URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 91925
[ Назад ]
Исходное сообщение
"IPSec"
Отправлено Vladas , 11-Июл-11 19:26 
Здравствуйте большие гуру и маленькие!
Расскажу я вам сказку, но сначала присказка:
Решило начальство поставить новую цифровую АТСку с поддержкой VoIP. Был у меня с ней интим, но я не об этом... Есть шлюз на FreeBSD и даже работает. Машинки из внутренней сети 192.168.0.0/24 через NAT ходят в инет. АТС Необходимо подключаться к SIP провайдеру через IPsec туннель, но немного хитрым образом - у них требование присвоить privat IP из диапазона 172.xx.xx.xx/30 для внутреннего интерфейса.
Выглядит итоговая топология так:

|------------------|...........172.a.b.c |-----------|79.d.e.f......212.g.h.i |----------|212.j.k.l
|192.168.0.0/24  |<---------------->| Gateway |<--------------------->|SIP GW|---------
|------------------|........192.168.0.1|------------|.............................|----------|

//точечки добавил для выравнивания :)

IPsec я настроил. Под настроил имею ввиду, что могу пинговать 212.j.k.l со шлюза
172.a.b.c - это айпишник gif интерфейса
Из локальной сети машины не пингуют 212.j.k.l
Сама АТС находится во внутренней сети и имеет адрес 192.168.0.6
Посетило меня гениальное соображение, что наверно нужно поднять еще один NAT, который будет транслировать адреса из локалки в 172.a.b.c
НО! не работает чего-то :(

что сделано на данный момент:
1. на шлюзе прописан статический маршрут route_ipsec="212.j.k.l/30 -interface gif0"

2. ${fwcmd} nat 567 config ip 172.a.b.c log
   ${fwcmd} add nat 567 all from 192.168.0.0/24 to 212.j.k.l via gif0
   ${fwcmd} add nat 567 all from 212.j.k.l to 192.168.0.0/24 via gif0
пробовал так же вот такой вариант вместо последнего правила:
   ${fwcmd} add nat 567 all from 212.j.k.l to 172.a.b.c via gif0

3. ${fwcmd} add allow all from 212.j.k.l/30 to 172.a.b.c/30 via gif0
   ${fwcmd} add allow all from 172.a.b.c/30 to 212.j.k.l/30 via gif0
так же пробовал
   ${fwcmd} add allow all from any to any via gif0

Вобщем в итоге если пинговать 212.j.k.l из локалки, то "Превышен интервал ожидания"
tcpdump -i gif0 на шлюзе при этом выдает только

18:21:44.199076 IP 172.a.b.c > 212.j.k.l: ICMP echo request, id 1, seq 158, length 40
18:21:44.199076 IP 172.a.b.c > 212.j.k.l: ICMP echo request, id 1, seq 159, length 40
18:21:44.199076 IP 172.a.b.c > 212.j.k.l: ICMP echo request, id 1, seq 160, length 40

Стоит ли говорить, что АТС не работает
Помогите советом или грамотными правилами файера пожааааалуйста :)

Содержание
Сообщения в этом обсуждении
"IPSec"
Отправлено Hammer , 12-Июл-11 10:22 
>[оверквотинг удален]
> Вобщем в итоге если пинговать 212.j.k.l из локалки, то "Превышен интервал ожидания"
> tcpdump -i gif0 на шлюзе при этом выдает только
> 18:21:44.199076 IP 172.a.b.c > 212.j.k.l: ICMP echo request, id 1, seq 158,
> length 40
> 18:21:44.199076 IP 172.a.b.c > 212.j.k.l: ICMP echo request, id 1, seq 159,
> length 40
> 18:21:44.199076 IP 172.a.b.c > 212.j.k.l: ICMP echo request, id 1, seq 160,
> length 40
> Стоит ли говорить, что АТС не работает
> Помогите советом или грамотными правилами файера пожааааалуйста :)

Даешь маршрутизацию в массы. Ну что вы как дети, в самом деле.

"IPSec"
Отправлено Vladas , 12-Июл-11 11:02 
> Даешь маршрутизацию в массы. Ну что вы как дети, в самом деле.

дети - это да :)

шлюз:

Router# netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default                79.171.125.193     UGS         0  4140872    rl1
79.171.120.1       79.171.125.193     UGHS        0    41147    rl1
79.171.120.3       79.171.125.193     UGHS        0     2976    rl1
79.171.125.192/28  link#2             UC          0        0    rl1
79.171.125.193     00:1f:9e:d2:9d:00  UHLW        4        0    rl1   1193
79.d.e.f           00:1d:60:90:c4:6d  UHLW        1     4230    lo0
127.0.0.1          127.0.0.1          UH          0       81    lo0
192.168.0.0/24     link#1             UC          0        0    rl0
192.168.0.9        00:30:4f:27:9e:a5  UHLW        1   169970    rl0   1086
.......
192.168.0.254      00:22:b0:5a:54:b4  UHLW        1   825498    rl0    964
192.168.1.0/24     link#3             UC          0        0    rl2
192.168.1.1        00:a1:b0:11:ae:b9  UHLW        1     4215    lo0
192.168.1.10       00:22:15:24:d6:97  UHLW        1   107887    rl2    128
212.j.k.l/30       gif0               US          0       46   gif0
212.j.k.l          172.a.b.c          UH          0     1148   gif0

на машине в локалке:

C:\Users\"user">route print
........
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.114    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.114    276
    192.168.0.114  255.255.255.255         On-link     192.168.0.114    276
    192.168.0.255  255.255.255.255         On-link     192.168.0.114    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.114    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.114    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      192.168.0.1  По умолчанию
===========================================================================

"IPSec"
Отправлено Vladas , 13-Июл-11 10:42 
Хелп :)