URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 86352
[ Назад ]

Исходное сообщение
"IPSEC и маршрутизация"
Отправлено yans , 21-Авг-09 12:16

Добрый день!
Сейчас сделал сеть из 3х шлюзов, между ними интернет.
Схема такая
GW1 ---|тунель IPSEC через инет|--- GW2 ---|тунель IPSEC через инет| --- GW3
создавал так: http://www.linuxnotes.ru/ipsec-centos/
Внутренние IP:
GW1 192.168.99.9
GW2 192.168.0.115
GW3 192.168.212.244
После поднятия туннелей сразу пингуются:
с GW1 - GW2,
c GW2 - оба,
с GW3 - GW2
На GW1 прописываю маршрут:
route add 192.168.0.115 gw 192.168.99.9
route add -net 192.168.212.0/24 gw 192.168.0.115
На GW3:
route add 192.168.0.115 gw 192.168.212.244
route add -net 192.168.99.0/24 gw 192.168.0.115
На GW2 маршруты прописаны автоматически на 99.х и 212.х сети после поднятия туннеля.
После этого пробую с GW1 запустить пинг на GW3:
ping 192.168.212.244
PING 192.168.212.244 (192.168.212.244) 56(84) bytes of data.
From 192.168.0.115: icmp_seq=2 Redirect Host(New nexthop: 192.168.212.244)
From 192.168.0.115: icmp_seq=3 Redirect Host(New nexthop: 192.168.212.244)
From 192.168.0.115 icmp_seq=1 Destination Host Unreachable
From 192.168.0.115 icmp_seq=2 Destination Host Unreachable
From 192.168.0.115 icmp_seq=3 Destination Host Unreachable
From 192.168.0.115: icmp_seq=4 Redirect Host(New nexthop: 192.168.212.244)
From 192.168.0.115: icmp_seq=5 Redirect Host(New nexthop: 192.168.212.244)
в это время на GW2(eth1 внутренний интерфейс):
tcpdump -i eth1 host 192.168.99.9
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
19:09:41.785833 IP 192.168.99.9 > 192.168.212.244: ICMP echo request, id 38922, seq 9, length 64
19:09:42.785768 IP 192.168.99.9 > 192.168.212.244: ICMP echo request, id 38922, seq 10, length 64
19:09:43.786743 IP 192.168.99.9 > 192.168.212.244: ICMP echo request, id 38922, seq 11, length 64
и с GW3 на GW1:
ping 192.168.99.9
PING 192.168.99.9 (192.168.99.9) 56(84) bytes of data.
From 192.168.212.244 icmp_seq=2 Destination Host Unreachable
From 192.168.212.244 icmp_seq=3 Destination Host Unreachable
From 192.168.212.244 icmp_seq=4 Destination Host Unreachable
From 192.168.212.244 icmp_seq=5 Destination Host Unreachable
From 192.168.212.244 icmp_seq=6 Destination Host Unreachable
From 192.168.212.244 icmp_seq=7 Destination Host Unreachable
В это время на GW2 tcpdump молчит

Что я делаю не так?

Содержание

IPSEC и маршрутизация,shadow_alone, 13:36 , 21-Авг-09
- IPSEC и маршрутизация,yans, 13:45 , 21-Авг-09
  - IPSEC и маршрутизация,shadow_alone, 13:57 , 21-Авг-09
    - IPSEC и маршрутизация,yans, 16:09 , 21-Авг-09

Сообщения в этом обсуждении

"IPSEC и маршрутизация"
Отправлено shadow_alone , 21-Авг-09 13:36

>На GW1 прописываю маршрут:
>route add 192.168.0.115 gw 192.168.99.9
>route add -net 192.168.212.0/24 gw 192.168.0.115
>На GW3:
>route add 192.168.0.115 gw 192.168.212.244
>route add -net 192.168.99.0/24 gw 192.168.0.115
Вообще-то стоит понимать, что, шлюзом можно прописывать адрес из своих сетей.
Вы хоть после прописания таких маршрутов, посмотрели ip ro?
Вы сделали у себя на серваках net2net ipsec, добавить маршруты не получиться в такое соединение, ибо это transport.
В вашем случае надо поднимать peer2peer ipsec, потом gre туннель, и прописывать маршруты уже на туннель.
http://wiki.dodex.org/?p=546 первый вариант
а потом
linux# ip tunnel add tun0 mode ipip remote IP1 local IP2
linux# ifconfig tun0 TUN2 pointopoint TUN1
linux# ifconfig tun0 mtu 1500
linux# ifconfig tun0 up

"IPSEC и маршрутизация"
Отправлено yans , 21-Авг-09 13:45

>linux# ip tunnel add tun0 mode ipip remote IP1 local IP2
>linux# ifconfig tun0 TUN2 pointopoint TUN1
>linux# ifconfig tun0 mtu 1500
>linux# ifconfig tun0 up
А в TUN2 и TUN1 что прописывать надо?

"IPSEC и маршрутизация"
Отправлено shadow_alone , 21-Авг-09 13:57

>>linux# ip tunnel add tun0 mode ipip remote IP1 local IP2
>>linux# ifconfig tun0 TUN2 pointopoint TUN1
>>linux# ifconfig tun0 mtu 1500
>>linux# ifconfig tun0 up
>
>А в TUN2 и TUN1 что прописывать надо?
серые адреса внутри тунеля
например:
/sbin/ifconfig tun0 10.10.50.2 pointopoint 10.10.50.1 netmask 255.255.255.252
на другой стороне наоборот
и у вас туннели получат адреса 10.10.50.2 и 10.10.50.1
тогда уже сможете прописать маршруты
ip ro add 192.168.xx.xx via 10.10.50.1 и т.д.

"IPSEC и маршрутизация"
Отправлено yans , 21-Авг-09 16:09

>[оверквотинг удален]
>>
>>А в TUN2 и TUN1 что прописывать надо?
>
>серые адреса внутри тунеля
>например:
>/sbin/ifconfig tun0 10.10.50.2 pointopoint 10.10.50.1 netmask 255.255.255.252
>на другой стороне наоборот
>и у вас туннели получат адреса 10.10.50.2 и 10.10.50.1
>тогда уже сможете прописать маршруты
>ip ro add 192.168.xx.xx via 10.10.50.1 и т.д.
Спасибо ОГРОМНОЕ! Спустя неделю мучений наконец то все заработало :)