URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 86610
[ Назад ]

Исходное сообщение
"Ipsec openswan kernel 2.6.24"
Отправлено Koba LTD , 16-Сен-09 00:56

Есть два линуха на kernel 2.6.24 установлен openswan 2.4.9 настроен тунель, ipsec0 не подымаеться - почитав, выяснил что так и должно быть если ядро 2.6.x и используеться NETKEY а не KLIPS. Ну нет так нет. НО появились вопросы
1) почемуто с той машины на которой поднят тунель не пингуються машны из сети на другом конце тунеля.
2) как организовать маршрутизацию, если не подымаеться интерфейс - к примеру на одном конце тунеля 2 сетки
Одно решение (я так понял) - это патчиться ядро на KLIPS и пересобирать его и пересобирать openswan - но не хочеться, неужеле нелься реальзовать через NETKEY.
Помогите плиз.

Содержание

Ipsec openswan kernel 2.6.24,серг, 05:30 , 16-Сен-09
- Ipsec openswan kernel 2.6.24,Koba LTD, 10:17 , 16-Сен-09
Ipsec openswan kernel 2.6.24,Koba LTD, 10:51 , 17-Сен-09
Ipsec openswan kernel 2.6.24,Koba LTD, 17:44 , 18-Сен-09
- Ipsec openswan kernel 2.6.24,серг, 05:58 , 21-Сен-09
  - Ipsec openswan kernel 2.6.24,Koba LTD, 11:28 , 21-Сен-09
    - Ipsec openswan kernel 2.6.24,серг, 13:33 , 21-Сен-09
      - Ipsec openswan kernel 2.6.24,Koba LTD, 15:37 , 21-Сен-09
        
        Ipsec openswan kernel 2.6.24,серг, 14:07 , 22-Сен-09

Сообщения в этом обсуждении

"Ipsec openswan kernel 2.6.24"
Отправлено серг , 16-Сен-09 05:30

>[оверквотинг удален]
>нет. НО появились вопросы
>1) почемуто с той машины на которой поднят тунель не пингуються машны
>из сети на другом конце тунеля.
>2) как организовать маршрутизацию, если не подымаеться интерфейс - к примеру на
>одном конце тунеля 2 сетки
>
>Одно решение (я так понял) - это патчиться ядро на KLIPS и
>пересобирать его и пересобирать openswan - но не хочеться, неужеле нелься
>реальзовать через NETKEY.
>Помогите плиз.
1) если туннель поднят то проверять нужно не со шлюзов, а с машин локальной сети (ибо пингуя с машины где поднят туннель ты пингуешь с интерфейса локалхост а в конфе ипсека у тебя указаны другие сети). И если верно настроен ипсек, то всё будет работать.
2) в таблицу маршрут ипсечного туннеля добавляется автоматом.

"Ipsec openswan kernel 2.6.24"
Отправлено Koba LTD , 16-Сен-09 10:17

>[оверквотинг удален]
>>пересобирать его и пересобирать openswan - но не хочеться, неужеле нелься
>>реальзовать через NETKEY.
>>Помогите плиз.
>
>1) если туннель поднят то проверять нужно не со шлюзов, а с
>машин локальной сети (ибо пингуя с машины где поднят туннель ты
>пингуешь с интерфейса локалхост а в конфе ипсека у тебя указаны
>другие сети). И если верно настроен ипсек, то всё будет работать.
>
>2) в таблицу маршрут ипсечного туннеля добавляется автоматом.
1) я это знаю - я и спрашиваю как сделать что бы с того хоста с которого поднят тунель была ДОСТУПНА сеть за тунелем - а то получаеться фигня какаято - я прекрасно понимаю что это связанно с МАРШРУТИЗАЦИЕ - но не могу найти инфу КАК ЭТО ПРАВЕЛЬНО НАСТРОИТЬ
2) Я это тоже знаю - я спрашивал как добавить есчо маршруты через "ипсечного туннел" допустим есть сетка 192.168.0.0/24 на одном конце и 10.202.245.0/24 на другом, на одной из машин сетки 10.202.245.0/24 (но не на той где подымаеться тунель) поднят pptp сервер который раздает сеть 10.202.244.0/24 - вопрос как сделать так чтобы пакеты из 192.168.0.0/24 ходи до 10.202.244.0/24 и обратно?

"Ipsec openswan kernel 2.6.24"
Отправлено Koba LTD , 17-Сен-09 10:51

Идеи исякли? :(

"Ipsec openswan kernel 2.6.24"
Отправлено Koba LTD , 18-Сен-09 17:44

>[оверквотинг удален]
>нет. НО появились вопросы
>1) почемуто с той машины на которой поднят тунель не пингуються машны
>из сети на другом конце тунеля.
>2) как организовать маршрутизацию, если не подымаеться интерфейс - к примеру на
>одном конце тунеля 2 сетки
>
>Одно решение (я так понял) - это патчиться ядро на KLIPS и
>пересобирать его и пересобирать openswan - но не хочеться, неужеле нелься
>реальзовать через NETKEY.
>Помогите плиз.
на первый пункт нашел ответ - случайно наткнулса (в примерах почему то никто не пишет) - если кому интересно то параметры leftsourceip, rightsourceip должны быть равны внутренним IP соответственно, - машина на которой поднят тунель нормально начинает ходить по сетке на другом конце тунеля. Со второй частью пока есчо затык - просто добавление маршрута с указанием GW внутреннего ip машины на другом конце ни к чему не приводит, то трасировке пакет всеравно уходит на default gw (в принцепе и понятно в тамблице нет маршрута на внутренний ip противоположной машины)
Откликнетесь кто нить - неужели только мне отному приспичело поднять тунель в сеть с двумя диапазонами ip?

"Ipsec openswan kernel 2.6.24"
Отправлено серг , 21-Сен-09 05:58

>[оверквотинг удален]
>никто не пишет) - если кому интересно то параметры leftsourceip, rightsourceip
>должны быть равны внутренним IP соответственно, - машина на которой поднят
>тунель нормально начинает ходить по сетке на другом конце тунеля. Со
>второй частью пока есчо затык - просто добавление маршрута с указанием
>GW внутреннего ip машины на другом конце ни к чему не
>приводит, то трасировке пакет всеравно уходит на default gw (в принцепе
>и понятно в тамблице нет маршрута на внутренний ip противоположной машины)
>
>Откликнетесь кто нить - неужели только мне отному приспичело поднять тунель в
>сеть с двумя диапазонами ip?
это делается параметрами
leftsubnet
rightsubnet

"Ipsec openswan kernel 2.6.24"
Отправлено Koba LTD , 21-Сен-09 11:28

>[оверквотинг удален]
>>GW внутреннего ip машины на другом конце ни к чему не
>>приводит, то трасировке пакет всеравно уходит на default gw (в принцепе
>>и понятно в тамблице нет маршрута на внутренний ip противоположной машины)
>>
>>Откликнетесь кто нить - неужели только мне отному приспичело поднять тунель в
>>сеть с двумя диапазонами ip?
>
>это делается параметрами
>leftsubnet
>rightsubnet
:) Много уважаемы покажите плиз РАБОТАЮЩИЙ пример как при настройке канала в параметрах leftsubnet rightsubnet указать больше 1 сетки :), я понимаю что есть вариан с поднятием нужного колво тунелей с указанием по одной сетки с каждой стороны - но вот беда - есть девайсы в которых колво ipsec соединений ограничено, да мне так кажеться (может быть я конешно и ошибаюсь) но подымать между ДВУМЯ точками N тунелей, для того что по идее должно решаться маршрутизаций - не совмес правельно

"Ipsec openswan kernel 2.6.24"
Отправлено серг , 21-Сен-09 13:33

>[оверквотинг удален]
>>rightsubnet
>
>:) Много уважаемы покажите плиз РАБОТАЮЩИЙ пример как при настройке канала в
>параметрах leftsubnet rightsubnet указать больше 1 сетки :), я понимаю что
>есть вариан с поднятием нужного колво тунелей с указанием по одной
>сетки с каждой стороны - но вот беда - есть девайсы
>в которых колво ipsec соединений ограничено, да мне так кажеться (может
>быть я конешно и ошибаюсь) но подымать между ДВУМЯ точками N
>тунелей, для того что по идее должно решаться маршрутизаций - не
>совмес правельно
идеология такая: ипсек будет шифровать то что указано в настройках, если подсеть не указана то и шифрования не будет, поэтому вопрос маршрутизацией не решишь. по поводу ограничения кол-ва ипсек соединений - это сколько? 2-3-5 туннелей поднимется без проблем, наврятле нужно больше.

"Ipsec openswan kernel 2.6.24"
Отправлено Koba LTD , 21-Сен-09 15:37

>[оверквотинг удален]
>>сетки с каждой стороны - но вот беда - есть девайсы
>>в которых колво ipsec соединений ограничено, да мне так кажеться (может
>>быть я конешно и ошибаюсь) но подымать между ДВУМЯ точками N
>>тунелей, для того что по идее должно решаться маршрутизаций - не
>>совмес правельно
>
>идеология такая: ипсек будет шифровать то что указано в настройках, если подсеть
>не указана то и шифрования не будет, поэтому вопрос маршрутизацией не
>решишь. по поводу ограничения кол-ва ипсек соединений - это сколько? 2-3-5
>туннелей поднимется без проблем, наврятле нужно больше.
так вопрос то и стоит в том что КАК УКАЗАТЬ ТУНЕЛЮ ШИФРОВАТЬ ПАКЕТЫ с нескольких подсетей с одной стороный - у меня есть девай который может подымать только 4 тунеля а подсеток 5? во вторых я не уверен что будет шифровать только те подсетки что указаны в настройках - смысл тунеля в том что ВСЕ что по нему проходило шифровалось, так вопрос стоит в том как заставить пакеты ходить через тунель - насколько я почитал (опытно есчо не проверял) но при реализации тунеля через KLIPS (т.е. когда создаеться ipsec0 т.д.) таких проблем нет - заварачиваешь маршрут на интерфейс и трафик идет туда куда надо и шифруеться - неужели нет такого в реализации через NETKEY, пока (как мне кажеться) накапал что надо капать в сторону xfrm - хотя может я и ошибаюсь

"Ipsec openswan kernel 2.6.24"
Отправлено серг , 22-Сен-09 14:07

>[оверквотинг удален]
>девай который может подымать только 4 тунеля а подсеток 5? во
>вторых я не уверен что будет шифровать только те подсетки что
>указаны в настройках - смысл тунеля в том что ВСЕ что
>по нему проходило шифровалось, так вопрос стоит в том как заставить
>пакеты ходить через тунель - насколько я почитал (опытно есчо не
>проверял) но при реализации тунеля через KLIPS (т.е. когда создаеться ipsec0
>т.д.) таких проблем нет - заварачиваешь маршрут на интерфейс и трафик
>идет туда куда надо и шифруеться - неужели нет такого в
>реализации через NETKEY, пока (как мне кажеться) накапал что надо капать
>в сторону xfrm - хотя может я и ошибаюсь
нет так не работает, я использую клипс и я могу лишь повторить, что в ипсечный тоннель заворачивается только то что указано в конфигурации ipsec.conf более никакими средствами туда ни один пакет не залетит.