URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 65776
[ Назад ]

Исходное сообщение
"IPSec+PPP"
Отправлено BALEX , 19-Апр-06 17:08

Есть удаленный офис.
10.209.96.0 - локальная сеть
10.7.6.4 - внешний адрес
Головной офис
192.168.100.0 - локальная сеть
10.7.7.254 -внешний адрес.
роутер удаленного офиса - Linux RedHat ES 4
Поднят racoon + setkey.
При падении основного канала поднимается PPP.
192.168.107.1 - внешний адрес удаленного офиса
192.168.107.254 - внешний адрес головного офиса.

траффик хочет шифроваться через туннель как для основного канала, т.е. через 10.7.6.4-10.7.7.254.
Как завернуть его через 192.168.107.1-192.168.107.254
Это файл setkey.conf
#For out traffic
flush;
spdflush;
spdadd 10.209.10.0/24 192.168.100.166/32 any -P out ipsec esp/tunnel/10.7.6.4-10.7.7.254/require;
#For in traffic
spdadd 192.168.100.166/32 10.209.10.0/24 any -P in ipsec esp/tunnel/10.7.7.254-10.7.6.4/require;

Содержание

IPSec+PPP,witos, 07:45 , 20-Апр-06
- IPSec+PPP,BALEX, 09:40 , 20-Апр-06
  - IPSec+PPP,witos, 11:25 , 20-Апр-06
    - IPSec+PPP,BALEX, 11:42 , 20-Апр-06
      - IPSec+PPP,witos, 13:01 , 20-Апр-06
        
        IPSec+PPP,BALEX, 13:34 , 20-Апр-06

Сообщения в этом обсуждении

"IPSec+PPP"
Отправлено witos , 20-Апр-06 07:45

насколько я понял, надо что-то подобное в конфиге для головного офиса:
spdflush;
spdadd 192.168.100.0/24 10.209.96.0/24 any -P out ipsec esp/tunnel/192.168.107.254-192.168.107.1/require;
spdadd 10.209.96.0/24 192.168.100.0/24 any -P in ipsec esp/tunnel/192.168.107.1-192.168.107.254/require;

"IPSec+PPP"
Отправлено BALEX , 20-Апр-06 09:40

>насколько я понял, надо что-то подобное в конфиге для головного офиса:
>
>spdflush;
>spdadd 192.168.100.0/24 10.209.96.0/24 any -P out ipsec esp/tunnel/192.168.107.254-192.168.107.1/require;
>spdadd 10.209.96.0/24 192.168.100.0/24 any -P in ipsec esp/tunnel/192.168.107.1-192.168.107.254/require;

Если добавить в конфиг, то тунель строится почему-то по первому попаданию, т.е.
если первой строкой идет
spdadd 192.168.100.0/24 10.209.96.0/24 any -P out ipsec esp/tunnel/192.168.107.254-192.168.107.1/require;
то будет пытаться организовать через 192.168.107.254-192.168.107.1.
Если
spdadd 192.168.100.0/24 10.209.96.0/24 any -P out ipsec esp/tunnel/10.7.6.4-10.7.7.1/require;
то через 10.7.6.4-10.7.7.1.
непроверяя, есть ли в наличии такой маршрут

"IPSec+PPP"
Отправлено witos , 20-Апр-06 11:25

тогда нужен скрипт, который при пропадании одного туннеля (10.7.6.4-10.7.7.1) будет поднимать другой (192.168.107.254-192.168.107.1), а при его пропадании будет поднимать
первый

"IPSec+PPP"
Отправлено BALEX , 20-Апр-06 11:42

>тогда нужен скрипт, который при пропадании одного туннеля (10.7.6.4-10.7.7.1) будет поднимать другой
>(192.168.107.254-192.168.107.1), а при его пропадании будет поднимать
>первый

Есть пример такого скрипта? Каким образом проверять , есть туннель или нет?

"IPSec+PPP"
Отправлено witos , 20-Апр-06 13:01

в скриптах не силен, поэтому его нету.
а проверить можно, например, периодически посылая пинг и при пропадании нескольких пакетов подряд запускать с альтернативным конфигом...

"IPSec+PPP"
Отправлено BALEX , 20-Апр-06 13:34

>в скриптах не силен, поэтому его нету.
>а проверить можно, например, периодически посылая пинг и при пропадании нескольких пакетов
>подряд запускать с альтернативным конфигом...

OK,спасибо!