URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 92874
[ Назад ]

Исходное сообщение
"Racoon -- IPSec --DI804HV и 3 подсети"
Отправлено МихаилА4 , 13-Янв-12 07:37

Доброго времени суток,
Имеем 2 шлюза "А"  и "В"
"А" под FreeBSD на нем крутится racoon.
"B" D-Link DI-804HV.
Между этими точками поднят IPSEC туннель, 192.168.168.2 и 192.168.135.176, все отлично работает.
Но на точке "А" появилась доп. подсеть -  10.10.11.0/24, которая подключена через отдельный интерфейс, и также должна видеть подсеть 192.168.135.176/28 которая находится на точке "B".
Подскажите как настроить.
Конфиги могу показать скажите какие нужно.
                                  --------                     --------           --------
(192.168.0.0/16)------|  A    |-----IPSEC-----|   B     | ------- (Сеть 192.168.135.176/28)
                              |FreeBSD|      --------   | DI804hv |     --------
                               |
                               |
                         (10.10.11.0/24)

Содержание

Racoon -- IPSec --DI804HV и 3 подсети,YuryD, 10:04 , 13-Янв-12
- Racoon -- IPSec --DI804HV и 3 подсети,МихаилА4, 10:57 , 13-Янв-12
  - Racoon -- IPSec --DI804HV и 3 подсети,YuryD, 12:20 , 13-Янв-12
Racoon -- IPSec --DI804HV и 3 подсети,TaxucT, 15:18 , 15-Фев-12

Сообщения в этом обсуждении

"Racoon -- IPSec --DI804HV и 3 подсети"
Отправлено YuryD , 13-Янв-12 10:04

> Доброго времени суток,
> Имеем 2 шлюза "А" и "В"
> "А" под FreeBSD на нем крутится racoon.
> "B" D-Link DI-804HV.
> Между этими точками поднят IPSEC туннель, 192.168.168.2 и 192.168.135.176, все отлично
> работает.
> Но на точке "А" появилась доп. подсеть - 10.10.11.0/24, которая подключена
> через отдельный интерфейс, и также должна видеть подсеть 192.168.135.176/28 которая находится
> на точке "B".
Насколько я помню, все упрется в di-804. Но он позволяет создавать несколько ipsec с разными адресами сетей на концах туннеля. У меня на 808hv 4 ipsec крутятся звездой.

"Racoon -- IPSec --DI804HV и 3 подсети"
Отправлено МихаилА4 , 13-Янв-12 10:57

>  Насколько я помню, все упрется в di-804. Но он позволяет создавать
> несколько ipsec с разными адресами сетей на концах туннеля. У меня
> на 808hv 4 ipsec крутятся звездой.
Правильно ли я понял
тогда схема примет такой вид ?
если первый туннель у меня соединен между 192.168.0.0 и 192.168.135.176 при этом на точке "А" vpn сервер имеет ip 192.168.168.2
Второй нужно подымать с 10.10.11.0  и  192.168.135.176 при этом на точке "А" vpn сервер будет иметь адрес 10.10.11.2 ?
делал по аналогии http://www.dlink.ru/ru/faq/92/510.html не получается одновременно не работают
                                  --------                     --------           --------
(192.168.0.0/16)------|  A    |-----IPSEC-----|   B     | ------- (Сеть 192.168.135.176/28)
(10.10.11.0/24 )------|  A    |-----IPSEC-----|   B     | ------- (Сеть 192.168.135.176/28)
                      |FreeBSD|      --------   | DI804hv |     --------

"Racoon -- IPSec --DI804HV и 3 подсети"
Отправлено YuryD , 13-Янв-12 12:20

> Правильно ли я понял
> тогда схема примет такой вид ?
Да, но в точке А придется мудрить с маршрутизацией, pbr рисовать, чтобы в зависимости от source ip траффик до Б шел через свой туннель.

"Racoon -- IPSec --DI804HV и 3 подсети"
Отправлено TaxucT , 15-Фев-12 15:18

>[оверквотинг удален]
>  --------
>
>
>         |
>
>
>         |
>
>
>   (10.10.11.0/24)
если я все правильно понял должно быть как то так
spdadd  192.168.0.0/16 192.168.135.176/28 any -P out ipsec esp/tunnel/A-B/unique;
spdadd  192.168.135.176/28 192.168.0.0/16 any -P in ipsec esp/tunnel/B-A/unique;
spdadd  10.10.11.0/24 192.168.135.176/28 any -P out ipsec esp/tunnel/A-B/unique;
spdadd  192.168.135.176/28 10.10.11.0/24 any -P in ipsec esp/tunnel/B-A/unique;
поправте меня... 8)