URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 95477
[ Назад ]

Исходное сообщение
"gif тунель во FreeBSD 10"

Отправлено Oleg A , 05-Мрт-14 16:53 
Добрый день! Столкнулся с проблемой при создании gif-тунеля между шлюзами. В предыдущих версиях операционки достаточно было следующих строк:
gif_interfaces="gif0"
gifconfig_gif0="А.А.А.А В.В.В.В"
ifconfig_gif0="inet а.а.а.а b.b.b.b netmask 0xffffffff"

ifconfig  выдает следующее:

gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280
    tunnel inet А.А.А.А --> В.В.В.В
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>

а ожидалось:

gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280
    tunnel inet А.А.А.А --> В.В.В.В
    inet а.а.а.а --> b.b.b.b netmask 0x0
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>

добавление cloned_interfaces="gif0" в rc.conf меняет ситуацию в противоположную сторону. ifconfig выводит следующее:

gif0: flags=8011<UP,POINTOPOINT,MULTICAST> metric 0 mtu 1280
    inet а.а.а.а --> b.b.b.b netmask 0xffffffff
    inet6 fe80::76d4:35ff:fe13:3863%gif0 prefixlen 64 tentative scopeid 0x7
    nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>

что не так (в это раз) я сделал?

Содержание

Сообщения в этом обсуждении
"gif тунель во FreeBSD 10"
Отправлено lavr , 05-Мрт-14 17:03 
>[оверквотинг удален]
>     tunnel inet А.А.А.А --> В.В.В.В
>     inet а.а.а.а --> b.b.b.b netmask 0x0
>     nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>

> добавление cloned_interfaces="gif0" в rc.conf меняет ситуацию в противоположную сторону.
> ifconfig выводит следующее:
>
gif0: flags=8011<UP,POINTOPOINT,MULTICAST> metric 0 mtu 1280 
>  inet а.а.а.а --> b.b.b.b netmask 0xffffffff
>  inet6 fe80::76d4:35ff:fe13:3863%gif0 prefixlen 64 tentative scopeid 0x7
>  nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>

> что не так (в это раз) я сделал?

sorry, лень проверять, но:

# grep gif /etc/defaults/rc.conf
и
# man rc.conf

должны помочь


"gif тунель во FreeBSD 10"
Отправлено Oleg A , 05-Мрт-14 17:26 
> # grep gif /etc/defaults/rc.conf
> и
> # man rc.conf
> должны помочь

извините.. но мне не помогли..


"gif тунель во FreeBSD 10"
Отправлено михалыч , 05-Мрт-14 17:14 
>[оверквотинг удален]
>     tunnel inet А.А.А.А --> В.В.В.В
>     inet а.а.а.а --> b.b.b.b netmask 0x0
>     nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
> добавление cloned_interfaces="gif0" в rc.conf меняет ситуацию в противоположную сторону.
> ifconfig выводит следующее:
>
gif0: flags=8011<UP,POINTOPOINT,MULTICAST> metric 0 mtu 1280 
>  inet а.а.а.а --> b.b.b.b netmask 0xffffffff
>  inet6 fe80::76d4:35ff:fe13:3863%gif0 prefixlen 64 tentative scopeid 0x7
>  nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>

> что не так (в это раз) я сделал?

То есть, пробуете так?

cloned_interfaces="gif0"
gifconfig_gif0="А.А.А.А В.В.В.В"
ifconfig_gif0="inet а.а.а.а b.b.b.b netmask 0xffffffff"

Да что там за колдовство у вас, шайтан однако!


"gif тунель во FreeBSD 10"
Отправлено Oleg A , 05-Мрт-14 17:24 
> То есть, пробуете так?
> cloned_interfaces="gif0"
> gifconfig_gif0="А.А.А.А В.В.В.В"
> ifconfig_gif0="inet а.а.а.а b.b.b.b netmask 0xffffffff"

именно и в ответ имею:
gif0: flags=8011<UP,POINTOPOINT,MULTICAST> metric 0 mtu 1280
>  inet а.а.а.а --> b.b.b.b netmask 0xffffffff
>  inet6 fe80::76d4:35ff:fe13:3863%gif0 prefixlen 64 tentative scopeid 0x7
>  nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>

без ожидаемого  tunnel inet А.А.А.А --> В.В.В.В


"gif тунель во FreeBSD 10"
Отправлено михалыч , 05-Мрт-14 17:37 
>> То есть, пробуете так?
>> cloned_interfaces="gif0"
>> gifconfig_gif0="А.А.А.А В.В.В.В"
>> ifconfig_gif0="inet а.а.а.а b.b.b.b netmask 0xffffffff"
> именно и в ответ имею:
> gif0: flags=8011<UP,POINTOPOINT,MULTICAST> metric 0 mtu 1280
>>  inet а.а.а.а --> b.b.b.b netmask 0xffffffff
>>  inet6 fe80::76d4:35ff:fe13:3863%gif0 prefixlen 64 tentative scopeid 0x7
>>  nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
> без ожидаемого  tunnel inet А.А.А.А --> В.В.В.В

Я с 10 пока дела не имел. По граблям не топтался как вы.))
Вроде и не бета, чтобы бета-тестером быть. ((
Может где-нибудь что-либо не замечаете, досадное недоразумение.
Бывает так.

Предлагаю следующий вариант:
пойти к холодильнику, хряпнуть стакан водки, закусить огурцом и со
словами "Да ну его нахрен, провались оно всё пропадом" идти лечь спать. ))
Утро вечера мудренее?


"gif тунель во FreeBSD 10"
Отправлено Oleg A , 05-Мрт-14 17:55 
> Я с 10 пока дела не имел. По граблям не топтался как
> вы.))
> Вроде и не бета, чтобы бета-тестером быть. ((
> Может где-нибудь что-либо не замечаете, досадное недоразумение.
> Бывает так.
> Предлагаю следующий вариант:
> пойти к холодильнику, хряпнуть стакан водки, закусить огурцом и со
> словами "Да ну его нахрен, провались оно всё пропадом" идти лечь спать.
> ))
> Утро вечера мудренее?

может и так.. может и досодное недоразумение, что-то может пропустил..
пойду, по вашему совету, попью чай)


"gif тунель во FreeBSD 10"
Отправлено михалыч , 05-Мрт-14 19:40 
>[оверквотинг удален]
>> Вроде и не бета, чтобы бета-тестером быть. ((
>> Может где-нибудь что-либо не замечаете, досадное недоразумение.
>> Бывает так.
>> Предлагаю следующий вариант:
>> пойти к холодильнику, хряпнуть стакан водки, закусить огурцом и со
>> словами "Да ну его нахрен, провались оно всё пропадом" идти лечь спать.
>> ))
>> Утро вечера мудренее?
>  может и так.. может и досодное недоразумение, что-то может пропустил..
> пойду, по вашему совету, попью чай)

Хоть и пишется в man rc.conf, что устарело gif_interfaces,
но попробуйте всё же ещё и так, то есть указать и cloned_interfaces и gif_interfaces

cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="А.А.А.А В.В.В.В"
ifconfig_gif0="inet а.а.а.а b.b.b.b netmask 0xffffffff"

Посмотрел на форуме forums.freebsd.org, там именно так, хотя опять же, вроде не 10


"gif тунель во FreeBSD 10"
Отправлено Oleg A , 05-Мрт-14 22:31 
> Хоть и пишется в man rc.conf, что устарело gif_interfaces,
> но попробуйте всё же ещё и так, то есть указать и cloned_interfaces
> и gif_interfaces
> cloned_interfaces="gif0"
> gif_interfaces="gif0"
> gifconfig_gif0="А.А.А.А В.В.В.В"
> ifconfig_gif0="inet а.а.а.а b.b.b.b netmask 0xffffffff"
> Посмотрел на форуме forums.freebsd.org, там именно так, хотя опять же, вроде не
> 10

делал я и так. безуспешно(


"gif тунель во FreeBSD 10"
Отправлено lavr , 05-Мрт-14 18:06 
>[оверквотинг удален]
> Я с 10 пока дела не имел. По граблям не топтался как
> вы.))
> Вроде и не бета, чтобы бета-тестером быть. ((
> Может где-нибудь что-либо не замечаете, досадное недоразумение.
> Бывает так.
> Предлагаю следующий вариант:
> пойти к холодильнику, хряпнуть стакан водки, закусить огурцом и со
> словами "Да ну его нахрен, провались оно всё пропадом" идти лечь спать.
> ))
> Утро вечера мудренее?

да какие грабли, ну перелопатили rc, многие изменения в 9.2 вошли,
не хочется на боевой машине пробовать, можно под VirtualBox, сам столкнулся с
vlan'ами, bridge'ами и тд и тп, стало удобней.


"gif тунель во FreeBSD 10"
Отправлено Oleg A , 05-Мрт-14 22:32 
> да какие грабли, ну перелопатили rc, многие изменения в 9.2 вошли,
> не хочется на боевой машине пробовать, можно под VirtualBox, сам столкнулся с
> vlan'ами, bridge'ами и тд и тп, стало удобней.

у вас есть машина на 10-ке?


"gif тунель во FreeBSD 10"
Отправлено lavr , 06-Мрт-14 00:09 
>> да какие грабли, ну перелопатили rc, многие изменения в 9.2 вошли,
>> не хочется на боевой машине пробовать, можно под VirtualBox, сам столкнулся с
>> vlan'ами, bridge'ами и тд и тп, стало удобней.
> у вас есть машина на 10-ке?

есть и не одна



"gif тунель во FreeBSD 10"
Отправлено Аноним , 06-Мрт-14 07:19 
>> у вас есть машина на 10-ке?
> есть и не одна

В продакшене? Если не секрет для чего?

У меня есть 9-ток для поствикса и нжинкса, остальное линт и немного соляры.
10-ку пока курю в курилке, как то всё непривычно 8-) Или старый ужо стал для экстрима :)


"gif тунель во FreeBSD 10"
Отправлено lavr , 07-Мрт-14 12:12 
>>> у вас есть машина на 10-ке?
>> есть и не одна
> В продакшене? Если не секрет для чего?

в продакшене.
для работы, вестимо, нужны infiniband, zfs(zvol), iscsi, виртуализация и тд и тп

> У меня есть 9-ток для поствикса и нжинкса, остальное линт и немного
> соляры.
> 10-ку пока курю в курилке, как то всё непривычно 8-) Или старый
> ужо стал для экстрима :)

это личное дело каждого, если я веду постоянно обе ветки 9 и 10, могу сделать вывод
использовать 10'ку под нужные сервисы или нет.
Пройдет пол-года, буду следить за 10'ой и 11'ой.


"gif тунель во FreeBSD 10"
Отправлено Oleg A , 06-Мрт-14 14:16 
Ну наконец-то есть решение!!!
Правильный синтаксис следующий:
ifconfig_gif0="inet INT_ip1 INT_ip2 netmask 0xffffffff tunnel EXT_IP1 EXT_IP2"

ЗЫ И никак не наоборот. Сперва inet потом tunnel.
Всем спасибо за помощь. Думаю это пригодится еще кому-то.


"gif тунель во FreeBSD 10"
Отправлено slavka , 31-Мрт-14 21:47 
> Ну наконец-то есть решение!!!
> Правильный синтаксис следующий:
> ifconfig_gif0="inet INT_ip1 INT_ip2 netmask 0xffffffff tunnel EXT_IP1 EXT_IP2"
> ЗЫ И никак не наоборот. Сперва inet потом tunnel.
> Всем спасибо за помощь. Думаю это пригодится еще кому-то.

Вы не представляете как то пригодилось. Всю голову сломал. :)


"gif тунель во FreeBSD 10"
Отправлено yokon , 31-Авг-14 18:50 
Использовал Ваш синтаксис, но безрезультатно.
VPN туннель не поднимается.
Могли бы Вы написать пример содержимого rc.conf?



"gif тунель во FreeBSD 10"
Отправлено yokon , 25-Сен-14 13:04 
Разобрался.
Не правильно собрал ядро.

> Использовал Ваш синтаксис, но безрезультатно.
> VPN туннель не поднимается.
> Могли бы Вы написать пример содержимого rc.conf?


"gif тунель во FreeBSD 10"
Отправлено satans , 03-Окт-14 16:49 
> Разобрался.
> Не правильно собрал ядро.
>> Использовал Ваш синтаксис, но безрезультатно.
>> VPN туннель не поднимается.
>> Могли бы Вы написать пример содержимого rc.conf?

а что именно не так собрали? Столкнулся с такой же проблемой.


"gif тунель во FreeBSD 10"
Отправлено yokon , 03-Окт-14 17:17 
Я проверил командой sysctl -a | grep ipsec
установилась ли поддержка ipsec в ядре.
Если нет, то команда ничего не выдаст.
А так как начинал делать все по какому-то древнему мануалу, то использовал для сборки ядра не те команды.
Пересобрал ядро заново.

cd /usr/src

make buildkernel KERNCONF=MYKERNEL
make installkernel KERNCONF=MYKERNEL

и проверил еще раз командой sysctl -a | grep ipsec
поддержка ipsec включилась.


>> Разобрался.
>> Не правильно собрал ядро.
>>> Использовал Ваш синтаксис, но безрезультатно.
>>> VPN туннель не поднимается.
>>> Могли бы Вы написать пример содержимого rc.conf?
> а что именно не так собрали? Столкнулся с такой же проблемой.


"gif тунель во FreeBSD 10"
Отправлено satans , 03-Окт-14 17:29 
>[оверквотинг удален]
> make buildkernel KERNCONF=MYKERNEL
> make installkernel KERNCONF=MYKERNEL
> и проверил еще раз командой sysctl -a | grep ipsec
> поддержка ipsec включилась.
>>> Разобрался.
>>> Не правильно собрал ядро.
>>>> Использовал Ваш синтаксис, но безрезультатно.
>>>> VPN туннель не поднимается.
>>>> Могли бы Вы написать пример содержимого rc.conf?
>> а что именно не так собрали? Столкнулся с такой же проблемой.

Блин точно, собирал же ядро, он ругнулся на ipsec.
Та самая история, по старой статье настраивал :)
Спасибо большое :)


"gif тунель во FreeBSD 10"
Отправлено yokon , 03-Окт-14 17:34 
В моем случая, я ставил freebsd 10 на hyper-v и у меня туннель не выдавал скорость больше 2 мб.сек
если столкнетесь с такой проблемой, то я подскажу что подправить.


>[оверквотинг удален]
>> поддержка ipsec включилась.
>>>> Разобрался.
>>>> Не правильно собрал ядро.
>>>>> Использовал Ваш синтаксис, но безрезультатно.
>>>>> VPN туннель не поднимается.
>>>>> Могли бы Вы написать пример содержимого rc.conf?
>>> а что именно не так собрали? Столкнулся с такой же проблемой.
> Блин точно, собирал же ядро, он ругнулся на ipsec.
> Та самая история, по старой статье настраивал :)
> Спасибо большое :)


"gif тунель во FreeBSD 10"
Отправлено satans , 04-Окт-14 18:44 
Благодарю, но у меня он вообще не поднимался. Сейчас вот пересобрал на второй
железяке ядро, буду пробовать.
Ну правда сейчас с енотом разбираюсь. Не хочет собираться пакостник пушистый.


>[оверквотинг удален]
>>> поддержка ipsec включилась.
>>>>> Разобрался.
>>>>> Не правильно собрал ядро.
>>>>>> Использовал Ваш синтаксис, но безрезультатно.
>>>>>> VPN туннель не поднимается.
>>>>>> Могли бы Вы написать пример содержимого rc.conf?
>>>> а что именно не так собрали? Столкнулся с такой же проблемой.
>> Блин точно, собирал же ядро, он ругнулся на ipsec.
>> Та самая история, по старой статье настраивал :)
>> Спасибо большое :)


"gif тунель во FreeBSD 10"
Отправлено yokon , 06-Окт-14 16:41 
Я могу скинуть файлы конфигурации и последовательность своих действий по настройке, если нужно.

>[оверквотинг удален]
>>>> поддержка ipsec включилась.
>>>>>> Разобрался.
>>>>>> Не правильно собрал ядро.
>>>>>>> Использовал Ваш синтаксис, но безрезультатно.
>>>>>>> VPN туннель не поднимается.
>>>>>>> Могли бы Вы написать пример содержимого rc.conf?
>>>>> а что именно не так собрали? Столкнулся с такой же проблемой.
>>> Блин точно, собирал же ядро, он ругнулся на ipsec.
>>> Та самая история, по старой статье настраивал :)
>>> Спасибо большое :)


"gif тунель во FreeBSD 10"
Отправлено savio , 06-Май-15 11:16 
>[оверквотинг удален]
>>>>> поддержка ipsec включилась.
>>>>>>> Разобрался.
>>>>>>> Не правильно собрал ядро.
>>>>>>>> Использовал Ваш синтаксис, но безрезультатно.
>>>>>>>> VPN туннель не поднимается.
>>>>>>>> Могли бы Вы написать пример содержимого rc.conf?
>>>>>> а что именно не так собрали? Столкнулся с такой же проблемой.
>>>> Блин точно, собирал же ядро, он ругнулся на ipsec.
>>>> Та самая история, по старой статье настраивал :)
>>>> Спасибо большое :)

Перепроверил у себя "http://webit.in.ua/article/FreeBSD-i-gif-tunel/" , все работает, туннель поднимается при перезагрузке


"gif тунель во FreeBSD 10"
Отправлено edik , 10-Фев-16 12:41 
>[оверквотинг удален]
>>>>>>>> Не правильно собрал ядро.
>>>>>>>>> Использовал Ваш синтаксис, но безрезультатно.
>>>>>>>>> VPN туннель не поднимается.
>>>>>>>>> Могли бы Вы написать пример содержимого rc.conf?
>>>>>>> а что именно не так собрали? Столкнулся с такой же проблемой.
>>>>> Блин точно, собирал же ядро, он ругнулся на ipsec.
>>>>> Та самая история, по старой статье настраивал :)
>>>>> Спасибо большое :)
> Перепроверил у себя "http://webit.in.ua/article/FreeBSD-i-gif-tunel/" , все работает,
> туннель поднимается при перезагрузке

Можете скинуть нормальный мануал по полной настройке IPSec для  freebsd 10х, или то по которому вы настраивали?


"gif тунель во FreeBSD 10"
Отправлено andy_od , 18-Май-16 13:33 
Ядро должно содержать строки:
options         IPSEC
device          crypto

Собираем ядро.
config kernel_name &&
cd ../compile/kernel_name
make cleandepend && make depend && make && make install

/etc/rc.conf
cloned_interfaces="gif0"
ifconfig_gif0="inet A.A.A.A B.B.B.B netmask 255.255.255.252 tunnel C.C.C.C D.D.D.D"
(A и B адреса концов туннеля) и строится он между C и D
ipsec_enable="YES"              # Set to YES to run setkey on ipsec_file
ipsec_file="/etc/ipsec.conf"    # Name of config file for setkey

Создаем фал ipsec.conf
flush;
spdflush;
spdadd A.A.A.A/30 B.B.B.B/30 any -P out  ipsec esp/tunnel/C.C.C.C-D.D.D.D/require;
spdadd B.B.B.B/30 A.A.A.A/30 any -P in ipsec esp/tunnel/D.D.D.D-C.C.C.C/require;

Далее идем устанавливаем racoon
cd /usr/ports/security/ipsec-tools/
make && make install && make clean
После установки rc.conf добавляем
racoon_enable="YES"

И создаем его конфигурационный файл /usr/local/etc/racoon:
path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
log notify;

padding
{
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
}

# if no listen directive is specified, racoon will listen to all
# available interface addresses.
listen
{
        #isakmp ::1 [7000];
        isakmp  C.C.C.C [500];
        #admin [7002];          # administrative's port by kmpstat.
        #strict_address;        # required all addresses must be bound.
}

# Specification of default various timer.
timer
{
        # These value can be changed per remote node.
        counter 5;              # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
        persend 1;              # the number of packets per a send.

        # timer for waiting to complete each phase.
        phase1 60 sec;
        phase2 30 sec;
}
remote anonymous
{
        exchange_mode main,aggressive;
        doi ipsec_doi;
        situation identity_only;

        nonce_size 16;
        lifetime time 240 min;   # sec,min,hour
        initial_contact on;
#        support_mip6 on;
        support_proxy on;
        proposal_check obey;    # obey, strict or claim

        proposal {
                encryption_algorithm 3des;
                hash_algorithm md5;
                authentication_method pre_shared_key ;
                dh_group 5 ;
        }
}

sainfo anonymous
{
        pfs_group 5;
        lifetime time 24 hour;
        encryption_algorithm 3des,des,cast128,blowfish;
        authentication_algorithm hmac_sha1,hmac_md5;
        compression_algorithm deflate ;
}

Создаем файл с паролями psk.txt

D.D.D.D    password_for_remote_host

Не забываем сделать его доступным только для чтения.
chmod 600 psk.txt

Перезагружаемся и все работает.