Не могу объединить офисы-сателиты.Есть центральный сервер (внешний IP: A.B.C.D, внутренний: 192.168.7.1) FreeBSD 8.2, который строит туннели с офисами.
В rc.conf у меня:
-----------------
ifconfig_re0="inet A.B.C.D netmask 255.255.255.0"
ifconfig_em0="inet 192.168.7.1 netmask 255.255.255.0"
gif_interfaces="gif0 gif1 gif2"
# Satelite_1
#gif_interfaces="gif0"
gifconfig_gif0="A.B.C.D A1.B1.C1.D1"
ifconfig_gif0="inet 192.168.7.1 192.168.0.8 netmask 255.255.255.0"
# Satelite_2
#gif_interfaces="gif1"
gifconfig_gif1="A.B.C.D A2.B2.C2.D2"
ifconfig_gif1="inet 192.168.7.1 192.168.5.5 netmask 255.255.255.0"
# Satelite_3
#gif_interfaces="gif2"
gifconfig_gif2="A.B.C.D A3.B3.C3.D3"
ifconfig_gif2="inet 192.168.7.1 192.168.8.10 netmask 255.255.255.0"
gateway_enable="YES"
static_routes="vpn0 vpn1 vpn2"
route_vpn0="192.168.0.0/24 -Interface gif0"
route_vpn1="192.168.5.0/24 -Interface gif1"
route_vpn2="192.168.8.0/24 -Interface gif2"
---------------
В ipsec.conf:#!/usr/local/sbin/setkey -f
flush;
spdflush;
# IPSec for Satelite_1
spdadd 192.168.7.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/A.B.C.D-A1.B1.C1.D1/require;
spdadd 192.168.0.0/24 192.168.7.0/24 any -P in ipsec esp/tunnel/A1.B1.C1.D1-A.B.C.D/require;# IPSec for Satelite_1
spdadd 192.168.7.0/24 192.168.5.0/24 any -P out ipsec esp/tunnel/A.B.C.D-A3.B3.C3.D3/require;
spdadd 192.168.5.0/24 192.168.7.0/24 any -P in ipsec esp/tunnel/A3.B3.C3.D3-A.B.C.D/require;# IPSec for Satelite_3
spdadd 192.168.7.0/24 192.168.8.0/24 any -P out ipsec esp/tunnel/A.B.C.D-A2.B2.C2.D2/require;
spdadd 192.168.8.0/24 192.168.7.0/24 any -P in ipsec esp/tunnel/A2.B2.C2.D2-A.B.C.D/require;
----------------------
Вывод команды "netstat -rn":
Internet:
Destination Gateway Flags Refs Use Netif Expire
default A0.B0.C0.D0 UGS 2 4 re0
127.0.0.1 link#6 UH 0 0 lo0
A.B.C.D/24 link#1 U 3 18 re0
A.B.C.D link#1 UHS 0 0 lo0
192.168.0.0/24 gif0 US 0 3 gif0
192.168.0.8 link#7 UH 0 0 gif0
192.168.5.0/24 gif1 US 0 0 gif1
192.168.5.5 link#8 UH 0 0 gif1
192.168.7.0/24 link#2 U 2 67 em0
192.168.7.1 link#2 UHS 3 0 lo0
192.168.8.0/24 gif2 US 0 5 gif2
192.168.8.10 link#9 UH 0 0 gif2
192.168.70.0/24 link#3 U 0 0 em1
192.168.70.1 link#3 UHS 0 0 lo0
------------------
Что работает:Работают туннели:
1. "Центральный сервер <---> Satelite_1"
2. "Центральный сервер <---> Satelite_2"
3. "Центральный сервер <---> Satelite_3"
Ходят все типы данных и без нареканий
------------------
Что НЕ работает:Не работает туннель:
"Satelite_2 <---> Satelite_3"
т.е. не ходит ничего, даже пинги
------------------IPFW работает в режиме "разрешено все".
=========================================
Очевидно, что проблема в роутинге, но я что-то конкретно торможу и не могу понять в каком месте я упустил настройку.Помогите, пожалуйста, решить проблему.
Заранее благодарен.
Курите RIP или OSPF, или динамическая маржрутизация.
> Не могу объединить офисы-сателиты.
> ------------------
> Что НЕ работает:
> Не работает туннель:
> "Satelite_2 <---> Satelite_3"
> т.е. не ходит ничего, даже пинги
> ------------------On Satelite_2
route add -net satelite_3 gw IP_OF_Central_OfficeOn Satelite_3
route add -net satelite_2 gw IP_OF_Central_OfficeТолько ЭТОГО лучше не делать :) Потому как ваши 2-й и 3-й будут общаться между собой используя ваш КАНАЛ ЦЕНТРАЛЬНОГО офиса :) А зачем это нужно? Уж лучше в этом случае сделать Satelite_2 <- IPSEC -> Satelite_3
С уважением Алексей Леончик
>[оверквотинг удален]
> ------------------
> Что НЕ работает:
> Не работает туннель:
> "Satelite_2 <---> Satelite_3"
> т.е. не ходит ничего, даже пинги
> ------------------
> IPFW работает в режиме "разрешено все".
> =========================================
> Очевидно, что проблема в роутинге, но я что-то конкретно торможу и не
> могу понять в каком месте я упустил настройку.Раз проблема в роутинге , то почему бы не посмотреть(показать) вывод netstat -rn на втором и третьем участке?
И ещё. Вы зря усложняете сеть gif-ами, уберите их (принцип KISS). Достаточно оставить только правила ipsec и прописать маршруты как советует Alexey Leonchik.
>[оверквотинг удален]
>> ------------------
>> IPFW работает в режиме "разрешено все".
>> =========================================
>> Очевидно, что проблема в роутинге, но я что-то конкретно торможу и не
>> могу понять в каком месте я упустил настройку.
> Раз проблема в роутинге , то почему бы не посмотреть(показать) вывод netstat
> -rn на втором и третьем участке?
> И ещё. Вы зря усложняете сеть gif-ами, уберите их (принцип KISS). Достаточно
> оставить только правила ipsec и прописать маршруты как советует Alexey
> Leonchik.На втором и третьем участке стоят CISCO PIX 501. Строить между ними дополнительный туннель нехочется, т.к. будут ещё офисы и число туннелей увеличится (тогда упадёт пропускная способность PIX`ов).
Фрагмент конфигов.
Satelite_2:
-------------
access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.7.0 255.255.255.0
access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.8.0 255.255.255.0
access-list outside_cryptomap_60 permit ip 192.168.0.0 255.255.255.0 192.168.7.0 255.255.255.0
access-list outside_cryptomap_60 permit ip 192.168.0.0 255.255.255.0 192.168.8.0 255.255.255.0
*
ip address outside A1.B1.C1.D1 255.255.255.0
ip address inside 192.168.0.8 255.255.255.0
*
global (outside) 1 interface
nat (inside) 0 access-list 100
*
route outside 0.0.0.0 0.0.0.0 A0.B0.C0.D0 1
*
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto map VPN 60 ipsec-isakmp
crypto map VPN 60 match address outside_cryptomap_60
crypto map VPN 60 set peer A.B.C.D
crypto map VPN 60 set transform-set ESP-3DES-SHA
crypto map VPN interface outside
isakmp enable outside
isakmp key ******** address A.B.C.D netmask 255.255.255.0
*
isakmp policy 10 authentication pre-share
isakmp policy 10 encryption 3des
isakmp policy 10 hash sha
isakmp policy 10 group 2
isakmp policy 10 lifetime 86400Satelite_3:
всё тоже самое, только внешний и внутренние IP другие.
------------Раньше в качестве центрального сервера использовалась CISCO ASA 5500 и удалённые PIX`ы нормально подключались и с их маршрутизацией проблем не было.
Вот таблица маршрутизации на Satelite_2 (на Satelite_3 аналогично). Её внешний IP "A1.B1.C1.D1":
------------
# sh route
outside 0.0.0.0 0.0.0.0 A0.B0.C0.D0 1 OTHER static
outside A.B.C.0 255.255.255.0 A1.B1.C1.D1 1 CONNECT static
inside 192.168.0.0 255.255.255.0 192.168.0.8 1 CONNECT static
------------
На Satelite_3:# sh route
outside 0.0.0.0 0.0.0.0 A0.B0.C0.D0 1 OTHER static
outside A.B.C.0 255.255.255.0 A3.B3.C3.D3 1 CONNECT static
inside 192.168.8.0 255.255.255.0 192.168.8.10 1 CONNECT static
------------
Когда стояла CISCO ASA 5500 таблица маршрутизации была такая же и всё разруливалось через access-list.
------------
Пробовал писать на PIX`ах маршрут типа:
route inside 192.168.8.0 255.255.255.0 192.168.7.1 (для Satelite_2)
и
route inside 192.168.0.0 255.255.255.0 192.168.7.1 (для Satelite_3)но это не помогло.
забыл сказать.Gif`ы я убрал, чтобы не отвлекаться на них.
>[оверквотинг удален]
>>> могу понять в каком месте я упустил настройку.
>> Раз проблема в роутинге , то почему бы не посмотреть(показать) вывод netstat
>> -rn на втором и третьем участке?
>> И ещё. Вы зря усложняете сеть gif-ами, уберите их (принцип KISS). Достаточно
>> оставить только правила ipsec и прописать маршруты как советует Alexey
>> Leonchik.
> На втором и третьем участке стоят CISCO PIX 501. Строить между ними
> дополнительный туннель нехочется, т.к. будут ещё офисы и число туннелей увеличится
> (тогда упадёт пропускная способность PIX`ов).
> Фрагмент конфигов.Вроде как в первом письме satelite2 имел адрес 192.168.5.5 ?
> Satelite_2:
> -------------
> access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.7.0 255.255.255.0
> access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.8.0 255.255.255.0
> access-list outside_cryptomap_60 permit ip 192.168.0.0 255.255.255.0 192.168.7.0 255.255.255.0
> access-list outside_cryptomap_60 permit ip 192.168.0.0 255.255.255.0 192.168.8.0 255.255.255.0Я в цисках мало копенгаген, но понимаю так, что верхние две строчки разрешают туннелировать пакеты идущие в сети 192.168.7/24 и 192.168.8/24.
Если так, то фря на том конце не знает об этом.
Попробуй вставить в ipsec.conf сервера
spdadd 192.168.7.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/A.B.C.D-A1.B1.C1.D1/unique;
spdadd 192.168.8.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/A.B.C.D-A1.B1.C1.D1/unique;
spdadd 192.168.0.0/24 192.168.7.0/24 any -P in ipsec esp/tunnel/A1.B1.C1.D1-A.B.C.D/unique;
spdadd 192.168.0.0/24 192.168.8.0/24 any -P in ipsec esp/tunnel/A1.B1.C1.D1-A.B.C.D/unique;
и аналогично для других сателитов.
unique - задаёт поведение при формировании туннелей как у cisco
>[оверквотинг удален]
> inside 192.168.8.0 255.255.255.0 192.168.8.10 1 CONNECT static
> ------------
> Когда стояла CISCO ASA 5500 таблица маршрутизации была такая же и всё
> разруливалось через access-list.
> ------------
> Пробовал писать на PIX`ах маршрут типа:
> route inside 192.168.8.0 255.255.255.0 192.168.7.1 (для Satelite_2)
> и
> route inside 192.168.0.0 255.255.255.0 192.168.7.1 (для Satelite_3)
> но это не помогло.