https://ssl.opennet.dev/openforum/vsluhforumID10/5014.html Добрый день, друзья-товарищи. Помогите нубу. :(<br><br>Есть 2 офиса, в каждом поднят сервер с FreeBSD + IpSec. Получается, что все сети конектятся к серверу по VPN и с него выходят в интернет. Выглядит это примерное так:<br><br><br> <br> Lan3 Internet<br> &#124; &#124;<br> Lan1 -----GW2 --- GW1 ---- Lan5<br> &#124; &#124; <br> Lan2 Lan4<br><br><br>Схема чуть сдвинулась но Internet идет к GW1, Lan3 k GW2, a Lan4 k GW1<br><br>За каждым шлюзом есть еще по несколько сетей. Настраиваю, работают сети, я всех вижу, но в сетях за ГВ 2 нет интернета. :(<br><br>если делаю правила с двух сторон такое(на другой стороне соответсвенно айпишники меняются):<br><br><br> spdadd 192.168.60.0/23 0.0.0.0/0 any -P out ipsec esp/tunnel/81.17.174.198-109.238.165.226/require;<br> spdadd 0.0.0.0/0 192.168.60.0/23 any -P in ipsec esp/tunnel/192.168.100.1-81.17.174.198/require;<br><br><br><br>То начинает видится интернет, но пропадает локальная сетка (60.1), https://ssl.opennet.dev/openforum/vsluhforumID10/5014.html#15 Mon, 02 Apr 2012 08:23:56 GMT &gt;&gt;&gt;[оверквотинг удален] <br>&gt;&gt;&gt;&gt;&gt;&gt;&gt;&gt; от правил spdadd то одно работает, то другое.<br>&gt;&gt; Я вот если честно в упор не понимаю в чем может быть <br>&gt;&gt; проблема с маршрутами...<br>&gt;&gt; Объясните дураку, может быстрее разберусь.<br>&gt; Попробую.<br>&gt; Начнём с того, что gif-интерфейс во FreeBSD это реализация туннеля IP-over-IP (http://en.wikipedia.org/wiki/IP_tunnel). <br><br>Спасибо большое за помощь и за объяснение. Из него я понял почему у меня работало с поднятым ракуном, но без него не работало. Не знал, что ракун поднимает свой туннель.<br><br>А дело оказалось все таки не в маршрутах, по этому я не мог понять причем они тут.<br><br>Все было очень прозаично и банально. Я попутал адрес в туннеле:<br><br>gifconfig_gif0="81.17.174.198 109.238.165.225(!)"<br><br>spdadd 192.168.60.0/23 0.0.0.0/0 any -P out ipsec esp/tunnel/81.17.174.198-109.238.165.226(!)/require;<br><br>Когда все настройки снес и начал заново поднимать нашел косяк. (((((<br> https://ssl.opennet.dev/openforum/vsluhforumID10/5014.html#14 Mon, 02 Apr 2012 07:38:39 GMT &gt;&gt;[оверквотинг удален] <br>&gt;&gt;&gt;&gt;&gt;&gt;&gt; от правил spdadd то одно работает, то другое.<br>&gt; Я вот если честно в упор не понимаю в чем может быть <br>&gt; проблема с маршрутами...<br>&gt; Объясните дураку, может быстрее разберусь.<br><br>Попробую.<br>Начнём с того, что gif-интерфейс во FreeBSD это реализация туннеля IP-over-IP (http://en.wikipedia.org/wiki/IP_tunnel). Этот туннель прост и быстр.Накладные расходы - "лишний" заголовок IP-пакета. Никакого шифрования он не предусматривает. Это самый главный его недостаток, если применять его для организации VPN.<br><br>Ipsec - это набор протоколов безопасной передачи данных по IP(http://en.wikipedia.org/wiki/IPsec). Он может обеспечивать шифрование,сжатие и подписывание IP-пакетов.<br><br>Очень важно понимать, что ipsec и ip_tunnel (gif) вещи ортогональные, друг от друга не зависящие! <br><br>Кривоватая реализация VPN, описанная в handbook-е кочует по конфигам начинающих админов бездумно копи-пастящих настройки и заваливающие форумы криками "помогите".<br>В чём кривоватость схемы описанной в handbook-е ( https://ssl.opennet.dev/openforum/vsluhforumID10/5014.html#13 Fri, 30 Mar 2012 09:54:19 GMT <br>&gt;[оверквотинг удален]<br>&gt;&gt;&gt;&gt;&gt;&gt; от правил spdadd то одно работает, то другое.<br>&gt;&gt;&gt;&gt;&gt; А без правил - работает?<br>&gt;&gt;&gt;&gt; Нет, без них вообще ничего не работает.<br>&gt;&gt;&gt; Это говорит о том , что надо бы сначала маршрутизацию настроить <br>&gt;&gt; Маршрутизация работает. я же говорю, если поставить это правило: <br>&gt;&gt;&gt;&gt;&gt; spdadd 192.168.60.0/23 0.0.0.0/0 any -P out ipsec esp/tunnel/81.17.174.198-109.238.165.226/require; <br>&gt;&gt;&gt;&gt;&gt; spdadd 0.0.0.0/0 192.168.60.0/23 any -P in ipsec esp/tunnel/192.168.100.1-81.17.174.198/require; <br>&gt;&gt; То интернет просыпается, но пропадет 60-ая сетка.<br>&gt; "Когда будет решён вопрос с маршрутизацией в сети, думайте как это дело <br>&gt; приложить к ipsec" <br><br>Я вот если честно в упор не понимаю в чем может быть проблема с маршрутами...<br>Объясните дураку, может быстрее разберусь.<br><br><br> https://ssl.opennet.dev/openforum/vsluhforumID10/5014.html#12 Fri, 30 Mar 2012 03:38:03 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; gifconfig_gif0="192.168.100.1 81.17.174.198" <br>&gt;&gt;&gt; ifconfig_gif0="inet 192.168.100.1 192.168.60.1 netmask 255.255.254.0 mtu 1500" <br>&gt;&gt;&gt; route_vpn0=" -net 192.168.60.0/23 192.168.60.1" <br>&gt;&gt;&gt; ГВ2 <br>&gt;&gt;&gt; defaultrouter="192.168.100.1" <br>&gt;&gt;&gt; gifconfig_gif0="81.17.174.198 109.238.165.225" <br>&gt;&gt;&gt; ifconfig_gif0="inet 192.168.60.1 192.168.100.1 netmask 255.255.255.0 mtu 1500" <br>&gt;&gt;&gt; route_static3=" -host 109.238.165.226 81.17.174.197" <br>&gt;&gt; Всё чудесатее и чудесатее! ИМХО, у тебя ничего не получится.<br>&gt; Почему?<br><br>тебе больше года назад сказали как правильно делать:<br>http://www.opennet.ru/openforum/vsluhforumID1/90484.html#5<br><br>&gt;&gt;&gt;&gt;&gt; Но думаю, что маршруты не имеют отношение к проблеме. Т.к. в зависимости <br>&gt;&gt;&gt;&gt;&gt; от правил spdadd то одно работает, то другое.<br>&gt;&gt;&gt;&gt; А без правил - работает?<br>&gt;&gt;&gt; Нет, без них вообще ничего не работает.<br>&gt;&gt; Это говорит о том , что надо бы сначала маршрутизацию настроить <br>&gt; Маршрутизация работает. я же говорю, если поставить это правило: <br>&gt;&gt;&gt;&gt; spdadd 192.168.60.0 https://ssl.opennet.dev/openforum/vsluhforumID10/5014.html#11 Fri, 30 Mar 2012 03:03:26 GMT &gt;[оверквотинг удален]<br>&gt;&gt; defaultrouter="192.168.100.3" <br>&gt;&gt; gifconfig_gif0="192.168.100.1 81.17.174.198" <br>&gt;&gt; ifconfig_gif0="inet 192.168.100.1 192.168.60.1 netmask 255.255.254.0 mtu 1500" <br>&gt;&gt; route_vpn0=" -net 192.168.60.0/23 192.168.60.1" <br>&gt;&gt; ГВ2 <br>&gt;&gt; defaultrouter="192.168.100.1" <br>&gt;&gt; gifconfig_gif0="81.17.174.198 109.238.165.225" <br>&gt;&gt; ifconfig_gif0="inet 192.168.60.1 192.168.100.1 netmask 255.255.255.0 mtu 1500" <br>&gt;&gt; route_static3=" -host 109.238.165.226 81.17.174.197" <br>&gt; Всё чудесатее и чудесатее! ИМХО, у тебя ничего не получится.<br><br>Почему?<br><br>&gt;&gt;&gt;&gt; Но думаю, что маршруты не имеют отношение к проблеме. Т.к. в зависимости <br>&gt;&gt;&gt;&gt; от правил spdadd то одно работает, то другое.<br>&gt;&gt;&gt; А без правил - работает?<br>&gt;&gt; Нет, без них вообще ничего не работает.<br>&gt; Это говорит о том , что надо бы сначала маршрутизацию настроить <br><br>Маршрутизация работает. я же говорю, если поставить это правило:<br>&gt;&gt;&gt; spdadd 192.168.60.0/23 0.0.0.0/0 any -P out ipsec esp/tunnel/81.17.174.198-109.238.165.226/require; <br>&gt;&gt;&gt; spdadd https://ssl.opennet.dev/openforum/vsluhforumID10/5014.html#10 Fri, 30 Mar 2012 01:56:23 GMT &gt;[оверквотинг удален]<br>&gt; ГВ1 <br>&gt; defaultrouter="192.168.100.3" <br>&gt; gifconfig_gif0="192.168.100.1 81.17.174.198" <br>&gt; ifconfig_gif0="inet 192.168.100.1 192.168.60.1 netmask 255.255.254.0 mtu 1500" <br>&gt; route_vpn0=" -net 192.168.60.0/23 192.168.60.1" <br>&gt; ГВ2 <br>&gt; defaultrouter="192.168.100.1" <br>&gt; gifconfig_gif0="81.17.174.198 109.238.165.225" <br>&gt; ifconfig_gif0="inet 192.168.60.1 192.168.100.1 netmask 255.255.255.0 mtu 1500" <br>&gt; route_static3=" -host 109.238.165.226 81.17.174.197" <br><br>Всё чудесатее и чудесатее! ИМХО, у тебя ничего не получится.<br><br>&gt;&gt;&gt; Но думаю, что маршруты не имеют отношение к проблеме. Т.к. в зависимости <br>&gt;&gt;&gt; от правил spdadd то одно работает, то другое.<br>&gt;&gt; А без правил - работает?<br>&gt; Нет, без них вообще ничего не работает.<br><br>Это говорит о том , что надо бы сначала маршрутизацию настроить<br><br>&gt;&gt; И вообще - зачем шифровать трафик интернета?<br>&gt; Трафик в инет не шифруется, но он должен пройти через впн канал <br>&gt; и выйти в интернет через другого прова, который стоит за ГВ1. <br>&gt; На ГВ2 нет интернета https://ssl.opennet.dev/openforum/vsluhforumID10/5014.html#9 Thu, 29 Mar 2012 13:20:12 GMT т.е. так:<br>route_static3=" -host 109.238.165.224 -netmask 255.255.255.240 81.17.174.197"<br> https://ssl.opennet.dev/openforum/vsluhforumID10/5014.html#8 Thu, 29 Mar 2012 09:42:45 GMT &gt;&gt; Gw1: <br>&gt;&gt; Destination Gateway Flags Refs Use Netif Expire <br>&gt; Мда, в такой сети без поллитры не разберёшься - показывай часть rc.conf <br>&gt; касающуюся настройки сети.<br><br>ГВ1 <br>defaultrouter="192.168.100.3"<br>gifconfig_gif0="192.168.100.1 81.17.174.198"<br>ifconfig_gif0="inet 192.168.100.1 192.168.60.1 netmask 255.255.254.0 mtu 1500"<br>route_vpn0=" -net 192.168.60.0/23 192.168.60.1"<br><br><br>ГВ2<br>defaultrouter="192.168.100.1"<br>gifconfig_gif0="81.17.174.198 109.238.165.225"<br>ifconfig_gif0="inet 192.168.60.1 192.168.100.1 netmask 255.255.255.0 mtu 1500"<br>route_static3=" -host 109.238.165.226 81.17.174.197"<br><br>&gt;&gt; Но думаю, что маршруты не имеют отношение к проблеме. Т.к. в зависимости <br>&gt;&gt; от правил spdadd то одно работает, то другое.<br>&gt; А без правил - работает?<br><br>Нет, без них вообще ничего не работает.<br><br>&gt; И вообще - зачем шифровать трафик интернета?<br><br>Трафик в инет не шифруется, но он должен пройти через впн канал и выйти в интернет через другого прова, который стоит за ГВ1. На ГВ2 нет интерн https://ssl.opennet.dev/openforum/vsluhforumID10/5014.html#7 Thu, 29 Mar 2012 09:35:28 GMT <br>192.168.100.1<br>^^^^^^^^^^^^^Это опечатка?<br><br><br>