URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 273
[ Назад ]

Исходное сообщение
"IPSec-туннель-нет локалки на стороне клиента"
Отправлено shupike , 11-Ноя-12 13:35

Добрый день всем! Нужен совет :-) Пытаюсь построить VPN-туннель с использованием IPSec - с правой стороны (VPN-server) стоит железка Zyxel Zywall 5e, за ним - сетка 192.168.2.0/24, с левой (VPN-client)- шлюз на Debian с реальным IP и тоже сеть - только 10.0.2.0/24. Поднял openswan на Debian - все работает. Но вот возникла необходимость подключить к Zywall просто одиночный сервак с реальным IP, и тоже на Debian. То есть с левой стороны никакой сетки локальной не будет. Повторил конфиг ipsec.conf на этом одиночном сервере (исправил только строчки с left) - не поднимается туннель. Такой вариант вообще должен работать? Как я понимаю, VPN-туннель подразумевает, что две локальные сети смогут общаться между собой. А если на стороне клиента кроме собственно шлюза сети и нет никого - туннель и работать не будет? Приведу кусок ipsec.conf:
# basic configuration
config setup
        interfaces=%defaultroute
        nat_traversal=yes
        # exclude networks used on server side by adding %v4:!a.b.c.0/24
        virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12
        oe=off
        protostack=netkey
conn ipsec
        authby=secret
        pfs=yes
        keyingtries=3
        rekey=no
        ikelifetime=8h
        keylife=8h
        keyexchange=ike
        ike=aes256-sha1-modp1536
        esp=aes256-sha1
        type=tunnel
        left=213.213.213.213          #VPN-клиент, одиночный сервер
        leftnexthop=%defaultroute
        leftsubnet=213.213.213.0/24
        right=203.203.203.203         #VPN-сервер, шлюз со своей сеткой
        rightnexthop=%defaultroute
        rightsubnet=192.168.2.0/24
        auto=add

Содержание

IPSec-туннель-нет локалки на стороне клиента,shupike, 15:16 , 11-Ноя-12
IPSec-туннель-нет локалки на стороне клиента,Loly, 12:21 , 12-Ноя-12

Сообщения в этом обсуждении

"IPSec-туннель-нет локалки на стороне клиента"
Отправлено shupike , 11-Ноя-12 15:16

>[оверквотинг удален]
>         type=tunnel
>         left=213.213.213.213
>       #VPN-клиент, одиночный сервер
>         leftnexthop=%defaultroute
>         leftsubnet=213.213.213.0/24
>         right=203.203.203.203
>      #VPN-сервер, шлюз со своей сеткой
>         rightnexthop=%defaultroute
>         rightsubnet=192.168.2.0/24
>         auto=add
Вдогонку - проверил следующее: вместо Debian поставил временно WinXP с GreenBow - так тоже работает. И да, туннель строится, пингуется слева направо адрес из сети 192.168.2.0/24, справа налево - реальный IP клиента на WinXP. Трассировка идет в 3 шага, как и задумывалось. Но почему не работает на openswan???

"IPSec-туннель-нет локалки на стороне клиента"
Отправлено Loly , 12-Ноя-12 12:21

> Повторил конфиг ipsec.conf на этом одиночном сервере (исправил только строчки с left)
> conn ipsec
> leftsubnet=213.213.213.0/24 - это что такое?
Должен не должен, но может.