форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ipnat + IPsec - пакеты из туннеля не возвращаются в локал"
Сообщение от keywizard (ok) on 12-Май-05, 15:16  (MSK)
Помогите разобраться пожалуйста! Имеется: FreeBSD 5.3 RELEASE xl0 ip: a.a.a.a - смотрит в мир xl1 ip: b.b.b.b - смотрит в локальную сеть gif0: tunnel inet a.a.a.a --> c.c.c.c          inet d.d.d.1 --> d.d.d.2 netmask 0xfffffffc С другой стороны туннеля, за d.d.d.2,  есть сервер с адресом - e.e.e.e Задача: с машины из локала с адресом b.b.b.1 прокинуть через нат и туннель пакеты и представиться для  сервера с адресом e.e.e.e туннеля как d.d.d.1. Default route смотрит на a.a.a.1 и добавлен маршрут на e.e.e.e через gif0. В ipnat rules сказано: map gif0 b.b.0.0/22 -> d.d.d.1/32 portmap tcp/udp 40000:49999 map gif0 b.b.0.0/22 -> d.d.d.1/32 map xl0 b.b.0.0/22 -> a.a.a.a/32 portmap tcp/udp 50000:59999 map xl0 b.b.0.0/22 -> a.a.a.a/32 Фаервол настроен пропускать все по умолчанию. Проблема заключается в том что при пинге с b.b.b.1 на e.e.e.e пакеты проходят xl0, проходят gif0 уже с адресом d.d.d.1, а ответы приходят из туннеля, но на xl0 не попадают. Буду весьма признателен за светлые мысли! :)
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "ipnat + IPsec - пакеты из туннеля не возвращаются в локал"
Сообщение от BarS (??) on 12-Май-05, 16:17  (MSK)
Ну как бы нат необязателен в этом случае, маршрут в тунель хватит.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "ipnat + IPsec - пакеты из туннеля не возвращаются в локал"
	Сообщение от keywizard (ok) on 12-Май-05, 16:24  (MSK)
	>Ну как бы нат необязателен в этом случае, маршрут в тунель хватит. > Проблема в том, что сервер e.e.e.e желает видеть только d.d.d.1 и только. Увы повлиять на это немогу...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "ipnat + IPsec - пакеты из туннеля не возвращаются в локал"
	Сообщение от else (??) on 12-Май-05, 18:05  (MSK)
	fxp0:inet my_ext_ip netmask 0xffffff00 fxp1:inet my_int_ip netmask 0xffffff00 gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280         tunnel inet my_ext_ip --> his_ext_ip         inet my_virtual_ip --> his_virtual_ip netmask 0xfffffffc --- rc.conf route_NET_HISLAN="-net his_lan his_virtual_ip" ---- ipfw: add allow all from my_ext_ip to his_ext_ip (устанавливается туннель) add allow all his_ext_ip to my_ext_ip add allow ip from my_lan to virtual_ips add allow ip from virtual_ips to my_lan add allow ip from my_lan to his_lan add allow ip from his_lin to my_lan ---- ipnat.conf map gif0 my_lan -> my_virtual_ip/32
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "ipnat + IPsec - пакеты из туннеля не возвращаются в локал"
	Сообщение от keywizard (??) on 13-Май-05, 11:46  (MSK)
	В общем-то все так и сделано, но когда даю из локалки c адреса b.b.b.1 пинг на e.e.e.e tcpdump-ом на gif0 видно: tcpdump -n -i gif0 10:31:21.338274 IP d.d.d.1 > e.e.e.e: icmp 40: echo request seq 5632 10:31:21.639548 IP e.e.e.e > d.d.d.1: icmp 40: echo reply seq 5632 10:31:26.839012 IP d.d.d.1 > e.e.e.e: icmp 40: echo request seq 5888 10:31:27.139804 IP e.e.e.e > d.d.d.1: icmp 40: echo reply seq 5888 то есть пакеты наружу и в туннель бегают, и натятся, а вот на  xl1 - тот что в локал смотрит только запросы уходят... tcpdump -n -i xl1 host b.b.b.1 10:39:30.901529 IP b.b.b.1 > e.e.e.e: icmp 40: echo request seq 28672 10:39:36.359112 IP b.b.b.1 > e.e.e.e: icmp 40: echo request seq 28928 10:39:41.862077 IP b.b.b.1 > e.e.e.e: icmp 40: echo request seq 29184 ipnat -l говорит: List of active MAP/Redirect filters: map gif0 b.b.0.0/22 -> d.d.d.1/32 List of active sessions: MAP b.b.b.1  <- -> d.d.d.1   [ e.e.e.e ] Получается, что нат вроде работает, пакеты в туннель уходят, а когда возвращаются, то система не знает что с ними делать и дропает...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "ipnat + IPsec - пакеты из туннеля не возвращаются в локал"
	Сообщение от else (ok) on 13-Май-05, 13:22  (MSK)
	а прохождение пакетов от eeee до bb00/22 разрешено, точно?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "ipnat + IPsec - пакеты из туннеля не возвращаются в локал"
	Сообщение от keywizard (??) on 13-Май-05, 13:29  (MSK)
	>а прохождение пакетов от eeee до bb00/22 разрешено, точно? да, фаервол в режиме allow ip from any to any
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "ipnat + IPsec - пакеты из туннеля не возвращаются в локал"
	Сообщение от keywizard (??) on 13-Май-05, 13:33  (MSK)
	дело в том, что когда в ipnat.conf  добавляю правило типа map xl0 b.b.0.0/22 -> a.a.a.a/32 portmap tcp/udp 50000:59999 map xl0 b.b.0.0/22 -> a.a.a.a/32 то из локала виден мир и наружу все ходит
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "ipnat + IPsec - пакеты из туннеля не возвращаются в локал"
	Сообщение от else (ok) on 13-Май-05, 13:42  (MSK)
	Ну а че б не видеть и не ходить-то.... а nstat -nr ? 127.0.0.1          127.0.0.1         lo0 bb00               ddd1              gif0 ddd1               ddd2              gif0 bbb1              mac-bbb1           xl1 default-gw        mac                xl0
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "ipnat + IPsec - пакеты из туннеля не возвращаются в локал"
	Сообщение от keywizard (??) on 13-Май-05, 13:58  (MSK)
	netstat -rn Destination        Gateway         Netif a.a.a.0/28            link#1               xl0 127.0.0.1             127.0.0.1          lo0 e.e.0.0/16 (сеть за туннелем куда добраться надо)       d.d.d.1          gif0 d.d.d.1                   d.d.d.2            gif0 bb00                      link#2               xl1 b.b.b.1               mac-b.b.b.1       xl1 Вроде все правильно? Просто не знаю уже куда копать... Заранее спвсибо!
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "ipnat + IPsec - пакеты из туннеля не возвращаются в локал"
	Сообщение от else (ok) on 13-Май-05, 14:10  (MSK)
	Хочешь - стучись в аську, попробуем на цифрах разобраться, у меня таких коннектов штук нцать висит и все работают.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.