Столкнулся с такой проблемой в RACOON. настроено соединение VPN с защищенным каналом между двумя офисами с IP1 192.168.2.0/24 и IP2 10.1.142.0/22. Настроена маршрутизация на IP1 (ip route add to 10.1.142.0/22 via 192.168.2.1 src 192.168.2.1. Итого получаем route -N:
10.1.142.0 192.168.2.1 255.255.252.0 UG eth0
192.168.2.0 0.0.0.0 255.255.255.0 U eth0
Можно смело пинговать с хоста 2.1 (eth0)на 10.1.142.1 допустим, но пробуем пинговать с любого хоста сетки 2.0, request time out. Прописаны правила в Iptables:
iptables -A INPUT -p icmp -j ACCEPT -i eth0 -s 192.168.2.0/24 -d 10.1.142.0/22
iptables -A OUTPUT -p icmp -j ACCEPT -o eth0 -d 192.168.2.0/24 -s 10.1.142.0/22.Собственно говоря, проблема заключается в предоставлении пользователям из сети 2.0 в сеть 10.1.142.0 сервисов.
Или туннель неправильно настроен или он по к-л. причинам не подымается.
Покажи настройки енота и его логи.
>Или туннель неправильно настроен или он по к-л. причинам не подымается.
>Покажи настройки енота и его логи.туннель работает. поднимается. траффик шифруется. с этим проблем нет. нет прохождения пакетов из одной сети в другую.
если смотреть tcpdump -i eth0 host 10.1.142.1, то пинги идут на eth0, но вот почему согласно маршрутизации они не идут на 2.1 далее, это уже ... :-(
зафильтрованы, вот и не идут. Неужели трудно было отключить фильтрование совсем перед тем как настраивать в первый раз? Во всех хавту так написано и с этим сложно не согласиться...
>зафильтрованы, вот и не идут. Неужели трудно было отключить фильтрование совсем перед
>тем как настраивать в первый раз? Во всех хавту так написано
>и с этим сложно не согласиться...пожалуйста поделитесь линком где можно про это подробно почитать, буду признателен. система Linux.
я добавил правило:
iptables -A FORWARD -p ALL -i eth0 -d 10.1.142.0/22 -s 0/0 -j ACCEPT,
но это не помогло.
Выключить (временно) фильтрацию:
/sbin/service iptables stop
Проверить вкл. ли маршрутизация:
#cat /proc/sys/net/ipv4/ip_forward
#1
>Выключить (временно) фильтрацию:
>/sbin/service iptables stop
>Проверить вкл. ли маршрутизация:
>#cat /proc/sys/net/ipv4/ip_forward
>#1
1 стоит. iptables (полностью firewall) отключил. ничего. :-(
iptables -A INPUT/OUTPUT -p ALL -i eth0 -j LOG --log-level debug при пинге из сети 2.0 ничего не пишет. инфа тока если пинговать на eth0 (192.168.2.1) есть. а вот что за чудо сеть 10.1.142.0 в сети привязанное к eth0, не видит. Ж-(
Гхм, я извиняюсь, но
ip route add to 10.1.142.0/22 via 192.168.2.1
на машинах сети 192.168.2.0 прописано?
traceroute с них что говорит?
если все ок, то см. мою 1-ю мессагу, надо конфиги и логи.
>Гхм, я извиняюсь, но
>ip route add to 10.1.142.0/22 via 192.168.2.1
>на машинах сети 192.168.2.0 прописано?прописано. например на 2.90: ip route add to 10.1.142.0/22 via 192.168.2.1 src 192.168.2.90
>traceroute с них что говорит?
>если все ок, то см. мою 1-ю мессагу, надо конфиги и логи.
>конфиги чего? вот полная маршрутизация:
на 2.90 скажем прописано так: route -N
10.1.142.0 192.168.2.1 255.255.252.0 UG
на 2.1 прописано: route -N
10.1.142.0 192.168.2.1 255.255.252.0 UG
канал между 10.1.142.1 и 192.168.2.1 есть, напрямую пинг host-host работает. С локалки 2.90 нет.traceroute 10.1.142.1 с 2.90 говорит:
traceroute to 10.1.142.1 (10.1.142.1), 30 hops max, 40 byte packets
1 * * *
2 * * *
3 * * *
4 * * *
5 * * *
какие нужны именно логи и настройки я предоставляю.
>какие нужны именно логи и настройки я предоставляю.Покажи настройки racoon и его логи.
>>какие нужны именно логи и настройки я предоставляю.
>
>Покажи настройки racoon и его логи.racoon.conf:
remote 71.4.61.xxx
{
exchange_mode main;
doi ipsec_doi;
lifetime time 24 hour; # sec,min,hour
nat_traversal on;proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}sainfo address 192.168.2.0/24 any address 10.1.142.0/22 any
{
pfs_group 2;
lifetime time 3600 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}setkey.conf:
spdadd 10.1.142.0/22 192.168.2.0/24 any -P in ipsec esp/tunnel/71.4.61.xxx-212.44.92.xxx/require;
spdadd 192.168.2.0/24 10.1.142.0/22 any -P out ipsec esp/tunnel/212.44.92.xxx-71.4.61.xxx/require;
spdadd 192.168.2.0/24 10.1.142.0/22 any -P fwd ipsec esp/tunnel/212.44.92.xxx-71.4.61.xxx/require;логи норма. поверь. раз канал есть защищенный траффик http (local proxy) через него ходит.
не работаю такие сервисы как ssh и т.п.
>логи норма. поверь. раз канал есть защищенный траффик http (local proxy) через него ходит.Не факт. Он может ходить как раз мимо туннеля.
Давай тогда так:
cat racoon.log|grep established > сюда
тогда поверю ;)Кстати, как ракун запускаешь?
Таблицу маршрутов с ip1 покажи.
Кстати, вот это
ip route add to 10.1.142.0/22 via 192.168.2.1 src 192.168.2.1
на ip1 совершенно не нужно.
А нужно типа
ip route add to 10.1.142.0/22 via <следующий по пути от ip1 к ip2 промежуточный router> ...
>>логи норма. поверь. раз канал есть защищенный траффик http (local proxy) через него ходит.
>
>Не факт. Он может ходить как раз мимо туннеля.
>Давай тогда так:
>cat racoon.log|grep established > сюда
>тогда поверю ;)Aug 11 09:44:56 gate racoon: INFO: IPsec-SA established: ESP/Tunnel 71.4.61.xxx->212.44.92.xxx spi=127727007(0x79cf59f)
Aug 11 09:44:56 gate racoon: INFO: IPsec-SA established: ESP/Tunnel 212.44.92.xxx->71.4.61.xxx spi=2266036819(0x8710fa53)
Aug 11 09:45:06 gate racoon: INFO: ISAKMP-SA established 212.44.92.xxx[500]-71.4.61.xxx[500] spi:919ce58da24a2b22:3f0e45212db4a505и т.д.
>
>Кстати, как ракун запускаешь?
>:-) /etc/init.d/racoon start скриптом. у меня SuSe 9.2. подгружает /etc/raconn/racoon.conf
>Таблицу маршрутов с ip1 покажи.
192.168.2.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
192.168.80.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
192.168.60.0 0.0.0.0 255.255.255.0 U 0 0 0 eth2
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 212.44.92.173 0.0.0.0 UG 0 0 0 sat92.173 в инет смотрит.
>Кстати, вот это
>ip route add to 10.1.142.0/22 via 192.168.2.1 src 192.168.2.1
>на ip1 совершенно не нужно.
>А нужно типа
>ip route add to 10.1.142.0/22 via <следующий по пути от ip1 к ip2 промежуточный router> ...хмм. не совсем понял. какой роутер если есть 2 внешних IP, 2 IP локальных и между ними какой-то роутер, так? это VPN, нет там такого. 2.1 сам роутер.
>канал есть защищенный траффик http (local proxy) через
>него ходит.
Так этот трафик ходит как надо? Т.е. м.д. 2-мя сетями?
Только пинги и ssh не ходют?
Так что ж ты занятым людям голову морочишь?
>>канал есть защищенный траффик http (local proxy) через
>>него ходит.
>Так этот трафик ходит как надо? Т.е. м.д. 2-мя сетями?ходит.
>Только пинги и ssh не ходют?
да. не ходят из локальной сети. да и не только, хочу также использовать RDC на удаленном :-)
>Так что ж ты занятым людям голову морочишь?
хмм. вообще т оя сюда пришел с проблемой. и помойму доходчиво объяснил.
>>>канал есть защищенный траффик http (local proxy) через
>>>него ходит.
>>Так этот трафик ходит как надо? Т.е. м.д. 2-мя сетями?
>
>ходит.
>
>>Только пинги и ssh не ходют?
>
>да. не ходят из локальной сети.Значит с туннелем и рутингом все ок.
Просто конкретно разрешен http трафик, а все остальное режется. Думай чем и где.
>>>>канал есть защищенный траффик http (local proxy) через
>>>>него ходит.
>>>Так этот трафик ходит как надо? Т.е. м.д. 2-мя сетями?
>>
>>ходит.
>>
>>>Только пинги и ssh не ходют?
>>
>>да. не ходят из локальной сети.
>
>Значит с туннелем и рутингом все ок.
>Просто конкретно разрешен http трафик, а все остальное режется. Думай чем и
>где.вот опробовал Iptables -A FORWARD -d 10.1.142.0/22 -s 0/0 -j ACCEPT пинги пошли из сети. Но теперь нужно получить также доступ 10.1.142.22 по ssh (22 порт)из сети машины 192.168.2.101. не получается.
cat /proc/sys/net/ipv4/ip_forwardна 192.168.2.1 что выдает?
>cat /proc/sys/net/ipv4/ip_forward
>
>на 192.168.2.1 что выдает?
1