forum.opennet.ru - "Маршрутизация между офисами" (24)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"Маршрутизация между офисами"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Маршрутизация между офисами"
Сообщение от FatCat71 (ok) on 29-Мрт-09, 12:44
Существуют 3 офиса - центральный и 2 периферийных, сети соответственно, 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24, внешние IP XXX.XXX.XXX.25, XXX.XXX.XXX.34, XXX.XXX.XXX.88. В центральном маршрутизатор на FreeBSD 7.1, в периферийных D-Link 804HV. Необходимо связать офисы и обеспечить видимость всех машин в сетевом оркружении. На FreeBSD поднят IPSEC Racoon, туннели с офисными маршрутизаторами подняты и работают. Но пинги между сетями не проходят. Подскажите, какие маршруты прописать чтобы все работало? С шлюза ЦО раздается инет в сеть, подключение к провайдеру по PPTP, и к нему же подключаются внешние пользователи. (данный функционал пока не реализован).
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

Маршрутизация между офисами, nazimka, 13:19 , 29-Мрт-09, (1)

Маршрутизация между офисами, FatCat71, 13:33 , 29-Мрт-09, (2)

Маршрутизация между офисами, nazimka, 13:52 , 29-Мрт-09, (3)

Маршрутизация между офисами, FatCat71, 13:57 , 29-Мрт-09, (4)

Маршрутизация между офисами, nazimka, 14:15 , 29-Мрт-09, (5)

Маршрутизация между офисами, FatCat71, 14:35 , 29-Мрт-09, (6)

Маршрутизация между офисами, Дмитрий, 01:10 , 30-Мрт-09, (7)

Маршрутизация между офисами, FatCat71, 10:03 , 30-Мрт-09, (8)

Маршрутизация между офисами, nazimka, 10:14 , 30-Мрт-09, (9)

Маршрутизация между офисами, FatCat71, 10:26 , 30-Мрт-09, (10)

Маршрутизация между офисами, FatCat71, 10:30 , 30-Мрт-09, (11)

Маршрутизация между офисами, FatCat71, 10:32 , 30-Мрт-09, (12)

Маршрутизация между офисами, nazimka, 10:53 , 30-Мрт-09, (13)

Маршрутизация между офисами, FatCat71, 11:15 , 30-Мрт-09, (14)
Маршрутизация между офисами, FatCat71, 11:19 , 30-Мрт-09, (15)
Маршрутизация между офисами, FatCat71, 11:24 , 30-Мрт-09, (16)
Маршрутизация между офисами, nazimka, 11:45 , 30-Мрт-09, (17)
Маршрутизация между офисами, FatCat71, 11:47 , 30-Мрт-09, (18)
Маршрутизация между офисами, FatCat71, 11:54 , 30-Мрт-09, (19)
Маршрутизация между офисами, FatCat71, 19:46 , 30-Мрт-09, (20)
Маршрутизация между офисами, nazimka, 20:03 , 30-Мрт-09, (21)
Маршрутизация между офисами, FatCat71, 20:07 , 30-Мрт-09, (22)
Маршрутизация между офисами, FatCat71, 21:53 , 30-Мрт-09, (23)
Маршрутизация между офисами, FatCat71, 22:01 , 30-Мрт-09, (24)

Сообщения по теме [Сортировка по времени | RSS]

1. "Маршрутизация между офисами"

Сообщение от nazimka (ok) on 29-Мрт-09, 13:19

>
>Но пинги между сетями не проходят.
>
icmp пакеты - это пинги. Создай правило что то типа
${fwcmd} add allow log icmp from ХХХ.ХХХ.ХХХ.ХХХ to YYY.YYY.YYY.YYY out via внешний интерфейс
${fwcmd} add allow log icmp from YYY.YYY.YYY.YYY to ХХХ.ХХХ.ХХХ.ХХХ in via внешний интерфейс
Покажи правила - настройки файерволла сделаные в freebsd. Должно быть что то похоже на
${fwcmd} add allow log esp from ХХХ.ХХХ.ХХХ.ХХХ  to YYY.YYY.YYY.YYY
${fwcmd} add allow log esp from YYY.YYY.YYY.YYY to ХХХ.ХХХ.ХХХ.ХХХ
${fwcmd} add allow log ipencap from ХХХ.ХХХ.ХХХ.ХХХ to YYY.YYY.YYY.YYY
${fwcmd} add allow log ipencap YYY.YYY.YYY.YYY to ХХХ.ХХХ.ХХХ.ХХХ

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Маршрутизация между офисами"

Сообщение от FatCat71 (ok) on 29-Мрт-09, 13:33

Фаерволл вроде еще не включал. Как посмотреть правила? Раньше занимался с Linux, так что не обессудьте...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Маршрутизация между офисами"

Сообщение от nazimka (ok) on 29-Мрт-09, 13:52

>Фаерволл вроде еще не включал. Как посмотреть правила? Раньше занимался с Linux,
>так что не обессудьте...
дай вывод ipfw show
и дай вывод ifconfig

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Маршрутизация между офисами"

Сообщение от FatCat71 (ok) on 29-Мрт-09, 13:57

>>Фаерволл вроде еще не включал. Как посмотреть правила? Раньше занимался с Linux,
>>так что не обессудьте...
>
>дай вывод ipfw show
>
>и дай вывод ifconfig
router# ipfw show
ipfw: getsockopt(IP_FW_GET): Protocol not available

router# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:80:48:21:a4:80
        inet 172.28.9.96 netmask 0xffff0000 broadcast 172.28.255.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:15:f2:3c:5f:3a
        inet 192.168.1.240 netmask 0xffffff00 broadcast 192.168.1.255
        inet 192.0.1.240 netmask 0xffffff00 broadcast 192.0.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
Я так думаю, что gif надо поднимать...... И к ним маршрутизацию прописывать.
Делал по статье http://www.dlink.ru/ru/faq/92/506.html Там сказано что вроде gif не надо

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Маршрутизация между офисами"

Сообщение от nazimka (ok) on 29-Мрт-09, 14:15

>router# ipfw show
>ipfw: getsockopt(IP_FW_GET): Protocol not available
Хм...покажи опции в ядре IPFW, IPSEC
И покажи /etc/rc.conf.
Насчет gif, посмотри тут http://test.pcbsd.org.ua/index.php?art=6&menu=1

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Маршрутизация между офисами"

Сообщение от FatCat71 (ok) on 29-Мрт-09, 14:35

>>router# ipfw show
>>ipfw: getsockopt(IP_FW_GET): Protocol not available
>
>Хм...покажи опции в ядре IPFW, IPSEC
>И покажи /etc/rc.conf.
>
>Насчет gif, посмотри тут http://test.pcbsd.org.ua/index.php?art=6&menu=1
router# cat /etc/rc.conf
# -- sysinstall generated deltas -- # Thu Mar 26 20:13:10 2009
# Created: Thu Mar 26 20:13:10 2009
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
#--- network interfaces ---
#--- int ---
ifconfig_vr0="inet 192.168.1.240  netmask 255.255.255.0"
ifconfig_vr0_alias0="inet 192.0.1.240 netmask 255.255.255.0"
#--- ext ---
ifconfig_rl0="inet 172.28.9.96  netmask 255.255.0.0"
#--- tunneling ---
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="172.28.9.96 172.28.9.98"
ifconfig_gif0="inet 192.168.1.252 192.168.2.1 netmask 0xffffffff"
cloned_interfaces="gif1"
gif_interfaces="gif1"
gifconfig_gif1="172.28.9.96 172.28.9.97"
ifconfig_gif1="inet 192.168.1.252 192.168.3.1 netmask 0xffffffff"

defaultrouter="192.168.1.252"
gateway_enable="YES"
hostname="router.westterm.local"
inetd_enable="YES"
sshd_enable="YES"
keymap="ru.koi8-r"
linux_enable="YES"
ntpdate_flags="pool.ntp.org"
ntpdate_enable="YES"
#--- IPSEC support ---
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"
static_routes="RemoteLan0"
static_RemoteLan0="192.168.2.0/24 -intergace gif0"
static_routes="RemoteLan1"
static_RemoteLan1="192.168.3.0/24 -intergace gif1"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Маршрутизация между офисами"

Сообщение от Дмитрий (??) on 30-Мрт-09, 01:10

А опции ядра которые Вас просили?
Хотя, судя по всему у Вас даже фаера нету :)
Потому и грабли.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Маршрутизация между офисами"

Сообщение от FatCat71 (ok) on 30-Мрт-09, 10:03

>А опции ядра которые Вас просили?
>Хотя, судя по всему у Вас даже фаера нету :)
>Потому и грабли.
Собираю ядро с опциями
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=1000

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Маршрутизация между офисами"

Сообщение от nazimka (??) on 30-Мрт-09, 10:14

>Собираю ядро с опциями
>options         IPFIREWALL
>options         IPFIREWALL_VERBOSE
>options         IPFIREWALL_VERBOSE_LIMIT=1000
эти опции есть
options         IPSEC
device          crypto
ну и как по мне добавь еще
options         IPDIVERT
options         IPFIREWALL_DEFAULT_TO_ACCEPT
options         DUMMYNET
options         QUOTA

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Маршрутизация между офисами"

Сообщение от FatCat71 (ok) on 30-Мрт-09, 10:26

>[оверквотинг удален]
>эти опции есть
>options         IPSEC
>device          crypto
>
>ну и как по мне добавь еще
>
>options         IPDIVERT
>options         IPFIREWALL_DEFAULT_TO_ACCEPT
>options         DUMMYNET
>options         QUOTA
Как я понял, после устновки нового ядра доступа извне к машине не будет?
Нужно будет дать доступ к SSH из внутренних сетей.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Маршрутизация между офисами"

Сообщение от FatCat71 (ok) on 30-Мрт-09, 10:30

>[оверквотинг удален]
>>ну и как по мне добавь еще
>>
>>options         IPDIVERT
>>options         IPFIREWALL_DEFAULT_TO_ACCEPT
>>options         DUMMYNET
>>options         QUOTA
>
>Как я понял, после устновки нового ядра доступа извне к машине не
>будет?
>Нужно будет дать доступ к SSH из внутренних сетей.
А пока собирается ядро дам конфиги:
Адреса сетей:
внутрениие 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24
Внешние    172.28.9.96, 172.28.9.97, 172.28.9.98 маска 16
cat ipsec.conf
spdadd 192.168.1.0/24 192.168.3.0/24 any -P out ipsec esp/tunnel/172.28.9.96-172.28.9.97/require;
spdadd 192.168.3.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/172.28.9.97-172.28.9.96/require;

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Маршрутизация между офисами"

Сообщение от FatCat71 (ok) on 30-Мрт-09, 10:32

cat rc.conf
# -- sysinstall generated deltas -- # Thu Mar 26 20:13:10 2009
# Created: Thu Mar 26 20:13:10 2009
# Enable network daemons for user convenience.
# Please make all changes to this file, not to /etc/defaults/rc.conf.
# This file now contains just the overrides from /etc/defaults/rc.conf.
#--- network interfaces ---
#--- int ---
ifconfig_vr0="inet 192.168.1.240  netmask 255.255.255.0"
ifconfig_vr0_alias0="inet 192.0.1.240 netmask 255.255.255.0"
#--- ext ---
ifconfig_rl0="inet 172.28.9.96  netmask 255.255.0.0"
defaultrouter="192.168.1.1"
gateway_enable="YES"
hostname="router.westterm.local"
inetd_enable="YES"
sshd_enable="YES"
keymap="ru.koi8-r"
linux_enable="YES"
ntpdate_flags="pool.ntp.org"
ntpdate_enable="YES"
#--- IPSEC support ---
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Маршрутизация между офисами"

Сообщение от nazimka (??) on 30-Мрт-09, 10:53

>
>Как я понял, после устновки нового ядра доступа извне к машине не
>будет?
доступ будет:), все будет

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Маршрутизация между офисами"

Сообщение от FatCat71 (ok) on 30-Мрт-09, 11:15

>>
>>Как я понял, после устновки нового ядра доступа извне к машине не
>>будет?
>
>доступ будет:), все будет
Ставлю ядро.
Что дальше? конфиги правильные? Особенно ipsec.conf? А то в инете много примеров - где сети указаны, где хосты...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Маршрутизация между офисами"

Сообщение от FatCat71 (ok) on 30-Мрт-09, 11:19

>>>
>>>Как я понял, после устновки нового ядра доступа извне к машине не
>>>будет?
>>
>>доступ будет:), все будет
>
>Ставлю ядро.
>Что дальше? конфиги правильные? Особенно ipsec.conf? А то в инете много примеров
>- где сети указаны, где хосты...
О...... Пинги пошли...... УРАААААААА. Спасибо!
Кстати, люблю доискиваться до истины - почему раньше не пинг, а сейчас пинг?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Маршрутизация между офисами"

Сообщение от FatCat71 (ok) on 30-Мрт-09, 11:24

>[оверквотинг удален]
>>>
>>>доступ будет:), все будет
>>
>>Ставлю ядро.
>>Что дальше? конфиги правильные? Особенно ipsec.conf? А то в инете много примеров
>>- где сети указаны, где хосты...
>
>О...... Пинги пошли...... УРАААААААА. Спасибо!
>Кстати, люблю доискиваться до истины - почему раньше не пинг, а сейчас
>пинг?
А с d-link пинга нет. Странно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Маршрутизация между офисами"

Сообщение от nazimka (??) on 30-Мрт-09, 11:45

конфиг ipsec.conf выложи,
Дай вывод
ipfw show
и
ifconfig

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Маршрутизация между офисами"

Сообщение от FatCat71 (ok) on 30-Мрт-09, 11:47

>конфиг ipsec.conf выложи,
>Дай вывод
>ipfw show
>и
>ifconfig
router# cat /etc/ipsec.conf
spdadd 192.168.1.0/24 192.168.3.0/24 any -P out ipsec esp/tunnel/172.28.9.96-172.28.9.97/require;
spdadd 192.168.3.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/172.28.9.97-172.28.9.96/require;
router# ipfw show
65535 5714 450459 allow ip from any to any
router# ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=8<VLAN_MTU>
        ether 00:80:48:21:a4:80
        inet 172.28.9.96 netmask 0xffff0000 broadcast 172.28.255.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC>
        ether 00:15:f2:3c:5f:3a
        inet 192.168.1.240 netmask 0xffffff00 broadcast 192.168.1.255
        inet 192.0.1.240 netmask 0xffffff00 broadcast 192.0.1.255
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Маршрутизация между офисами"

Сообщение от FatCat71 (ok) on 30-Мрт-09, 11:54

>конфиг ipsec.conf выложи,
>Дай вывод
>ipfw show
>и
>ifconfig
Перенастроил D-Link - пропали пинги вообще.... Хотя
traceroute -g 172.28.9.96 192.168.3.1
traceroute to 192.168.3.1 (192.168.3.1), 64 hops max, 48 byte packets
1  172.28.9.96 (172.28.9.96)  0.129 ms !S  0.163 ms !S  0.062 ms !S

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Маршрутизация между офисами"

Сообщение от FatCat71 (ok) on 30-Мрт-09, 19:46

>конфиг ipsec.conf выложи,
>Дай вывод
>ipfw show
>и
>ifconfig
Пинги между хостами ходят, между сетями нет. Куда копать?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Маршрутизация между офисами"

Сообщение от nazimka (??) on 30-Мрт-09, 20:03

>
>Пинги между хостами ходят, между сетями нет. Куда копать?
Сюда вначале
http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec...
Отключи racoon и проверь

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Маршрутизация между офисами"

Сообщение от FatCat71 (ok) on 30-Мрт-09, 20:07

>>
>>Пинги между хостами ходят, между сетями нет. Куда копать?
>
>Сюда вначале
>
>http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec...
>
>Отключи racoon и проверь
спасибо! Детально разжевано.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Маршрутизация между офисами"

Сообщение от FatCat71 (ok) on 30-Мрт-09, 21:53

>>
>>Пинги между хостами ходят, между сетями нет. Куда копать?
>
>Сюда вначале
>
>http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec...
>
>Отключи racoon и проверь
слушал tdcpdump-ом внешнюю карту
21:49:12.459603 IP 172.28.9.66 > 172.28.9.96: ESP(spi=0x03e95506,seq=0x25), length 116
21:49:13.459307 IP 172.28.9.96 > 172.28.9.66: ESP(spi=0x2b000010,seq=0x26), length 116
21:49:13.460592 IP 172.28.9.66 > 172.28.9.96: ESP(spi=0x03e95506,seq=0x26), length 116
21:49:14.460303 IP 172.28.9.96 > 172.28.9.66: ESP(spi=0x2b000010,seq=0x27), length 116
21:49:14.461582 IP 172.28.9.66 > 172.28.9.96: ESP(spi=0x03e95506,seq=0x27), length 116
Это таки шифрованный трафик?
Если слушать gif1, то
21:39:19.811095 IP router.westterm.local > 192.168.3.1: ICMP echo request, id 39427, seq 0, length 64
21:39:20.811744 IP router.westterm.local > 192.168.3.1: ICMP echo request, id 39427, seq 1, length 64
21:39:21.812731 IP router.westterm.local > 192.168.3.1: ICMP echo request, id 39427, seq 2, length 64
21:39:22.813723 IP router.westterm.local > 192.168.3.1: ICMP echo request, id 39427, seq 3, length 64
21:39:23.814717 IP router.westterm.local > 192.168.3.1: ICMP echo request, id 39427, seq 4, length 64
21:44:33.881825 IP 192.168.3.1 > router.westterm.local: ICMP echo reply, id 47363, seq 0, length 64
21:44:34.882765 IP 192.168.3.1 > router.westterm.local: ICMP echo reply, id 47363, seq 1, length 64
21:44:35.883765 IP 192.168.3.1 > router.westterm.local: ICMP echo reply, id 47363, seq 2, length 64
21:44:36.884767 IP 192.168.3.1 > router.westterm.local: ICMP echo reply, id 47363, seq 3, length 64
21:44:37.885744 IP 192.168.3.1 > router.westterm.local: ICMP echo reply, id 47363, seq 4, length 64

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Маршрутизация между офисами"

Сообщение от FatCat71 (ok) on 30-Мрт-09, 22:01

>>
>>Пинги между хостами ходят, между сетями нет. Куда копать?
>
>Сюда вначале
>
>http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec...
>
>Отключи racoon и проверь
Разжевано-то разжевано.... Но для 2-х BSD.
Вообщем получается, что пинги таки идут от хоста до хоста. А по сетям нет.
У кого есть опыт по Д-линкам, помогите! Что на нем или на BSD написать, чтобы пинги прошли?
Туннель поднят и работает. Данные вроде шифруются.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Маршрутизация между офисами"
Сообщение от nazimka (ok) on 29-Мрт-09, 13:19
> >Но пинги между сетями не проходят. > icmp пакеты - это пинги. Создай правило что то типа ${fwcmd} add allow log icmp from ХХХ.ХХХ.ХХХ.ХХХ to YYY.YYY.YYY.YYY out via внешний интерфейс ${fwcmd} add allow log icmp from YYY.YYY.YYY.YYY to ХХХ.ХХХ.ХХХ.ХХХ in via внешний интерфейс Покажи правила - настройки файерволла сделаные в freebsd. Должно быть что то похоже на ${fwcmd} add allow log esp from ХХХ.ХХХ.ХХХ.ХХХ to YYY.YYY.YYY.YYY ${fwcmd} add allow log esp from YYY.YYY.YYY.YYY to ХХХ.ХХХ.ХХХ.ХХХ ${fwcmd} add allow log ipencap from ХХХ.ХХХ.ХХХ.ХХХ to YYY.YYY.YYY.YYY ${fwcmd} add allow log ipencap YYY.YYY.YYY.YYY to ХХХ.ХХХ.ХХХ.ХХХ
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "Маршрутизация между офисами"
	Сообщение от FatCat71 (ok) on 29-Мрт-09, 13:33
	Фаерволл вроде еще не включал. Как посмотреть правила? Раньше занимался с Linux, так что не обессудьте...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	3. "Маршрутизация между офисами"
	Сообщение от nazimka (ok) on 29-Мрт-09, 13:52
	>Фаерволл вроде еще не включал. Как посмотреть правила? Раньше занимался с Linux, >так что не обессудьте... дай вывод ipfw show и дай вывод ifconfig
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "Маршрутизация между офисами"
	Сообщение от FatCat71 (ok) on 29-Мрт-09, 13:57
	>>Фаерволл вроде еще не включал. Как посмотреть правила? Раньше занимался с Linux, >>так что не обессудьте... > >дай вывод ipfw show > >и дай вывод ifconfig router# ipfw show ipfw: getsockopt(IP_FW_GET): Protocol not available router# ifconfig rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=8<VLAN_MTU> ether 00:80:48:21:a4:80 inet 172.28.9.96 netmask 0xffff0000 broadcast 172.28.255.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC> ether 00:15:f2:3c:5f:3a inet 192.168.1.240 netmask 0xffffff00 broadcast 192.168.1.255 inet 192.0.1.240 netmask 0xffffff00 broadcast 192.0.1.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500 lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff000000 Я так думаю, что gif надо поднимать...... И к ним маршрутизацию прописывать. Делал по статье http://www.dlink.ru/ru/faq/92/506.html Там сказано что вроде gif не надо
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "Маршрутизация между офисами"
	Сообщение от nazimka (ok) on 29-Мрт-09, 14:15
	>router# ipfw show >ipfw: getsockopt(IP_FW_GET): Protocol not available Хм...покажи опции в ядре IPFW, IPSEC И покажи /etc/rc.conf. Насчет gif, посмотри тут http://test.pcbsd.org.ua/index.php?art=6&menu=1
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "Маршрутизация между офисами"
	Сообщение от FatCat71 (ok) on 29-Мрт-09, 14:35
	>>router# ipfw show >>ipfw: getsockopt(IP_FW_GET): Protocol not available > >Хм...покажи опции в ядре IPFW, IPSEC >И покажи /etc/rc.conf. > >Насчет gif, посмотри тут http://test.pcbsd.org.ua/index.php?art=6&menu=1 router# cat /etc/rc.conf # -- sysinstall generated deltas -- # Thu Mar 26 20:13:10 2009 # Created: Thu Mar 26 20:13:10 2009 # Enable network daemons for user convenience. # Please make all changes to this file, not to /etc/defaults/rc.conf. # This file now contains just the overrides from /etc/defaults/rc.conf. #--- network interfaces --- #--- int --- ifconfig_vr0="inet 192.168.1.240 netmask 255.255.255.0" ifconfig_vr0_alias0="inet 192.0.1.240 netmask 255.255.255.0" #--- ext --- ifconfig_rl0="inet 172.28.9.96 netmask 255.255.0.0" #--- tunneling --- cloned_interfaces="gif0" gif_interfaces="gif0" gifconfig_gif0="172.28.9.96 172.28.9.98" ifconfig_gif0="inet 192.168.1.252 192.168.2.1 netmask 0xffffffff" cloned_interfaces="gif1" gif_interfaces="gif1" gifconfig_gif1="172.28.9.96 172.28.9.97" ifconfig_gif1="inet 192.168.1.252 192.168.3.1 netmask 0xffffffff" defaultrouter="192.168.1.252" gateway_enable="YES" hostname="router.westterm.local" inetd_enable="YES" sshd_enable="YES" keymap="ru.koi8-r" linux_enable="YES" ntpdate_flags="pool.ntp.org" ntpdate_enable="YES" #--- IPSEC support --- ipsec_enable="YES" ipsec_file="/etc/ipsec.conf" racoon_enable="YES" static_routes="RemoteLan0" static_RemoteLan0="192.168.2.0/24 -intergace gif0" static_routes="RemoteLan1" static_RemoteLan1="192.168.3.0/24 -intergace gif1"
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "Маршрутизация между офисами"
	Сообщение от Дмитрий (??) on 30-Мрт-09, 01:10
	А опции ядра которые Вас просили? Хотя, судя по всему у Вас даже фаера нету :) Потому и грабли.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "Маршрутизация между офисами"
	Сообщение от FatCat71 (ok) on 30-Мрт-09, 10:03
	>А опции ядра которые Вас просили? >Хотя, судя по всему у Вас даже фаера нету :) >Потому и грабли. Собираю ядро с опциями options IPFIREWALL options IPFIREWALL_VERBOSE options IPFIREWALL_VERBOSE_LIMIT=1000
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "Маршрутизация между офисами"
	Сообщение от nazimka (??) on 30-Мрт-09, 10:14
	>Собираю ядро с опциями >options IPFIREWALL >options IPFIREWALL_VERBOSE >options IPFIREWALL_VERBOSE_LIMIT=1000 эти опции есть options IPSEC device crypto ну и как по мне добавь еще options IPDIVERT options IPFIREWALL_DEFAULT_TO_ACCEPT options DUMMYNET options QUOTA
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "Маршрутизация между офисами"
	Сообщение от FatCat71 (ok) on 30-Мрт-09, 10:26
	>[оверквотинг удален] >эти опции есть >options IPSEC >device crypto > >ну и как по мне добавь еще > >options IPDIVERT >options IPFIREWALL_DEFAULT_TO_ACCEPT >options DUMMYNET >options QUOTA Как я понял, после устновки нового ядра доступа извне к машине не будет? Нужно будет дать доступ к SSH из внутренних сетей.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "Маршрутизация между офисами"
	Сообщение от FatCat71 (ok) on 30-Мрт-09, 10:30
	>[оверквотинг удален] >>ну и как по мне добавь еще >> >>options IPDIVERT >>options IPFIREWALL_DEFAULT_TO_ACCEPT >>options DUMMYNET >>options QUOTA > >Как я понял, после устновки нового ядра доступа извне к машине не >будет? >Нужно будет дать доступ к SSH из внутренних сетей. А пока собирается ядро дам конфиги: Адреса сетей: внутрениие 192.168.1.0/24, 192.168.2.0/24, 192.168.3.0/24 Внешние 172.28.9.96, 172.28.9.97, 172.28.9.98 маска 16 cat ipsec.conf spdadd 192.168.1.0/24 192.168.3.0/24 any -P out ipsec esp/tunnel/172.28.9.96-172.28.9.97/require; spdadd 192.168.3.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/172.28.9.97-172.28.9.96/require;
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "Маршрутизация между офисами"
	Сообщение от FatCat71 (ok) on 30-Мрт-09, 10:32
	cat rc.conf # -- sysinstall generated deltas -- # Thu Mar 26 20:13:10 2009 # Created: Thu Mar 26 20:13:10 2009 # Enable network daemons for user convenience. # Please make all changes to this file, not to /etc/defaults/rc.conf. # This file now contains just the overrides from /etc/defaults/rc.conf. #--- network interfaces --- #--- int --- ifconfig_vr0="inet 192.168.1.240 netmask 255.255.255.0" ifconfig_vr0_alias0="inet 192.0.1.240 netmask 255.255.255.0" #--- ext --- ifconfig_rl0="inet 172.28.9.96 netmask 255.255.0.0" defaultrouter="192.168.1.1" gateway_enable="YES" hostname="router.westterm.local" inetd_enable="YES" sshd_enable="YES" keymap="ru.koi8-r" linux_enable="YES" ntpdate_flags="pool.ntp.org" ntpdate_enable="YES" #--- IPSEC support --- ipsec_enable="YES" ipsec_file="/etc/ipsec.conf" racoon_enable="YES"
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "Маршрутизация между офисами"
	Сообщение от nazimka (??) on 30-Мрт-09, 10:53
	> >Как я понял, после устновки нового ядра доступа извне к машине не >будет? доступ будет:), все будет
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "Маршрутизация между офисами"
	Сообщение от FatCat71 (ok) on 30-Мрт-09, 11:15
	>> >>Как я понял, после устновки нового ядра доступа извне к машине не >>будет? > >доступ будет:), все будет Ставлю ядро. Что дальше? конфиги правильные? Особенно ipsec.conf? А то в инете много примеров - где сети указаны, где хосты...
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "Маршрутизация между офисами"
	Сообщение от FatCat71 (ok) on 30-Мрт-09, 11:19
	>>> >>>Как я понял, после устновки нового ядра доступа извне к машине не >>>будет? >> >>доступ будет:), все будет > >Ставлю ядро. >Что дальше? конфиги правильные? Особенно ipsec.conf? А то в инете много примеров >- где сети указаны, где хосты... О...... Пинги пошли...... УРАААААААА. Спасибо! Кстати, люблю доискиваться до истины - почему раньше не пинг, а сейчас пинг?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	16. "Маршрутизация между офисами"
	Сообщение от FatCat71 (ok) on 30-Мрт-09, 11:24
	>[оверквотинг удален] >>> >>>доступ будет:), все будет >> >>Ставлю ядро. >>Что дальше? конфиги правильные? Особенно ipsec.conf? А то в инете много примеров >>- где сети указаны, где хосты... > >О...... Пинги пошли...... УРАААААААА. Спасибо! >Кстати, люблю доискиваться до истины - почему раньше не пинг, а сейчас >пинг? А с d-link пинга нет. Странно
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "Маршрутизация между офисами"
	Сообщение от nazimka (??) on 30-Мрт-09, 11:45
	конфиг ipsec.conf выложи, Дай вывод ipfw show и ifconfig
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "Маршрутизация между офисами"
	Сообщение от FatCat71 (ok) on 30-Мрт-09, 11:47
	>конфиг ipsec.conf выложи, >Дай вывод >ipfw show >и >ifconfig router# cat /etc/ipsec.conf spdadd 192.168.1.0/24 192.168.3.0/24 any -P out ipsec esp/tunnel/172.28.9.96-172.28.9.97/require; spdadd 192.168.3.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/172.28.9.97-172.28.9.96/require; router# ipfw show 65535 5714 450459 allow ip from any to any router# ifconfig rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=8<VLAN_MTU> ether 00:80:48:21:a4:80 inet 172.28.9.96 netmask 0xffff0000 broadcast 172.28.255.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500 options=2808<VLAN_MTU,WOL_UCAST,WOL_MAGIC> ether 00:15:f2:3c:5f:3a inet 192.168.1.240 netmask 0xffffff00 broadcast 192.168.1.255 inet 192.0.1.240 netmask 0xffffff00 broadcast 192.0.1.255 media: Ethernet autoselect (100baseTX <full-duplex>) status: active plip0: flags=108810<POINTOPOINT,SIMPLEX,MULTICAST,NEEDSGIANT> metric 0 mtu 1500 lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384 inet6 fe80::1%lo0 prefixlen 64 scopeid 0x4 inet6 ::1 prefixlen 128 inet 127.0.0.1 netmask 0xff000000
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "Маршрутизация между офисами"
	Сообщение от FatCat71 (ok) on 30-Мрт-09, 11:54
	>конфиг ipsec.conf выложи, >Дай вывод >ipfw show >и >ifconfig Перенастроил D-Link - пропали пинги вообще.... Хотя traceroute -g 172.28.9.96 192.168.3.1 traceroute to 192.168.3.1 (192.168.3.1), 64 hops max, 48 byte packets 1 172.28.9.96 (172.28.9.96) 0.129 ms !S 0.163 ms !S 0.062 ms !S
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "Маршрутизация между офисами"
	Сообщение от FatCat71 (ok) on 30-Мрт-09, 19:46
	>конфиг ipsec.conf выложи, >Дай вывод >ipfw show >и >ifconfig Пинги между хостами ходят, между сетями нет. Куда копать?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "Маршрутизация между офисами"
	Сообщение от nazimka (??) on 30-Мрт-09, 20:03
	> >Пинги между хостами ходят, между сетями нет. Куда копать? Сюда вначале http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec... Отключи racoon и проверь
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "Маршрутизация между офисами"
	Сообщение от FatCat71 (ok) on 30-Мрт-09, 20:07
	>> >>Пинги между хостами ходят, между сетями нет. Куда копать? > >Сюда вначале > >http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec... > >Отключи racoon и проверь спасибо! Детально разжевано.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "Маршрутизация между офисами"
	Сообщение от FatCat71 (ok) on 30-Мрт-09, 21:53
	>> >>Пинги между хостами ходят, между сетями нет. Куда копать? > >Сюда вначале > >http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec... > >Отключи racoon и проверь слушал tdcpdump-ом внешнюю карту 21:49:12.459603 IP 172.28.9.66 > 172.28.9.96: ESP(spi=0x03e95506,seq=0x25), length 116 21:49:13.459307 IP 172.28.9.96 > 172.28.9.66: ESP(spi=0x2b000010,seq=0x26), length 116 21:49:13.460592 IP 172.28.9.66 > 172.28.9.96: ESP(spi=0x03e95506,seq=0x26), length 116 21:49:14.460303 IP 172.28.9.96 > 172.28.9.66: ESP(spi=0x2b000010,seq=0x27), length 116 21:49:14.461582 IP 172.28.9.66 > 172.28.9.96: ESP(spi=0x03e95506,seq=0x27), length 116 Это таки шифрованный трафик? Если слушать gif1, то 21:39:19.811095 IP router.westterm.local > 192.168.3.1: ICMP echo request, id 39427, seq 0, length 64 21:39:20.811744 IP router.westterm.local > 192.168.3.1: ICMP echo request, id 39427, seq 1, length 64 21:39:21.812731 IP router.westterm.local > 192.168.3.1: ICMP echo request, id 39427, seq 2, length 64 21:39:22.813723 IP router.westterm.local > 192.168.3.1: ICMP echo request, id 39427, seq 3, length 64 21:39:23.814717 IP router.westterm.local > 192.168.3.1: ICMP echo request, id 39427, seq 4, length 64 21:44:33.881825 IP 192.168.3.1 > router.westterm.local: ICMP echo reply, id 47363, seq 0, length 64 21:44:34.882765 IP 192.168.3.1 > router.westterm.local: ICMP echo reply, id 47363, seq 1, length 64 21:44:35.883765 IP 192.168.3.1 > router.westterm.local: ICMP echo reply, id 47363, seq 2, length 64 21:44:36.884767 IP 192.168.3.1 > router.westterm.local: ICMP echo reply, id 47363, seq 3, length 64 21:44:37.885744 IP 192.168.3.1 > router.westterm.local: ICMP echo reply, id 47363, seq 4, length 64
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "Маршрутизация между офисами"
	Сообщение от FatCat71 (ok) on 30-Мрт-09, 22:01
	>> >>Пинги между хостами ходят, между сетями нет. Куда копать? > >Сюда вначале > >http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec... > >Отключи racoon и проверь Разжевано-то разжевано.... Но для 2-х BSD. Вообщем получается, что пинги таки идут от хоста до хоста. А по сетям нет. У кого есть опыт по Д-линкам, помогите! Что на нем или на BSD написать, чтобы пинги прошли? Туннель поднят и работает. Данные вроде шифруются.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]