Ipsec тунель между Linux - Linux (FreeSwan)
Доброго времен суток всем!Пытаюсь поднять тунель между двумя подсетями, вроде тунель создаётся, ipsec не ругается, но после старта хосты из разных подсетей не пингуются.
ipsec.conf:
version 2.0
config setup
nat_traversal=yes
nhelpers=0
forwardcontrol=yes
klipsdebug=none
plutodebug=none
conn testnet-vpn
left=AA.AA.AA.AA
leftsubnet=192.168.50.0/24
leftrsasigkey=R1E1GC4np...
#leftnexthop=BB.BB.BB.BB
right=BB.BB.BB.BB
rightsubnet=192.168.17.0/24
rightrsasigkey=NlnTpd...
#rightnexthop=AA.AA.AA.AA
auto=start
# sample VPN connections, see /etc/ipsec.d/examples/#Disable Opportunistic Encryption
include /etc/ipsec/ipsec.d/examples/no_oe.confВ ipsec.secret соответственно всё присутствует...
temp_fw / # ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.4.15/K2.6.29-gentoo-r5 (netkey)
Checking for IPsec support in kernel [OK]
NETKEY detected, testing for disabled ICMP send_redirects [OK]
NETKEY detected, testing for disabled ICMP accept_redirects [OK]
Checking for RSA private key (/etc/ipsec/ipsec.secrets) [OK]
Checking that pluto is running [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADEing
Checking for 'ip' command [OK]
Checking for 'iptables' command [OK]
Opportunistic Encryption Support [DISABLED]temp_fw / # ipsec auto status
ipsec auto: warning: obsolete command syntax used
000 interface lo/lo ::1
000 interface lo/lo 127.0.0.1
000 interface lo/lo 127.0.0.1
000 interface eth0/eth0 192.168.50.42
000 interface eth0/eth0 192.168.50.42
000 interface eth1/eth1 AA.AA.AA.AA
000 interface eth1/eth1 AA.AA.AA.AA
000 %myid = (none)
000 debug none
....
....
000 "testnet-vpn": 192.168.50.0/24===AA.AA.AA.AA...BB.BB.BB.BB===192.168.17.0/24; erouted; eroute owner: #30
000 "testnet-vpn": srcip=unset; dstip=unset; srcup=ipsec _updown; dstup=ipsec _updown;
000 "testnet-vpn": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "testnet-vpn": policy: RSASIG+ENCRYPT+TUNNEL+PFS+UP; prio: 24,24; interface: eth1; encap: esp;
000 "testnet-vpn": newest ISAKMP SA: #31; newest IPsec SA: #30;
000 "testnet-vpn": IKE algorithm newest: 3DES_CBC_192-MD5-MODP1536
000
000 #31: "testnet-vpn":500 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 1883s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0)
000 #30: "testnet-vpn":500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 26920s; newest IPSEC; eroute owner
000 #30: "testnet-vpn" esp.60cc91f1@BB.BB.BB.BB esp.e4aad0a3@AA.AA.AA.AA tun.0@BB.BB.BB.BB tun.0@AA.AA.AA.AA
000
temp_fw / # iptables-save
-A INPUT -p udp -m udp --dport 500 -m state --state NEW -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A OUTPUT -p udp -m udp --dport 500 -m state --state NEW -j ACCEPT
-A OUTPUT -p esp -j ACCEPT
-A OUTPUT -p ah -j ACCEPTПри текущей таблице iptables, сети видны если подключиться по OpenVPN.
Есть подозрение что когда пакеты уходят, то они не ходят через тонель, если пустить трассеры, то видно что после роутера пакет уходит на шлюз провайдера, и там соответственно умирает. Вот таблица маршрутизации после поднятия Ipsec:
temp_fw / # route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
AA.AA.AA.200 * 255.255.255.252 U 0 0 0 eth1
192.168.50.0 * 255.255.255.0 U 0 0 0 eth0
192.168.17.0 * 255.255.255.0 U 0 0 0 eth1
loopback * 255.0.0.0 U 0 0 0 lo
default AA.AA.AA.201 0.0.0.0 UG 0 0 0 eth1может я чего-то не доделал, или не так сделал? где ишибка в конфиге, или iptables?
temp_fw / # less /var/lib/syslog | grep ipsec
Jul 9 10:38:49 temp_fw ipsec_setup: Starting Openswan IPsec 2.4.15...
Jul 9 10:38:49 temp_fw ipsec_setup: NETKEY on eth1 AA.AA.AA.202/255.255.255.252 broadcast AA.AA.AA.203
Jul 9 10:38:49 temp_fw ipsec_setup: ...Openswan IPsec started
Jul 9 10:38:49 temp_fw ipsec__plutorun: 104 "testnet-vpn" #1: STATE_MAIN_I1: initiate
Зачем именно ipsec? Чем не устраивает openvpn?
>Зачем именно ipsec? Чем не устраивает openvpn?Для тестирования производительности на IPSEC, вроде оно считается более производительным по скорости передачи. Какой из них будет лучше для работы в RDP
>>Зачем именно ipsec? Чем не устраивает openvpn?
>
>Для тестирования производительности на IPSEC, вроде оно считается более производительным по скорости
>передачи. Какой из них будет лучше для работы в RDPНу если у вас там не pentium 100, то openvpn более чем хватит. Даже с компресией, имхо
>>>Зачем именно ipsec? Чем не устраивает openvpn?
>>
>>Для тестирования производительности на IPSEC, вроде оно считается более производительным по скорости
>>передачи. Какой из них будет лучше для работы в RDP
>
>Ну если у вас там не pentium 100, то openvpn более чем
>хватит. Даже с компресией, имхоИмеется ввиду скорость передачи данных по сети, не всегда она зависит от процессора, при тестировании OpenVPN выдал до 5 мбит/сек, это при подключении по локальной сети и при этом процессор не был в нагрузке. 5 мбит, хватит для комфортной работы одновременно примерно 5 пользователей, а надо больше. IPSEC в этом плане говорят более производителен, вот теперь вопрос в том что не получается его настроить и проверить :-(
>[оверквотинг удален]
>>
>>Ну если у вас там не pentium 100, то openvpn более чем
>>хватит. Даже с компресией, имхо
>
>Имеется ввиду скорость передачи данных по сети, не всегда она зависит от
>процессора, при тестировании OpenVPN выдал до 5 мбит/сек, это при подключении
>по локальной сети и при этом процессор не был в нагрузке.
>5 мбит, хватит для комфортной работы одновременно примерно 5 пользователей, а
>надо больше. IPSEC в этом плане говорят более производителен, вот теперь
>вопрос в том что не получается его настроить и проверить :-(Что за бред. У меня 10Мбит (оптика между офисами) и 100 пользователей с одной стороны и 100 с другой. Никаких проблем нет. OpenVPN будет давать ту скорость, которая ограничивает канал, поверх которого он поднимается. Ну если вы конечно не ограничите скорость явно в самом openvpn