forum.lissyara.su

Добавлено: **2007-05-24 21:54:29**

Не бейте за детский вопрос

Ситуация такая: настроил тунель IPSEC , как описывается тут http://www.lissyara.su/?id=1328 . Интересует, как прикрутить к нему НАТ , чтоб каждая сеть ходила через свой шлюз - есть ли тут какие-то подводные камни с которыми придёться столкнуться ?

З.Ы. Настроить по статье не получилось, вот описание проблемы:
spdadd 217.15.62.49/32 217.15.62.200/32 ipencap -P out ipsec
esp/tunnel/217.15.62.49-217.15.62.200/require;
spdadd 217.15.62.200/32 217.15.62.49/32 ipencap -P in ipsec
esp/tunnel/217.15.62.200-217.15.62.49/require;

Вот этом конфиге пока в spadd не указал удреса сетей нихуа не зароботало, вот по какому принципу заработало:
spdadd 192.168.160.0/24 192.168.170.0/24 any -P out ipsec
esp/tunnel/217.15.62.49-217.15.62.200/require;
spdadd 192.168.170.0/24 192.168.160.0/24 any -P in ipsec
esp/tunnel/217.15.62.200-217.15.62.49/require;

Я незнаю - это баг или я просто плохо понял ...

Добавлено: **2007-05-24 21:56:38**

И ещё вот это:
Почему после установки racoon и ipsec стало появляться при загрузке это собщение: "Starting divert daemons:Are you sure? [yn]" и пока не выберешь да или нет система грузиться не хочет ...

Добавлено: **2007-05-24 22:02:34**

zik писал(а):И ещё вот это:
Почему после установки racoon и ipsec стало появляться при загрузке это собщение: "Starting divert daemons:Are you sure? [yn]" и пока не выберешь да или нет система грузиться не хочет ...

фигасе....
надо смотреть конфиг запуска natd - там наверняка объяснено зачем так....

Добавлено: **2007-05-24 22:27:20**

Так когда оно стало появляться я ещё не включал нат ...

Добавлено: **2007-05-24 22:52:32**

Код: Выделить всё

acer# pwd
/etc
acer# find . -exec grep -l "Are you sure" {} \;
acer#

думается - это не система...

Добавлено: **2007-05-25 9:37:44**

а в ядре опция IPDIVERT есть?

Добавлено: **2007-05-26 10:31:50**

а в ядре опция IPDIVERT есть?

Нет, нету.

Это связано с правилами фаервола. Когда обнуляешь правила - то всё работает ! С чем это связано и как это исправить ?

Добавлено: **2007-05-26 14:10:19**

Всё с тем разобрался - была обычная глупость, надо было у меня было так ipfw flush, а надо было так ipfw -f flush. Поэтому оно и выводило. Ещё такой вопрос: а как правильно настроить нат, когда на каждой машине имеется 3 сетевых:
1-ая смотрит в сеть
2-ая подключенна к первому провайдеру и по ней создаётся туннель между офисами
3-ая подключенная к второму провайдеру и через неё по нату ходят в нет .

Заранее спасибо !

Добавлено: **2007-05-29 16:56:33**

Ну что никто незнает как НАТ реализовать ? А то так я сделал у фирмы интернет перестал работать

. Подскажите кто знает - буду очень благодарен !
З.Ы. Предыдущие сообщение было моё, если кто не понял

Добавлено: **2007-11-23 11:11:26**

Просветите пожалуста в чем разница использования в этом правиле ipencap или any, чтобы уяснить для себя что лучше ?

spdadd 10.0.0.0/8 192.168.1.0/24 any -P out ipsec
esp/tunnel/A.A.A.A-B.B.B.B/require;

spdadd 192.168.1.0/24 10.0.0.0/8 any -P in ipsec
esp/tunnel/B.B.B.B-A.A.A.A/require;

Добавлено: **2007-11-23 11:30:47**

непонял...

Добавлено: **2007-11-23 11:50:50**

pimlab писал(а):Просветите пожалуста в чем разница использования в этом правиле ipencap или any, чтобы уяснить для себя что лучше ?
Код: Выделить всё
spdadd 10.0.0.0/8 192.168.1.0/24 any -P out ipsec
esp/tunnel/A.A.A.A-B.B.B.B/require;

spdadd 192.168.1.0/24 10.0.0.0/8 any -P in ipsec
esp/tunnel/B.B.B.B-A.A.A.A/require;

Просто ipencap что за протокол , что он делает ?
В handbook так :

Код: Выделить всё

 spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec
  esp/tunnel/A.B.C.D-W.X.Y.Z/require;
spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec
  esp/tunnel/W.X.Y.Z-A.B.C.D/require;

У самого сечас тоже any стоит, но что если поменять на ipencap ?

forum.lissyara.su

Статья по IPSEC

Статья по IPSEC

Re: Статья по IPSEC

Re: Статья по IPSEC

Re: Статья по IPSEC