https://www.opennet.ru/openforum/vsluhforumID10/4941.html Имеется исходная конфигурация на Zyxel Zywall 35: несколько VPN каналов, находящихся в одной подсети, соединяются с частичными диапазонами другой подсети следующего вида:<br><br>server<br>192.168.1.0/24-----------------192.168.7.1-192.168.7.5 (клиент 1)<br> &#124; &#124;<br> &#124; -------------------192.168.7.6-192.168.7.10 (клиент 2)<br> &#124;<br> ---------------------------192.168.7.11-192.168.7.15 (клиент 3)<br><br>Сколько не искал в интернете так и не смог найти, как реализовать данную конфигурацию. Насколько я понял конфигурация IPSec в Linux не позволяет задавать диапазон IP, находящихся в одной подсети. Можно только указывать подсеть полностью. Существуют ли реализации IPSec поддерживающие такую возможность? Поддерживает ли ее ipsec-tools и как она реализуется?<br><br>Временно решили пробрасывать всю подсеть на каждого клиента. Вот схема:<br><br>server<br>192.168.1.0/24------------------------------------------------------192.168.7.0/24 (клиент 1)<br> &#124; &#124;<br> &#124; ------------- https://www.opennet.ru/openforum/vsluhforumID10/4941.html#17 Fri, 14 Oct 2011 01:53:43 GMT &gt;&gt; В самом начале предложили решение - разбить 192.168.7.0/24 на подсети (192.168.7.1/29, <br>&gt;&gt; 192.168.7.8/29 и тд) , но вас такое решение не устраивает. Вам <br>&gt;&gt; обязательно нужен диапазон -- почему?<br>&gt; Взять хотя бы факт добавления маршрутов - или прописать каждому пользователю один <br>&gt; маршрут или 25...50...!!!<br><br>уважаемый, вам предложили сформулировать задачу, а вы какой-то бред несёте.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4941.html#16 Thu, 13 Oct 2011 10:54:09 GMT &gt; В самом начале предложили решение - разбить 192.168.7.0/24 на подсети (192.168.7.1/29, <br>&gt; 192.168.7.8/29 и тд) , но вас такое решение не устраивает. Вам <br>&gt; обязательно нужен диапазон -- почему?<br><br>Взять хотя бы факт добавления маршрутов - или прописать каждому пользователю один маршрут или 25...50...!!!<br> https://www.opennet.ru/openforum/vsluhforumID10/4941.html#15 Thu, 13 Oct 2011 09:54:28 GMT &gt;&gt; Раз есть решение, значит есть и задача. Сформулируй свою задачу и покажи <br>&gt;&gt; в каком месте решение с диапазоном предпочтительнее чем с подсетями.<br>&gt; Метод от противного? К чему? У вас есть реальное решение? Тогда есть <br>&gt; смысл обосновывать, иначе не вижу смысла!!!<br>&gt; P.S. Задача сформулирована в самом начале.<br><br>В самом начале предложили решение - разбить 192.168.7.0/24 на подсети (192.168.7.1/29, 192.168.7.8/29 и тд) , но вас такое решение не устраивает. Вам обязательно нужен диапазон -- почему?<br> https://www.opennet.ru/openforum/vsluhforumID10/4941.html#14 Wed, 12 Oct 2011 11:49:25 GMT &gt; Раз есть решение, значит есть и задача. Сформулируй свою задачу и покажи <br>&gt; в каком месте решение с диапазоном предпочтительнее чем с подсетями.<br><br>Метод от противного? К чему? У вас есть реальное решение? Тогда есть смысл обосновывать, иначе не вижу смысла!!!<br><br>P.S. Задача сформулирована в самом начале.<br> https://www.opennet.ru/openforum/vsluhforumID10/4941.html#13 Wed, 12 Oct 2011 10:51:53 GMT &gt;&gt; Твоя хотелка - оч. странная. :( <br>&gt;&gt; Единственное что здесь можно посоветовать - описывать каждого конечного клиента своей политикой.<br>&gt;&gt; Т.е. указывать не 192.168.7.0/24, а 192.168.7.1/32 - в один туннель, 192.168.7.2/32 - <br>&gt;&gt; в другой, 192.168.7.3/32 - в третий и т.д.<br>&gt; На самом деле очень удобная штука. И что самое главное это реализовано <br>&gt; у zyxel! Они как-то нашли решение - значит оно есть :) <br><br>Раз есть решение, значит есть и задача. Сформулируй свою задачу и покажи в каком месте решение с диапазоном предпочтительнее чем с подсетями.<br><br>&gt;[оверквотинг удален]<br>&gt; В zywall немножко видимо упростили задачу - вместо того чтобы городить <br>&gt; кучу VPN ты указываешь один диапазон. Но вот фишка в том <br>&gt; что этот диапазон укладывается в один тоннель - если сделать их <br>&gt; много на linux машине такая запись zywall не нравится и тоннель <br>&gt; не создается.<br>&gt; У нас много точек с которыми установлены шифрованные каналы, причем за каждой <br>&gt; точкой находится еще несколько клиентов, которые по сути и являются эт https://www.opennet.ru/openforum/vsluhforumID10/4941.html#12 Fri, 07 Oct 2011 08:32:47 GMT &gt; Чем удобная?<br>&gt; Никакая сила не спасёт от тупого клиента, установившего себе адрес из уже <br>&gt; имеющихся в другом туннеле.<br>&gt; И получится: шлёт он запросы в один туннель, а раутер инкапсулирует ответы <br>&gt; в другой, у него так прописано, как итог - оч. тяжело <br>&gt; диагностируемая каша.<br><br>Чем удобная - внес поправку выше. :)<br>Насчет каши ничего не могу сказать - нужно пробовать.<br>Тем не менее ищу решение - если имеется.<br> https://www.opennet.ru/openforum/vsluhforumID10/4941.html#11 Fri, 07 Oct 2011 08:29:38 GMT &gt;[оверквотинг удален]<br>&gt;&gt; Единственное что здесь можно посоветовать - описывать каждого конечного клиента своей политикой.<br>&gt;&gt; Т.е. указывать не 192.168.7.0/24, а 192.168.7.1/32 - в один туннель, 192.168.7.2/32 - <br>&gt;&gt; в другой, 192.168.7.3/32 - в третий и т.д.<br>&gt; На самом деле очень удобная штука. И что самое главное это реализовано <br>&gt; у zyxel! Они как-то нашли решение - значит оно есть :) <br>&gt; У нас много точек с которыми установлены шифрованные каналы, причем за каждой <br>&gt; точкой находится еще несколько клиентов, которые по сути и являются этим <br>&gt; range. И все эти клиенты находятся кроме всего прочего в одной <br>&gt; подсети. Вот потому и необходимо сохранить все как есть, при этом <br>&gt; заменив центр с zywall на linux-сервер.<br><br>Чем удобная?<br>Никакая сила не спасёт от тупого клиента, установившего себе адрес из уже имеющихся в другом туннеле.<br>И получится: шлёт он запросы в один туннель, а раутер инкапсулирует ответы в другой, у него так прописано, как итог - оч. тяжело диагностируемая каша.<br> https://www.opennet.ru/openforum/vsluhforumID10/4941.html#10 Fri, 07 Oct 2011 08:25:08 GMT &gt; Твоя хотелка - оч. странная. :( <br>&gt; Единственное что здесь можно посоветовать - описывать каждого конечного клиента своей политикой. <br>&gt; Т.е. указывать не 192.168.7.0/24, а 192.168.7.1/32 - в один туннель, 192.168.7.2/32 - <br>&gt; в другой, 192.168.7.3/32 - в третий и т.д.<br><br>На самом деле очень удобная штука. И что самое главное это реализовано у zyxel! Они как-то нашли решение - значит оно есть :) Можно конечно да и видимо придется в linux прописывать несколько политик. В zywall немножко видимо упростили задачу - вместо того чтобы городить кучу VPN ты указываешь один диапазон. Но вот фишка в том что этот диапазон укладывается в один тоннель - если сделать их много на linux машине такая запись zywall не нравится и тоннель не создается.<br><br>У нас много точек с которыми установлены шифрованные каналы, причем за каждой точкой находится еще несколько клиентов, которые по сути и являются этим range. И все эти клиенты находятся кроме всего прочего в одной подсети. Вот потому и необходимо сохранить все как есть, при эт https://www.opennet.ru/openforum/vsluhforumID10/4941.html#9 Fri, 07 Oct 2011 08:16:08 GMT &gt;[оверквотинг удален]<br>&gt; с хоста за zyxel не шифруется. Когда же делаю связь типа <br>&gt; сеть-&gt;сеть все благополучно зашифровалось. Проверял tcpdump-ом. Получается что этот злополучный <br>&gt; ip range от zyxel является всего навсего списком шифруемых адресов; трафик <br>&gt; с адресов, не попадающих в список передается, но без шифрования. Пытался <br>&gt; пробовать различные вариации конфигов racoon и ipsec.conf - безрезультатно.<br>&gt; Предполагаю что это можно сделать с помощью вышеназванной команды ip xfrm или <br>&gt; как еще обмануть девайсы? Вопрос только как? Каким-то образом объединить несколько <br>&gt; хостов под одну политику, чтобы она смогла согласоваться с политикой zyxel? <br>&gt; Опять таки как?<br>&gt; Уважаемые гуру помогите подружить linux с zyxel!!!<br><br>Твоя хотелка - оч. странная. :(<br>Единственное что здесь можно посоветовать - описывать каждого конечного клиента своей политикой.<br>Т.е. указывать не 192.168.7.0/24, а 192.168.7.1/32 - в один туннель, 192.168.7.2/32 - в другой, 192.168.7.3/32 - в третий и т.д.<br>