Всем здравствуйте!Возвращаюсь к своим похождениям с ipsec.
Ситуация следующая.
имеется два сервера
GW1
inet1 85.85.85.1/24
inet2 86.86.86.1/24
lan 192.168.1.1/24GW2
inet 101.1.1.2/24
lan 192.168.2.2/24Вроде все нормально.
Делаю между ними два ipsec
с 85.85.85.1 на 101.1.1.2
с 86.86.86.1 на 101.1.1.2за каждым из шлюзов стоят еще одни шлюзы которые разруливают сети по OSPF. И между теми шлюзами есть канал точка-точка (Основной). Поверх ipsec прокинуты gre туннели и там тоже все нормально.
Вообщем как только я поднимаю ipsec на gw1 и gw2, все работает (да и без ipsec работает т.к. сделан NAT). Но дело в том что после того как поднимается ipsec перестают ходить ping и остальные пакеты чежду GW1 и GW2 по любым из интернет каналов, хотя связь по gre и ospf не прерывается, и все работает нормально, и даже переключение между каналами работает.
Но вот почему пропадает связь между шлюзами не могу понять. Хотя если c GW1 пингую GW2 то вижу AH и ESP пакеты на интерфейсе а вот ответы не идут, также и в обратном направлении.
Может кончено я что то с iproute напутал, но без ipsec все нормально пингуется.Может кто сталкивался с данной проблемой.
Заранее спасибо!Ах да чуть не забыл
Все это пока крутится на стенде и эмулирует сущ. конфигурацию, на которой потом будет подниматься.
Стенд состоит из двух серваков Vmware ESXI и XenServer, между которыми свитч циско, ну а на них куча виртуалок. то что приведено это часть стенда.
И да в дополнение. Пакеты которые идут поверх ipsec норм не тока ходят но и по tcpdump их видно с теми же заголовками.
И пинги не всегда пропадают иногда они возращаются :-)Опять в догонку.
Используется CentOS 5.4
И естественно что конфигурируется с помощью его же конфигов.
Только сейчас заметил что на стороне где два прова, после запуска ipsec конфиг только один. Но правил по setkey -DP как полагается 6. У меня такое ощущение что в этом загвоздка. И поэтому то есть пинги то их нет.
>[оверквотинг удален]
>
>И пинги не всегда пропадают иногда они возращаются :-)
>
>Опять в догонку.
>Используется CentOS 5.4
>И естественно что конфигурируется с помощью его же конфигов.
>Только сейчас заметил что на стороне где два прова, после запуска ipsec
>конфиг только один. Но правил по setkey -DP как полагается 6.
>У меня такое ощущение что в этом загвоздка. И поэтому то
>есть пинги то их нет.Ауууу. Люди!!!
Помогите! Второй день бьюсь не могу решить.
Осталась только вот эта проблема. И дальше уже буду все тестировать.вот конфиги
ipsec0
TYPE=IPSEC
ONBOOT=yes
DST=101.1.1.2
SRC=85.85.85.1
IKE_METHOD=PSKipsec1
TYPE=IPSEC
ONBOOT=yes
DST=101.1.1.2
SRC=86.86.86.6
IKE_METHOD=PSKКлючи у них одинаковые.
С другой стороны аналогично тока поменяны местами SRD - DST
В логах ошибок вообще нет.
up.Люди кто делал резервирование для ipsec, поделитесь конфигами.
Темы здесь проскакивали аналогичные что у людей по два прова с каждой стороны, и делали полное резервирование, то есть получается именно такая же ситуация происходила. Но только видимо авторы топиков настроив все это дело, просто отписали "спасибо, проблему решили сами" в последнем посте и даже не оставили конфигов.Буду рад любой помощи.
Ну и в дополнение попробую нарисовать схемкуeth0 -----------------| |
GW1 | INTERNET |----------------- eth0 GW2
eth1 -----------------| |
GW1
eth0 - 1.1.1.1
eth1 - 2.2.2.2GW2
eth0 - 3.3.3.3
>[оверквотинг удален]
>
>И пинги не всегда пропадают иногда они возращаются :-)
>
>Опять в догонку.
>Используется CentOS 5.4
>И естественно что конфигурируется с помощью его же конфигов.
>Только сейчас заметил что на стороне где два прова, после запуска ipsec
>конфиг только один. Но правил по setkey -DP как полагается 6.
>У меня такое ощущение что в этом загвоздка. И поэтому то
>есть пинги то их нет.чем создаешь тунель? и в краце есть такое понятие как leftsource rigthsource - "граничные" точки - т.е. внутриние адреса роутеров из leftsubnet и rigthsubnet соответственно - без указание этих параметров в openswan допустим никакой трафик но внутреним адресам между самих роутеров не ходит, хотя подсетки видят себя нормально.
>[оверквотинг удален]
>>Только сейчас заметил что на стороне где два прова, после запуска ipsec
>>конфиг только один. Но правил по setkey -DP как полагается 6.
>>У меня такое ощущение что в этом загвоздка. И поэтому то
>>есть пинги то их нет.
>
>чем создаешь тунель? и в краце есть такое понятие как leftsource rigthsource
>- "граничные" точки - т.е. внутриние адреса роутеров из leftsubnet и
>rigthsubnet соответственно - без указание этих параметров в openswan допустим никакой
>трафик но внутреним адресам между самих роутеров не ходит, хотя подсетки
>видят себя нормально.leftsubnet и rightsubnet насколько я понял используются для туннельного режима.
Мне же необходим транспортный режим, потому как поверх всего этого дела поднимается gre и уже потом OSPF. Но ближе к делу.
Использую для поднятия ipsec, racoon из пакеты ipsec-tools. Выбор пал на него потому как в дистрибутивах от redhat и их клонов он используется по умолчанию, ну и самое главное что для настройки уже все готово, стоит только поставить пакет.
В этом видимо и загвоздка
т.к. после того как поднять один ipsec на шлюзе с двумя провами,то все нормально, т.к. происходит запуск racoon с конфигурационным файлом который создается при поднятии интерфейса. Имя файла вот такого вида DST.conf, он добавляется в файл racoon.conf директивой inlcude. Ну и все работает как полагается. пакеты между хостами ходят, и если они попадают под правила ipsec то все шифруется как полагается (забегая вперед даже скажу что и gre работает и OSPF). Но если поднять второй ipsec вместе с первым, вернее сказать сразу оба ipsec, то вот здесь начинаются проблемы. Пакеты то ходят, то нет. То ходят только по одному каналу, то вообще ни по подному. Хотя если смотреть tcpdump то видно что пакеты с удаленной стороны приходят и их видно на интерфейсе, но вот ответа на них нет. Такое ощущение что они попали под работающие правила ipsec, но то ли счетчик то ли еще чего не позволяют и пройти дальше.
>[оверквотинг удален]
>пакеты между хостами ходят, и если они попадают под правила ipsec
>то все шифруется как полагается (забегая вперед даже скажу что и
>gre работает и OSPF). Но если поднять второй ipsec вместе с
>первым, вернее сказать сразу оба ipsec, то вот здесь начинаются проблемы.
>Пакеты то ходят, то нет. То ходят только по одному каналу,
>то вообще ни по подному. Хотя если смотреть tcpdump то видно
>что пакеты с удаленной стороны приходят и их видно на интерфейсе,
>но вот ответа на них нет. Такое ощущение что они попали
>под работающие правила ipsec, но то ли счетчик то ли еще
>чего не позволяют и пройти дальше.как настроенна балансировка между 2 провами на роутере?
>[оверквотинг удален]
>>gre работает и OSPF). Но если поднять второй ipsec вместе с
>>первым, вернее сказать сразу оба ipsec, то вот здесь начинаются проблемы.
>>Пакеты то ходят, то нет. То ходят только по одному каналу,
>>то вообще ни по подному. Хотя если смотреть tcpdump то видно
>>что пакеты с удаленной стороны приходят и их видно на интерфейсе,
>>но вот ответа на них нет. Такое ощущение что они попали
>>под работающие правила ipsec, но то ли счетчик то ли еще
>>чего не позволяют и пройти дальше.
>
>как настроенна балансировка между 2 провами на роутере?У меня не используется балансировка канала. У меня работает в режиме резервирования. Но если уж на то пошло то при простой настройке OSPF на обоих концах без указания весов и приоритетов он автоматом начинает делать балансировку, даже, если не ошибаюсь, распределяет трафик в зависимости от скорости подключения.
Уууупс. Вы что имели ввиду?
Если балансировку от gw1 по двум провам??
то здесь тоже балансировка не используется. Настроен source route для каждого прова и все. И без ipsec если делать ping -I ethX YY.YY.YY.YY то все пашет нормально, также как и у с другой стороны.