Ситуация такая.
Есть офис 192.168.0.0/20
Есть куча магазинов 192.168.90.0/24 192.168.50.0/24 192.168.85.0/24 192.168.220.0/24 192.168.221.0/24 192.168.254.0/24 192.168.253.0/24 192.168.229.0/24Сетей таких много и все они разбросаны по 192.168.0.0/16
Свяь между ними органозована
Linux IPSEC (Офис) - Dlink-DI804HV
Работает все отлично на конфигурации---------------------------ipsec-tools.conf----------------------------------------------
#!/usr/sbin/setkey -fflush;
spdflush;spdadd 192.168.0.0/16 192.168.90.0/24 any -P out ipsec esp/tunnel/XXX-XXX-XXX-XXX-YYY-YYY-YYY-YYY/require;
spdadd 192.168.90.0/24 192.168.0.0/16 any -P in ipsec esp/tunnel/YYY-YYY-YYY-YYY-XXX-XXX-XXX-XXX/require;spdadd 192.168.0.0/16 192.168.225.0/24 any -P out ipsec esp/tunnel/XXX-XXX-XXX-XXX-ZZZ-ZZZ-ZZZ-ZZZ/require;
spdadd 192.168.225.0/24 192.168.0.0/16 any -P in ipsec esp/tunnel/ZZZ-ZZZ-ZZZ-ZZZ-XXX-XXX-XXX-XXX/require;И еще куча таких соединений
---------------------------racoon.conf--------------------------------------------------
path pre_shared_key "/etc/racoon/psk.txt";
remote anonymous
{
exchange_mode main;
proposal {
encryption_algorithm des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2 ;
}
}sainfo anonymous
{
pfs_group 2;
encryption_algorithm des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
---------------------------psk.txt----------------
YYY-YYY-YYY-YYY key
ZZZ-ZZZ-ZZZ-ZZZ key
---------------------------------------------------------------------------------Соединение Linux-Dlink Проходит нормально и работает отлично уже несколько месяцев
Решил соеденить еще один удаленный офис в ипсек.
Лок. Сеть у удаленного офиса 192.168.30/24
---------------------------------------------------------------------------------------------------------------------
На компе удаленного офиса
В ипсек тулс прописываю
spdadd 192.168.30.0/24 192.168.0.0/16 any -P out ipsec esp/tunnel/Удаленный офис-ИП_моего_офиса/require;
spdadd 192.168.0.0/16 192.168.30.0/24 any -P in ipsec esp/tunnel/Ип_моего_офиса-Удаленный офис/require;psk.txt
Ип_моего_офиса key
---------------------------------------------------------------------------------------------------------------------
на компе в моем офисе
spdadd 192.168.0.0/16 192.168.30.0/24 any -P out ipsec esp/tunnel/Ип_моего_офиса-Удаленный офис/require;
spdadd 192.168.30.0/24 192.168.0.0/16 any -P in ipsec esp/tunnel/Удаленный офис-ИП_моего_офиса/require;
psk.txt
ИП_удаленного_офиса keyСоединение не устанавливается
Делаю пинг на любой ип, даже в своей локальной сети удаленного офиса, а в ответ
ping 192.168.30.2
ping: sendmsg: Operation not permittedЯ так понимаю он начал искать сеть 192.168.30.0/24 в ипсек, который не может установить по причине потери локальной сети и соотвественно шлюза
Подскажите как установить связь таким образом? Нужно как-то добавить в исключение свою локальную сеть. Но мыслей у меня нету.
Изменить сеть удаленного офиса с 192.168.30.0/24 на 10.0.0.0/24 или другую, не вариант.
Тогда придется поднимать еще по одному тунелю из магазинов в удаленный офис, а это не возможно по техническим причинам
>Подскажите как установить связь таким образом? Нужно как-то добавить в исключение свою
>локальную сеть. Но мыслей у меня нету.policy policy is in one of the following three formats:
-P direction [priority specification] discard
-P direction [priority specification] none
-P direction [priority specification] ipsecне забудь поставить приоритеты
>[оверквотинг удален]
>the following three formats:
>
> -P
>direction [priority specification] discard
> -P
>direction [priority specification] none
> -P
>direction [priority specification] ipsec
>
>не забудь поставить приоритетыСпасибо, помогло.
Добрый день!
Раз у Вас связка Linux-DLINK80XHV работает, то обращаюсь за помощью.
Debian, треклятый DLink.....Туннель поднялся,
C debian пингуется внутренний IP DLink, далее хз, не проверял, машин нету.
C DLink кроме внутреннего IP Debian (во внутренней сети) не пингуется ничего.
то есть туннель работает, пакеты между шлюзами ходят. А между сетями нет.Какие и где маршруты прописать, чтобы между сетями трафик ходил?
Была похожая ситуевина в FrrBSD, но там гифы есть, а на них трафик заворачивал и все работало.
>[оверквотинг удален]
>
>C DLink кроме внутреннего IP Debian (во внутренней сети) не пингуется ничего.
>
>то есть туннель работает, пакеты между шлюзами ходят. А между сетями нет.
>
>
>Какие и где маршруты прописать, чтобы между сетями трафик ходил?
>
>Была похожая ситуевина в FrrBSD, но там гифы есть, а на них
>трафик заворачивал и все работало.Давай Log DLINK
tracert с обоих сетей до внутренних ип
ipsec.tools
racoon.confУ меня вот значит какая схема:
Dlink xxx.xxx.xxx.xxx - Инет - yyy.yyy.yyy.yyy Шлюз 192.168.0.1 - ipsec 192.168.0.2
Заставить работать Ipsec на 192.168.0.1 не получается
Если кто знает как заставить ходить пакеты по ipsec, а не по шлюзу по умолчанию, прошу поделится. Приоритеты стоят на ipsec, а уходит на шлюз по умолчанию.
Так же прошу поделится как заставить работать ipsec при nat