Страница 1 из 2
Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-20 13:04:26
sheva.sv1
поднял VPN через IPSec между FreeBSD 6.2 и FreeBSD 6.0 , настроил racoon , все замечательно, но...существует такая ситуация:
Шлюз1: nmap -sP 192.168.1.0/24 дает результат:
Код: Выделить всё
Host 192.168.1.3 appears to be up.
Host 192.168.1.5 appears to be up.
Host 192.168.1.14 appears to be up.
Host 192.168.1.29 appears to be up.
а вот на Шлюз2: nmap -sP 192.168.0.0/24 такой:
Код: Выделить всё
Host 192.168.0.19 seems to be a subnet broadcast address (returned 2 extra pings).
Host 192.168.0.20 seems to be a subnet broadcast address (returned 2 extra pings).
Host 192.168.0.29 seems to be a subnet broadcast address (returned 1 extra pings).
Host 192.168.0.100 seems to be a subnet broadcast address (returned 1 extra pings).
Пингую хост 192.168.0.100 из сети 192.168.1.0/24, а вот подключиться к нему по Remoute Desktop не могу (там порт открыт, из сети 192.168.0.0/24 все нормально заходит)
А вот из сети 192.168.0.0/24 нормально подключаюсь к терминальному серверу 192.168.1.5 и все арбайтен.
вот результаты
На шлюзе 1 :
Код: Выделить всё
ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:00:1c:d3:e4:2f
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
fwe0: flags=108802<BROADCAST,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
options=8<VLAN_MTU>
ether 02:11:d8:55:1b:80
ch 1 dma -1
sk0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
inet A.A.A.A netmask 0xfffffff8 broadcast A.A.A.31
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet A.A.A.A --> B.B.B.B
inet 192.168.0.1 --> 192.168.1.251 netmask 0xffffffff
netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default A.A.A.25 UGS 1 5614563 sk0
127.0.0.1 127.0.0.1 UH 0 0 lo0
192.168.0.0 ff:ff:ff:ff:ff:ff UHLWb 1 16 rl0 =>
192.168.0 link#1 UC 0 0 rl0
192.168.0.1 127.0.0.1 UH 0 0 lo0
192.168.0.100 00:1b:fc:cb:10:dd UHLW 1 3409 rl0 1164
192.168.0.255 ff:ff:ff:ff:ff:ff UHLWb 1 16 rl0
192.168.1 gif0 US 9955 16639 gif0
192.168.1.251 192.168.0.1 UH 544 557 gif0
Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UHL lo0
fe80::%lo0/64 fe80::1%lo0 U lo0
fe80::1%lo0 link#4 UHL lo0
ff01:4::/32 fe80::1%lo0 UC lo0
ff02::%lo0/32 fe80::1%lo0 UC lo0
На шлюзе 2:
Код: Выделить всё
ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet B.B.B.B netmask 0xffffff00 broadcast B.B.B.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
ste0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet 192.168.1.251 netmask 0xffffff00 broadcast 192.168.1.255
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet B.B.B.B --> A.A.A.A.
inet 192.168.1.251 --> 192.168.0.1 netmask 0xffffffff
netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default B.B.B.1 UGS 1 756935 rl0
127.0.0.1 127.0.0.1 UH 0 0 lo0
192.168.0 gif0 US 177 2242 gif0
192.168.0.1 192.168.1.251 UH 1765 1779 gif0
192.168.1.0 ff:ff:ff:ff:ff:ff UHLWb 1 24 ste0 =>
192.168.1 link#2 UC 0 0 ste0
192.168.1.251 127.0.0.1 UH 0 0 lo0
192.168.1.255 ff:ff:ff:ff:ff:ff UHLWb 1 16 ste0
в IPWF
Помогите разобраться.
п.с. Конфиги проверял, вроде, одинаковые.
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-20 15:19:10
Alex Keda
опять товарисч с портянкой...
конопчку code снова никто кроме меня не видит?
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-20 16:47:58
Гость
Код: Выделить всё
кнопочку увидел, исправлюсь, а по поводу VPN можете , чем-то помочь?
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-20 16:57:13
Alex Keda
увидел - хорошо, тока что бы понять чё ты там написал править пришлось мне
==============
ну,
с обоих - в студию, и попробуй mtu на обоих концах туннеля увеличичить.
Хотя, эта грабля была ток ана 4.xx
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-20 17:03:40
Гость
проверял при
с обоих сторон
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-20 17:06:01
Alex Keda
а гре?
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-20 17:09:41
schizoid
недавно напоролся на такую же почти хрень. тока умну было 2 впна и 2 ната, трабл был в МТУ.
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-20 17:28:21
Гость
на каких интерфейсах увеличивать ? на gif0 побывал не помогает, а реальные не меняет , на сколько я понял нужно при загрузке их устанавливать.
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-20 19:31:26
Alex Keda
Гость писал(а):на каких интерфейсах увеличивать ? на gif0 побывал не помогает, а реальные не меняет , на сколько я понял нужно при загрузке их устанавливать.
огласи непомогающие значения.
и ОС не оглашена.
и
я так и не увидел.
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-20 22:59:27
sheva.sv
Первый шлюз 1.
G1# uname -a
G1# ipfw show
G1# ifconfig gif0
Код: Выделить всё
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet A.A.A.A --> B.B.B.B
inet 192.168.1.251 --> 192.168.0.1 netmask 0xffffffff
G1# nmap -sP 192.168.0.0/24
Код: Выделить всё
Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-20 20:37 EET
Host 192.168.0.15 seems to be a subnet broadcast address (returned 1 extra pings).
Host 192.168.0.31 seems to be a subnet broadcast address (returned 1 extra pings).
Host 192.168.0.100 seems to be a subnet broadcast address (returned 1 extra pings).
Nmap finished: 256 IP addresses (0 hosts up) scanned in 26.978 seconds
G1# ping 192.168.0.100
Код: Выделить всё
PING 192.168.0.100 (192.168.0.100): 56 data bytes
64 bytes from 192.168.0.100: icmp_seq=0 ttl=127 time=14.365 ms
64 bytes from 192.168.0.100: icmp_seq=1 ttl=127 time=12.076 ms
64 bytes from 192.168.0.100: icmp_seq=2 ttl=127 time=18.859 ms
64 bytes from 192.168.0.100: icmp_seq=3 ttl=127 time=15.620 ms
64 bytes from 192.168.0.100: icmp_seq=4 ttl=127 time=16.079 ms
64 bytes from 192.168.0.100: icmp_seq=5 ttl=127 time=15.955 ms
G1# netstat -rn
Код: Выделить всё
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
192.168.0 gif0 US 111668 118230 gif0
192.168.0.1 192.168.1.251 UH 60 66 gif0
Вот шлюз №2
PT# uname -a
Код: Выделить всё
FreeBSD PT 6.2-RELEASE FreeBSD 6.2-RELEASE #1:
PT# ipfw show
PT# ifconfig gif0
Код: Выделить всё
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet B.B.B.B --> A.A.A.A
inet 192.168.0.1 --> 192.168.1.251 netmask 0xffffffff
PT# nmap -sP 192.168.1.0/24
Код: Выделить всё
Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-20 20:54 EET
Host 192.168.1.5 appears to be up.
Host 192.168.1.14 appears to be up.
Host 192.168.1.21 appears to be up.
Host 192.168.1.50 appears to be up.
Nmap finished: 256 IP addresses (4 hosts up) scanned in 8.366 seconds
PT# netstat -rn
Код: Выделить всё
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
192.168.1 gif0 US 73844 84918 gif0
192.168.1.251 192.168.0.1 UH 619 632 gif0
пробовал на обоих машинах ставить
ifconfig gif0 mtu 3000
ifconfig gif0 mtu 5000
ifconfig gif0 mtu 8000
не помагает
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-20 23:08:25
Alex Keda
sheva.sv писал(а):
G1# ipfw show
врёшь
sheva.sv писал(а):
ifconfig gif0 mtu 3000
ifconfig gif0 mtu 5000
ifconfig gif0 mtu 8000
не помагает
не поможет, нет таких mtu в числе стандартных
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-20 23:11:37
sheva.sv
не вру , я число пакетов убрал.
А не подскажешь какие есть стандартные значения?
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-21 0:13:37
Alex Keda
не надо убирать число пакетов.
надо показать вывод команды которую просят.
===========
1500 попрбуй и меньше...
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-21 0:17:00
schizoid
Код: Выделить всё
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1396
tunnel inet 192.168.1.254 --> 192.168.0.100
inet 192.168.10.2 --> 192.168.10.1 netmask 0xffffffff
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-21 10:11:34
sheva.sv
Сорри Босс, исправляюсь
Код: Выделить всё
G1# ipfw show
65535 3353082 1204001075 allow ip from any to any
PT# ipfw show
03200 32635552 3624096986 allow ip from any to any
65535 7 296 deny ip from any to any
Установка ifconfig gif0 mtu 1396 ничего не изменило.
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-21 13:08:21
Alex Keda
ну теперь уже совсем интересно....
=============
рисуй картинку, заодно показывай как пинги ходят.
либо у тя где-то чё-то неявное (или слишком явное) не так, либоя парям потерялся..
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-22 11:51:15
sheva.sv
Вот такая схема, надеюсь понятная,может нужно что-то подробнее, не пинайте , первый раз рисую)
Код: Выделить всё
_______________________
сеть №1 192.168.1.0/24
_______________________
192.168.1.251
ШЛЮЗ № 1
А.А.А.А
_______________________
| |
| |
INET
| |
| |
_______________________
В.В.В.В
ШЛЮЗ №2
192.168.0.1
_______________________
сеть №2 192.168.0.0/24
_______________________
принги проходят из сети №1 в сеть №2 ,
Код: Выделить всё
(192.168.1.251)# ping 192.168.0.100
PING 192.168.0.100 (192.168.0.100): 56 data bytes
64 bytes from 192.168.0.100: icmp_seq=0 ttl=127 time=18.369 ms
64 bytes from 192.168.0.100: icmp_seq=1 ttl=127 time=13.121 ms
64 bytes from 192.168.0.100: icmp_seq=2 ttl=127 time=20.805 ms
но при выполнении команды nmap -sP 192.168.0.0/24 на ШЛЮЗЕ 1 наблюдаю такую картину
Код: Выделить всё
(192.168.1.251)# nmap -sP 192.168.0.0/24
Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-21 15:19 EET
Host 192.168.0.13 seems to be a subnet broadcast address (returned 1 extra pings).
Host 192.168.0.14 seems to be a subnet broadcast address (returned 1 extra pings).
Host 192.168.0.15 seems to be a subnet broadcast address (returned 2 extra pings).
Host 192.168.0.100 seems to be a subnet broadcast address (returned 1 extra pings).
Nmap finished: 256 IP addresses (0 hosts up) scanned in 26.982 seconds
Из сети № 2 пинги идут в сеть №1 и после nmap -sP 192.168.1.0/24 наблюдаю совсем другую ситуацию
(
Код: Выделить всё
192.168.0.1)# ping 192.168.1.111
PING 192.168.1.111 (192.168.1.111): 56 data bytes
64 bytes from 192.168.1.111: icmp_seq=0 ttl=127 time=24.057 ms
64 bytes from 192.168.1.111: icmp_seq=1 ttl=127 time=13.350 ms
64 bytes from 192.168.1.111: icmp_seq=2 ttl=127 time=17.646 ms
Код: Выделить всё
(192.168.0.1)# nmap -sP 192.168.1.0/24
Starting Nmap 4.20 ( http://insecure.org ) at 2007-11-21 15:23 EET
Host 192.168.1.3 appears to be up.
Host 192.168.1.5 appears to be up.
Host 192.168.1.14 appears to be up.
Host 192.168.1.29 appears to be up.
Host 192.168.1.71 appears to be up.
Host 192.168.1.89 appears to be up.
Host 192.168.1.111 appears to be up.
Nmap finished: 256 IP addresses (10 hosts up) scanned in 7.755 seconds
Я в унынии , ничего не понимаю, пинги ходят из сети №1 в сеть №2 и наооборот. Вижу ресурсы некоторых хостов в сети №2 , но при попытке, например подключить сетевой принтер пишет "Невозможно завершение операции".
На виндовой машине(из сети №2) запускаю NetView, что бы просканировать сеть № 1
Код: Выделить всё
HostName IP Responce
ntserv 192.168.1.5 16
tanya 192.168.1.3 22
ziper 192.168.1.14 11
nataliya 192.168.1.29 18
irina 192.168.1.71 23
192.168.1.50 192.168.1.50 13
192.168.1.89 192.168.1.89 13
adm 192.168.1.111 22
192.168.1.251 192.168.1.251 14
На хосты, которых определились имена, могу попасть (но тоже с проблемами, принтер, например не могу подключить). А вот на хосты 192.168.1.50 и 192.168.1.89 никак не могу (хоть они и пингуются)
Таже история наблюдается и из сети №1 в сеть №2
Я думаю , что проблема таки с MTU .
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-22 13:33:23
Alex Keda
трасероут дай с клиентсой тачки оной сети до другой и обратно
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-23 11:55:46
sheva.sv
из сети №1 на хосте 192.168.1.111 запускаю
tracert 192.168.0.100
Код: Выделить всё
Трассировка маршрута к 192.168.0.100 с максимальным числом прыжков 30
1 9 ms 13 ms 1 ms 192.168.1.251
2 * * * превышен интервал ожидания для запроса
3 17 ms 31 ms 22 ms 192.168.0.100
Трассировка завершена
а теперь в обратную сторону из сети №2 на хосте 192.168.0.100
tracert 192.168.1.111
Код: Выделить всё
[code]Трассировка маршрута к 192.168.1.111 с максимальным числом прыжков 30
1 < ms <1 ms <1 ms 192.168.0.1
2 * * * превышен интервал ожидания для запроса
3 136 ms 14 ms 14 ms 192.168.1.111
Трассировка завершена
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-23 12:38:46
Alex Keda
пинги между ними дай...
чё-то меня смущает отсутствие среднего хопа,при таком-то файрволле...
или не весь файрволл дал?
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-23 13:30:28
sheva.sv
Туда
Код: Выделить всё
C:\Documents and Settings\sheva>ping 192.168.0.100
Обмен пакетами с 192.168.0.100 по 32 байт:
Ответ от 192.168.0.100: число байт=32 время=62мс TTL=126
Ответ от 192.168.0.100: число байт=32 время=47мс TTL=126
Ответ от 192.168.0.100: число байт=32 время=86мс TTL=126
Ответ от 192.168.0.100: число байт=32 время=35мс TTL=126
Статистика Ping для 192.168.0.100:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 35мсек, Максимальное = 86 мсек, Среднее = 57 мсек
и обратно
Код: Выделить всё
C:\Documents and Settings\SHEVA>ping 192.168.1.111
Обмен пакетами с 192.168.1.111 по 32 байт:
Ответ от 192.168.1.111: число байт=32 время=29мс TTL=125
Ответ от 192.168.1.111: число байт=32 время=76мс TTL=125
Ответ от 192.168.1.111: число байт=32 время=162мс TTL=125
Ответ от 192.168.1.111: число байт=32 время=191мс TTL=125
Статистика Ping для 192.168.1.111:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 29мсек, Максимальное = 191 мсек, Среднее = 114 мсек
C:\Documents and Settings\SHEVA>
Firewall дал верный. "все разрешено"
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-23 13:49:49
schizoid
если сможешь - пообщайся с провом, узнай, какой у них МТУ
шоб правильно выставить свой МТУ на гифе.
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-23 13:55:31
schizoid
у мну было тоже прикол. пинги в инет ходють, трасса ходить, тспдампом все ок
НО в браузере страницы не открываются.
НО самое интересное, телнетом идешь
даешь команду html, и он скачивает страничку!
а в браузере - болт!
у мну схема была такая:
юзеры получают доступ в инет по впн (mpd с MTU 1396), далее сервак по средством gif-туннеля получал инет от другого сервака (MTU gif-a 1280). Ну там еще НАТ и т.д.
При такой схеме была трабла, описанная выше.
Когда на gif-e поставил такой-же МТУ , как и на ng* , инет стал работать нормально. воть.
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-23 14:29:41
sheva.sv
Узнал и первого провайдера MTU 1500 у второго 1470 . Побывал такие схемы 1500 - - 1500, 1470 -- 1470, 1500 -- 1470, 1470 -- 1500 нифига. Еще вопрос, команда
сразу ставит значение , никаких доп. действий не нужно производить?
Re: Поогите разобраться с VPN между 2-мя FreeBSD
Добавлено: 2007-11-23 15:22:22
schizoid
ну я ставил при создании gif