
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-11 19:31:16
Spook1680
fox писал(а):Ну а проскипать нат?
А можно)) плиз простым языком)) я в сленге не шарю.
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-11 19:34:10
fox
Spook1680 писал(а):fox писал(а):Ну а проскипать нат?
А можно)) плиз простым языком)) я в сленге не шарю.
Ну что бы правела на нат не поподали, я так понял когда тунель через нат проходит происходит бага ведь так?
Пустите в обход ната есть правело в ipfw skipto пусть проходят мимо ната...
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-11 19:38:54
Spook1680
fox писал(а):Spook1680 писал(а):fox писал(а):Ну а проскипать нат?
А можно)) плиз простым языком)) я в сленге не шарю.
Ну что бы правела на нат не поподали, я так понял когда тунель через нат проходит происходит бага ведь так?
Пустите в обход ната есть правело в ipfw skipto пусть проходят мимо ната...
Умно )) не подумал..
Но вопрос тогда еще ...)) один... если так пустить... А как машины из разных сетей будут видеть друг друга.. ну типа 192.168.0.0/24 как увидит 192.168.11.0/24
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-11 20:13:45
fox
Spook1680 писал(а):fox писал(а):Spook1680 писал(а):fox писал(а):Ну а проскипать нат?
А можно)) плиз простым языком)) я в сленге не шарю.
Ну что бы правела на нат не поподали, я так понял когда тунель через нат проходит происходит бага ведь так?
Пустите в обход ната есть правело в ipfw skipto пусть проходят мимо ната...
Умно )) не подумал..
Но вопрос тогда еще ...)) один... если так пустить... А как машины из разных сетей будут видеть друг друга.. ну типа 192.168.0.0/24 как увидит 192.168.11.0/24
Товарищ, вот Вы пониаете Вы обстрактно задаёте вопрос...
Я не предстовляю какая у вас конфиграция сервера, сколько карточек какая куда, правила ipfw, вы можите детально описовать свою ситуацию что бы экстро сенсорно я не догадывался тогда и мне легче дать вам ответ...
Описуйте детально свою проблему что бы я так же понимал как и Вы ситуацию а то так я могу только гадать!
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-11 20:55:56
Spook1680
fox писал(а):Spook1680 писал(а):fox писал(а):Spook1680 писал(а):fox писал(а):Ну а проскипать нат?
А можно)) плиз простым языком)) я в сленге не шарю.
Ну что бы правела на нат не поподали, я так понял когда тунель через нат проходит происходит бага ведь так?
Пустите в обход ната есть правело в ipfw skipto пусть проходят мимо ната...
Умно )) не подумал..
Но вопрос тогда еще ...)) один... если так пустить... А как машины из разных сетей будут видеть друг друга.. ну типа 192.168.0.0/24 как увидит 192.168.11.0/24
Товарищ, вот Вы пониаете Вы обстрактно задаёте вопрос...
Я не предстовляю какая у вас конфиграция сервера, сколько карточек какая куда, правила ipfw, вы можите детально описовать свою ситуацию что бы экстро сенсорно я не догадывался тогда и мне легче дать вам ответ...
Описуйте детально свою проблему что бы я так же понимал как и Вы ситуацию а то так я могу только гадать!
Главный офис - филиал. И там и там freebsd 7.3 Нужен VPN тунель.
Было принито решение делать на IPsec. Что бы сетки друг-друга видели.
Курю ман.... ну и натыкаюсь на тему что 7.3 нат еще не втыкает. Это можно сделать только на 8.1
Вот и задавал вопрос есть ли патч на 7.3 что бы ipsec понимал нат?!
Или надо обновлять серваки с 7.3 до 8.1?
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-11 22:18:17
fox
Как вариант лучше обновить, последняя версия всегда лучше старой!)
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-11 23:31:04
Spook1680
fox писал(а):Как вариант лучше обновить, последняя версия всегда лучше старой!)
Ок. Я понял. Спасибо. Будем думат.)
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-11 23:35:39
fox
Spook1680 писал(а):fox писал(а):Как вариант лучше обновить, последняя версия всегда лучше старой!)
Ок. Я понял. Спасибо. Будем думат.)
Ну если Вы боитесь за маршрутизацию то вам нет причин переживать, маршрутизацию осуществляет маршрутизатор, это вы можите даже насильно указать,а нат нужен для ретрансляции IP адресов в сеть инета, так что проскипов тунель, я думаю это не повредит работе маршрутизации в любом случае можно насильно указать маршруты в ровторе...
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-12 0:26:48
snorlov
Spook1680 писал(а):
Главный офис - филиал. И там и там freebsd 7.3 Нужен VPN тунель.
Было принито решение делать на IPsec. Что бы сетки друг-друга видели.
Курю ман.... ну и натыкаюсь на тему что 7.3 нат еще не втыкает. Это можно сделать только на 8.1
Вот и задавал вопрос есть ли патч на 7.3 что бы ipsec понимал нат?!
Или надо обновлять серваки с 7.3 до 8.1?
Ну так используйте, ipsec+racoon(ipsec-tools), можно юзать openvpn или же mpd5. Не совсем понимаю при чем здесь нат, вы же тоннелем вязать собираетесь сетки, а не прокидывать тоннель через маршрутизатор....
На тему видимости вопрос сложный, так как не будут бегать широковещательные пакеты, но если у вас XP, которая делает разрешение по DNS'у, то настройкой параметров dhcp и bind проблема тоже решается...
у меня к примеру в каждом филиале стоял BDC, а в офисе PDC(смба+лдап), и все в сетевом окружении видилось без проблем
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-12 1:34:58
fox
snorlov писал(а):Spook1680 писал(а):
Главный офис - филиал. И там и там freebsd 7.3 Нужен VPN тунель.
Было принито решение делать на IPsec. Что бы сетки друг-друга видели.
Курю ман.... ну и натыкаюсь на тему что 7.3 нат еще не втыкает. Это можно сделать только на 8.1
Вот и задавал вопрос есть ли патч на 7.3 что бы ipsec понимал нат?!
Или надо обновлять серваки с 7.3 до 8.1?
Ну так используйте, ipsec+racoon(ipsec-tools), можно юзать openvpn или же mpd5. Не совсем понимаю при чем здесь нат, вы же тоннелем вязать собираетесь сетки, а не прокидывать тоннель через маршрутизатор....
На тему видимости вопрос сложный, так как не будут бегать широковещательные пакеты, но если у вас XP, которая делает разрешение по DNS'у, то настройкой параметров dhcp и bind проблема тоже решается...
у меня к примеру в каждом филиале стоял BDC, а в офисе PDC(смба+лдап), и все в сетевом окружении видилось без проблем
А по подробней можно, точнее я делал разные комбинации с vpn, но не приходилось пачку контроллеров домена связывать с разных удалённых, у вас просто PDC+BDC (OpenLDAP) а на виндузятене какието установки выставляли что бы NetBIOS работал?
У меня связки PDC+BDC (OpenLDAP) + DNS +DHCP, но всё это в пределах одного офиса. Возможно когда ни будь придётся разделить офис на 2 офиса. Я ещё не испытывал, расскажите как оно в подробностях что бы обозреватель видел чётко обе половинки сетей? Какие то тонкости есть?
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-12 10:30:23
snorlov
Ну чего тут говорить, все зависит от ваших сетей и то что стоить, я имею ввиду авторизацию (самба, ад), на местах.
Как сейчас стоит, ipsec+racoon(ipsec-tools), и настроены тоннели, потом, в настройках dhcp указываете в каждой подсети в качестве первого dns'а, тот который ближайший, обновления зон делается в офисе, по крону проверяется доступность офиса, в случае доступности забираются зоны, в cлучае недоступности, заменяются конфиги bind'а и dhcp и делается их рестарт с высталением флага, в офисе PDC, в филиалах BDC + репликация баз LDAP, ну тут все просто, единственный нюанс, проводить репликацию не от учетной записью админа лдапа, а от другой, это все разжевано в инете достаточно хорошо, на каждом DС поднят wins, в настройках dhcp указаны все wins, в самбах, кроме этого еще используется параметр remote announce, ну вот вроде бы и все. Работает это уже года 4-е, может были еще какие-то нюансы, но я их уже забыл...
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-12 11:17:39
fox
snorlov писал(а):Ну чего тут говорить, все зависит от ваших сетей и то что стоить, я имею ввиду авторизацию (самба, ад), на местах.
Как сейчас стоит, ipsec+racoon(ipsec-tools), и настроены тоннели, потом, в настройках dhcp указываете в каждой подсети в качестве первого dns'а, тот который ближайший, обновления зон делается в офисе, по крону проверяется доступность офиса, в случае доступности забираются зоны, в cлучае недоступности, заменяются конфиги bind'а и dhcp и делается их рестарт с высталением флага, в офисе PDC, в филиалах BDC + репликация баз LDAP, ну тут все просто, единственный нюанс, проводить репликацию не от учетной записью админа лдапа, а от другой, это все разжевано в инете достаточно хорошо, на каждом DС поднят wins, в настройках dhcp указаны все wins, в самбах, кроме этого еще используется параметр remote announce, ну вот вроде бы и все. Работает это уже года 4-е, может были еще какие-то нюансы, но я их уже забыл...
Да это всё и так ясно, будетли через танель винс и др. что касается нетбиоса работать?
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-12 11:44:17
snorlov
Будет, только в качестве первого wins'а надо будет указывать сервер в офисе, вторым сервер в филиале
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-12 16:59:13
Spook1680
snorlov писал(а):Spook1680 писал(а):
Главный офис - филиал. И там и там freebsd 7.3 Нужен VPN тунель.
Было принито решение делать на IPsec. Что бы сетки друг-друга видели.
Курю ман.... ну и натыкаюсь на тему что 7.3 нат еще не втыкает. Это можно сделать только на 8.1
Вот и задавал вопрос есть ли патч на 7.3 что бы ipsec понимал нат?!
Или надо обновлять серваки с 7.3 до 8.1?
Ну так используйте, ipsec+racoon(ipsec-tools), можно юзать openvpn или же mpd5. Не совсем понимаю при чем здесь нат, вы же тоннелем вязать собираетесь сетки, а не прокидывать тоннель через маршрутизатор....
На тему видимости вопрос сложный, так как не будут бегать широковещательные пакеты, но если у вас XP, которая делает разрешение по DNS'у, то настройкой параметров dhcp и bind проблема тоже решается...
у меня к примеру в каждом филиале стоял BDC, а в офисе PDC(смба+лдап), и все в сетевом окружении видилось без проблем
Ошибку по поводу нат, понял) спасибо.
mpd5 не юзал
vpnd - ее юзал и стоит между двумя филиалами. (хотя походу это прошлый век, я ее да же в портах в фряхе 8.1 не нашел Походу от потдержки отказались)
Openvpn - хоршая вещь и установлена на серваке на главном офисе. Версия 2.1.3
А вот в филиале с ней бага версия 2.1.4 из портов не собирается.
Изпробовал разные варианты не идет.
Есть ветка где писал об этом
http://forum.lissyara.su/viewtopic.php ... n#p275319
Так проблему и не решил. Вот поэтой причине полез в сторону ipsec
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-12 17:48:39
hizel
если вы не разобрались с openvpn, то с ipsec и подавно не справитесь
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-12 18:28:33
snorlov
hizel писал(а):если вы не разобрались с openvpn, то с ipsec и подавно не справитесь
Ну это как пойдет... Ты можешь смеяться, но у меня все 3-и варианта заняли по недели, при этом в случае с ipsec+racoon/mpd большая часть времени(80%) ушло на понятии почему не работает, на тестовой сетке все взлетало, и бодании с провайдером(этот козел не пропускал порты)...
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-12 19:02:38
fox
Почему OpenVPN не собираеться?
Обновите порты...
Версия OC!
И покажите на что ругаеться...
Если детально опишите проблему то может получется вам помочь.
Ну и порты это не конец, есть пакеты с пакетов пробовали ставить?
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-12 19:46:51
Spook1680
fox писал(а):Почему OpenVPN не собираеться?
Обновите порты...
Версия OC!
И покажите на что ругаеться...
Если детально опишите проблему то может получется вам помочь.
Ну и порты это не конец, есть пакеты с пакетов пробовали ставить?
Обновление не помогает, я пробовал.
Собрал из пакета, тока как-то уж быстро собралось все.
Без ругани.
freebsd 7.3 openvpn-2.1.4
ee rc.conf
Код: Выделить всё
openvpn_enable="YES"
openvpn_if="tun"
openvpn_configfile="/usr/local/etc/openvpn/client.conf"
openvpn_dir="/usr/local/etc/openvpn"
/usr/local/etc/openvpn/client.conf
Код: Выделить всё
dev tun
proto tcp
remote 78.....
port 1194
client4
client-to-client
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/client4.crt
key /usr/local/etc/openvpn/keys/client4.key
tls-client
tls-auth /usr/local/etc/openvpn/keys/ta.key 1
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
log /var/log/openvpn/openvpn.log
verb 4
rc.firewall
Код: Выделить всё
${fwcmd} add 114 allow log tcp from any to ${oip} 1194 in via ${oif}
${fwcmd} add 115 allow ip from 10.20.40.0/24 to ${inet} out via ${iif}
${fwcmd} add 116 allow ip from ${inet} to 10.20.40.0/24 in via ${iif}
Это все настройки клиента.
При старте. Ничего) не происходит. Пшет Starting openvpn но в процессах нет.
Настройки сервера
Сервер изначально я настраивал для работы с клиентами windows 7, шеф на своей "машине" выходит из дома.
rc.conf
Код: Выделить всё
openvpn_enable="YES"
openvpn_if="tun"
openvpn_configfile="/usr/local/etc/openvpn/openvpn.conf"
openvpn_dir="/usr/local/etc/openvpn"
ifconfig
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
inet 10.20.40.1 --> 10.20.40.2 netmask 0xffffffff
Opened by PID 49706
openvpn.conf
Код: Выделить всё
port 1194
proto tcp
dev tun0
keepalive 20 240
server 10.20.40.0 255.255.255.0
push "route 10.20.40.0 255.255.255.0"
push "route 192.168.0.102 255.255.255.0"
push "route 192.168.0.0 255.255.255.0"
push "route 192.168.5.0 255.255.255.0"
#route 192.168.0.0 255.255.255.0
#route 192.168.2.0 255.255.255.0
client-config-dir ccd /usr/local/etc/openvpn/ccd/
#route 10.20.30.0 255.255.255.252
client-to-client
ca /usr/openvpn/keys/ca.crt
cert /usr/openvpn/keys/server.crt
key /usr/openvpn/keys/server.key
dh /usr/openvpn/keys/dh1024.pem
tls-server
keepalive 10 120
tls-auth /usr/openvpn/keys/ta.key 0
tls-timeout 120
cipher BF-CBC
persist-key
persist-tun
user nobody
group nobody
comp-lzo
max-clients 10
log /var/log/openvpn/openvpn.log
status /var/log/openvpn/openvpn-status.log
log-append /var/log/openvpn/openvpn.log
verb 4
mute 10
rc.firewall
Код: Выделить всё
${fwcmd} add 100 allow ip from any to any via tun0
${fwcmd} add 101 allow tcp from any to ${oip} 1194 in via ${oif}
${fwcmd} add 102 allow ip from 10.20.40.0/24 to ${inet} out via ${iif}
${fwcmd} add 103 allow ip from ${inet} to 10.20.40.0/24 in via ${iif}
Получается на данный момент проблема 1. не поднимается интерфейс tun у клиента freebsd
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-12 20:15:48
fox
Что в логе openvpn?
И tun при ifconfig появляеться на client машине?
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-12 20:41:47
Spook1680
fox писал(а):Что в логе openvpn?
И tun при ifconfig появляеться на client машине?
NO# /usr/local/etc/rc.d/openvpn start
Starting openvpn.
NO#
/var/log/messages
: Options error: Unrecognized option or missing parameter(s) in /usr/local/etc/openvpn/client.conf:5: client4 (2.1.1)
: Use --help for more information.
ifconfig
stge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=209b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,WOL_MAGIC>
ether 00:18:f3:5a:a4:7d
inet 192.168.5.1 netmask 0xffffff00 broadcast 192.168.5.255
media: Ethernet autoselect (100baseTX <full-duplex,flag0,flag1>)
status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2009<RXCSUM,VLAN_MTU,WOL_MAGIC>
ether 00:07:e9:e8:83:00
inet 91. netmask 0xfffffff8 broadcast 91.195.179.127
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
NO#
Вот вся инфа которая есть.(
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-12 20:45:56
Spook1680
вот еще касяк, но не пойму где рыть?
/var/log/openvpn/openvpn.log
Код: Выделить всё
Options error: --client-to-client requires --mode server
Use --help for more information.
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-12 20:57:31
fox
Spook1680 писал(а):вот еще касяк, но не пойму где рыть?
/var/log/openvpn/openvpn.log
Код: Выделить всё
Options error: --client-to-client requires --mode server
Use --help for more information.
Читать до просветления:
http://www.lissyara.su/doc/man/safety/openvpn/
просто я не помню деталий...
tun не появился вот это уже загадка...
Как вариант попробовать tap но это надо с обоих строн настраивать!
Re: free7.3 + IPsec+nat
Добавлено: 2011-01-12 20:59:01
Spook1680
Интерфейс поднял. ) косяк
у меня был стояло client4 не обратил на эту пакость внимания.
сейчас ifconfig
Код: Выделить всё
tun0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1500
inet 10.20.40.10 --> 10.20.40.9 netmask 0xffffffff
Opened by PID 95721
Только что получаетс?! Пока клиент не подключится к серверу openvpn на стороне клиента интерфейс tun не появится?
Лис спасибо за помощь.
