URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 23683
[ Назад ]
Исходное сообщение
"ipsec linux-dlink и проблемы с маршрутизацией."
Отправлено сасас , 09-Апр-12 17:24 
Схема такая.
192.168.1.0/24 -- linux router (213.176.241.26) --- internet --- dlinks dsr500 (80.ххх.ххх.ххх) -- 192.168.11.0/24

Настроено соединение между dlink dsr500 и linux debian по ipsec.

root@gw1:/proc/sys/net/ipv4/conf# setkey -PD
192.168.1.0/24[any] 192.168.11.0/24[any] any
        out prio high + 1073739480 ipsec
        esp/tunnel/213.176.241.26-80.76.240.194/unique#16385
        created: Apr  9 16:52:46 2012  lastused: Apr  9 17:15:40 2012
        lifetime: 0(s) validtime: 0(s)
        spid=29161 seq=1 pid=17054
        refcnt=3
192.168.11.0/24[any] 192.168.1.0/24[any] any
        fwd prio high + 1073739480 ipsec
        esp/tunnel/80.ххх.ххх.ххх-213.УУУ.УУУ.УУУ/unique#16385
        created: Apr  9 16:51:57 2012  lastused: Apr  9 17:15:40 2012
        lifetime: 0(s) validtime: 0(s)
        spid=29178 seq=2 pid=17054
        refcnt=2
192.168.11.0/24[any] 192.168.1.0/24[any] any
        in prio high + 1073739480 ipsec
        esp/tunnel/80.ххх.ххх.ххх-213.УУУ.УУУ.УУУ/unique#16385
        created: Apr  9 16:51:57 2012  lastused:
        lifetime: 0(s) validtime: 0(s)
        spid=29168 seq=3 pid=17054
        refcnt=1

Из сети 192.168.11.0/24 (она за длинком) все нормально пингуется в сети 192.168.1.0/24.
А из сети 192.168.1.0/24 за линуксом пинги не идут в сеть 192.168.11.0/24.

Проблема очевидна (на мой взгляд) На linux нет маршрута в сеть 192.168.11.0. Однако, я не знаю. как его прописать. т.к. нет интерфейса связанного с шзыус каналом. Как я понимаю, когда через setkey  я задаю сети, на уровне ядра должна происходить отправка нужных пакетов в тоннель, однако она не происходит. Как мне провести диагностику? В чем может быть проблема?

Содержание
Сообщения в этом обсуждении
"ipsec linux-dlink и проблемы с маршрутизацией."
Отправлено fantom , 09-Апр-12 17:34 
>[оверквотинг удален]
>         in prio high +
> 1073739480 ipsec
>         esp/tunnel/80.ххх.ххх.ххх-213.УУУ.УУУ.УУУ/unique#16385
>         created: Apr  9
> 16:51:57 2012  lastused:
>         lifetime: 0(s) validtime: 0(s)
>         spid=29168 seq=3 pid=17054
>         refcnt=1
> Из сети 192.168.11.0/24 (она за длинком) все нормально пингуется в сети 192.168.1.0/24.
> А из сети 192.168.1.0/24 за линуксом пинги не идут в сеть 192.168.11.0/24.

Бред, если вы пингаете 192.168.1.0/24 из сети 192.168.11.0/24, значит все маршруты есть и они нормально работают, проблема в других местах.
Что-нибудь типа IN и OUT в файрволе например.
А диагностика как обычно - пинг, трейс, тисипидамп...

> Проблема очевидна (на мой взгляд) На linux нет маршрута в сеть 192.168.11.0.
> Однако, я не знаю. как его прописать. т.к. нет интерфейса связанного
> с шзыус каналом. Как я понимаю, когда через setkey  я
> задаю сети, на уровне ядра должна происходить отправка нужных пакетов в
> тоннель, однако она не происходит. Как мне провести диагностику? В чем
> может быть проблема?

"ipsec linux-dlink и проблемы с маршрутизацией."
Отправлено сасас , 09-Апр-12 18:03 
все сверно. traceroute говорит о том что роутер на линуксе пакеты в сеть 192.168.11.0 пытается слать через инет.
А как его заставить послыать их через тоннель?
"ipsec linux-dlink и проблемы с маршрутизацией."
Отправлено Serge , 10-Апр-12 01:39 
> все сверно. traceroute говорит о том что роутер на линуксе пакеты в
> сеть 192.168.11.0 пытается слать через инет.
> А как его заставить послыать их через тоннель?

добавить  policy ?  ip -s xfrm policy в помощь

"ipsec linux-dlink и проблемы с маршрутизацией."
Отправлено fantom , 10-Апр-12 10:24 
> все сверно. traceroute говорит о том что роутер на линуксе пакеты в
> сеть 192.168.11.0 пытается слать через инет.
> А как его заставить послыать их через тоннель?

netstat -rn на линухе что говорит?