Всем доброго времени суток!Взываю к всемогущему All.
Нужна помощь.
Необходимо поднять ipsec (желательно в режиме транспорта) между двумя CentOS находящимися за NAT (Знаю что совсем по извращенски, но все же).
Имеем два шлюза
gw1
Ext_ip: 81.81.81.1/24
Int_ip: 192.168.1.1/24
gw2
Ext_ip: 82.82.82.2/24
Int_ip: 192.168.2.2/24
Здесь я думаю все понятно т.к. они у нас смотрят в интернет.
За каждым из них находится по серверу
server1
IP: 192.168.1.100/24
server2
IP: 192.168.2.200/24
Которые имеют доступ через NAT в интернет.
Вот между server1 и server2 надо поднять ipsec.
Сейчас это два линуха в дальнейшем один из них будет заменен на Cisco, поэтому выбран ipsec.
Сейчас у меня не получается даже связать server1 и gw2 по ipsec.
конфиги gw2.
cat racoon.conf
# Racoon IKE daemon configuration file.
# See 'man racoon.conf' for a description of the format and entries.
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
padding {
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
listen {
isakmp_natt 82.82.82.2 [4500];
isakmp 82.82.82.2 [500];
}
timer {
counter 5;
interval 20 sec;
persend 1;
phase1 90 sec;
phase2 90 sec;
}
sainfo anonymous
{
pfs_group 2;
lifetime time 3600 sec ;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate ;
}
include "/etc/racoon/81.81.81.1.conf";
cat 81.81.81.1.conf
remote 81.81.81.1
{
exchange_mode aggressive, main;
my_identifier address;
nat_traversal on;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
cat ifcfg-ipsec0
TYPE=IPSEC
DST=81.81.81.1
IKE_METHOD=PSK
AH_PROTO=none
на gw1 (81.81.81.1) весь трафик от gw2 перенаправляется на server1
Конфиги server1 аналогичные только естественно заменены адрес назначения на 82.82.82.2 и слушать isakmp и isakmp_natt на адресе 192.168.1.100
Я читал что racoon не может работать через нат в режиме transport а только в режиме tunnel, но не могу понять тогда как поднять туннель между двумя этими узлами, а в дальнейшем между server1 и server2.
ЗЫ. В довесок, данный канал поднимается как резервный основному каналу связи офисов. Данный канал будет работать через интернет, основной же канал точка-точка как раз между server1 и server2. Ну и в дальнейшем планируется поставить и настроить работу ospf на этих двух каналах. Поэтому и получается такая вот схема.