IPSEC еманарот!
Добавлено: 2008-07-08 9:53:25
Приветствую
Нарисовалась такая проблема... Есть головной офис и филиал, в каждом есть шлюз на фряхе 7-ке.
Поднимаю между ними VPN с помощью IPSEC. И, короче, если фаерволл открытый, допустим, в головном офисе, то пинги идут нормально, сетку удаленную я вижу, в общем все ОК. Но если сделать фаер с таким конфигом (частичный вывод):
то ниче не пингуется, сетка не видна, а в логе файрволла одна такая строчка и все....
Что такое P:4 и как с ним бороться??
Нарисовалась такая проблема... Есть головной офис и филиал, в каждом есть шлюз на фряхе 7-ке.
Поднимаю между ними VPN с помощью IPSEC. И, короче, если фаерволл открытый, допустим, в головном офисе, то пинги идут нормально, сетку удаленную я вижу, в общем все ОК. Но если сделать фаер с таким конфигом (частичный вывод):
Код: Выделить всё
#!/bin/sh -
# Определим переменные файрвола
fwcmd="/sbin/ipfw"
oif="vr0"
iif="rl0"
vif="gif0"
oip="111.111.111.111"
iip="192.168.0.6"
lan="192.168.0.0/24"
oip_spb="222.222.222.222"
# Сбросим старые правила перед загрузкой новых
${fwcmd} -f flush
# Разрешаем VPN трафик между головным и филиалом
${fwcmd} 1 add allow all from any to any via ${vif}
${fwcmd} 2 add allow udp from ${oip_spb} to me 500
${fwcmd} 3 add allow esp from me to ${oip_spb}
${fwcmd} 4 add allow esp from ${oip_spb} to me
.
.
.
[skiped]
.
.
.
# Разрешаем пинги
#------------------------------------------------------------------------------
${fwcmd} 580 add allow icmp from any to any
# Запрещаем все остальное, что неописано правилами выше
#------------------------------------------------------------------------------
${fwcmd} 666 add deny log ip from any to any
Код: Выделить всё
Jul 8 10:35:27 bih-gateway kernel: ipfw: 666 Deny P:4 222.222.222.222 111.111.111.111 in via vr0
Jul 8 10:35:45 bih-gateway last message repeated 18 times