URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 4705
[ Назад ]

Исходное сообщение
"IPSec к двум и более подсетям"
Отправлено dizen , 05-Окт-10 12:46

С одной сторони тунеля: Cisco 2811 и две локальные подсети. С другой стороны: FreeBSD и одна локальная подсеть. Когда с другой сторони вместо FreeBSD стояла Cisco 1811 то соединение к двум подсетям устанавливалось. Можно ли на FreeBSD поднять ВПН тунель типа одна подсеть <-> две подсети?

Содержание

IPSec к двум и более подсетям,shadow_alone, 14:14 , 05-Окт-10
- IPSec к двум и более подсетям,dizen, 19:48 , 05-Окт-10
  - IPSec к двум и более подсетям,kamserg, 11:35 , 06-Окт-10
    - IPSec к двум и более подсетям,dizen, 13:22 , 06-Окт-10

Сообщения в этом обсуждении

"IPSec к двум и более подсетям"
Отправлено shadow_alone , 05-Окт-10 14:14

Да хоть 20 подсетей. прописывайте правильно ACL на 2811 и маршруты шифрования на unix.

"IPSec к двум и более подсетям"
Отправлено dizen , 05-Окт-10 19:48

> Да хоть 20 подсетей. прописывайте правильно ACL на 2811 и маршруты шифрования
> на unix.
На 2811 настроил. Где и что на FreeBSD настраивать. Я сделал так:
1. я прописал spdadd правила на каждую подсеть
spdadd 172.16.2.0/24 192.168.101.0/24 any -P out ipsec esp/tunnel/х.х.х.х-у.у.у.у/use;
spdadd 192.168.101.0/24 172.16.2.0/24 any -P in ipsec esp/tunnel/у.у.у.у-х.х.х.х/use;
spdadd 172.16.2.0/24 192.168.110.0/24 any -P out ipsec esp/tunnel/х.х.х.х-у.у.у.у/use;
spdadd 192.168.110.0/24 172.16.2.0/24 any -P in ipsec esp/tunnel/у.у.у.у-х.х.х.х/use;
2.ifconfig gif* на каждую подсеть:
ifconfig_gif0="inet 172.16.2.1 192.168.101.1 netmask 255.255.255.0 tunnel х.х.х.х у.у.у.у"
ifconfig_gif2="inet 172.16.2.1 192.168.110.1 netmask 255.255.255.0 tunnel х.х.х.х у.у.у.у"
3. маршрутизацию
static_routes="dc dc110"
route_dc="192.168.101.0/24 192.168.101.1"
route_dc110="192.168.110.0/24 192.168.110.1"
4. racoon секция remote одна, и две секции sainfo на каждую подсеть
remote у.у.у.у
{ .... }
sainfo address 172.16.2.0/24 any address  192.168.101.0/24 any
sainfo address 172.16.2.0/24 any address  192.168.110.0/24 any

Что неправильно?

"IPSec к двум и более подсетям"
Отправлено kamserg , 06-Окт-10 11:35

>[оверквотинг удален]
> 3. маршрутизацию
> static_routes="dc dc110"
> route_dc="192.168.101.0/24 192.168.101.1"
> route_dc110="192.168.110.0/24 192.168.110.1"
> 4. racoon секция remote одна, и две секции sainfo на каждую подсеть
> remote у.у.у.у
> { .... }
> sainfo address 172.16.2.0/24 any address 192.168.101.0/24 any
> sainfo address 172.16.2.0/24 any address 192.168.110.0/24 any
> Что неправильно?
Год назад решал подобную задачу: 2811 и две подсети - Freebsd
1. В конце правил spdadd используй unique вместо use
2. Интерфейс gif2 не нужно поднимать вообще
3. Переписать в этой секции
route_dc="192.168.101.0/24 192.168.101.1 -interface gif0"
route_dc110="192.168.110.0/24 192.168.110.1 -interface gif0"

"IPSec к двум и более подсетям"
Отправлено dizen , 06-Окт-10 13:22

>[оверквотинг удален]
>> { .... }
>> sainfo address 172.16.2.0/24 any address 192.168.101.0/24 any
>> sainfo address 172.16.2.0/24 any address 192.168.110.0/24 any
>> Что неправильно?
> Год назад решал подобную задачу: 2811 и две подсети - Freebsd
> 1. В конце правил spdadd используй unique вместо use
> 2. Интерфейс gif2 не нужно поднимать вообще
> 3. Переписать в этой секции
> route_dc="192.168.101.0/24 192.168.101.1 -interface gif0"
> route_dc110="192.168.110.0/24 192.168.110.1 -interface gif0"
Спасибо заработало. Только делал не:
> route_dc110="192.168.110.0/24 192.168.110.1 -interface gif0"
потому что говорит route: bad address: gif0
а так:
route_dc110="192.168.110.0/24 192.168.101.1"