форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Открытые системы на сервере (VPN / Linux)
Изначальное сообщение		[ Отслеживать ]

"CentOS racoon ipsec nat"		+/–
Сообщение от McLeod095 (??) on 09-Фев-10, 15:14
Всем доброго времени суток! Взываю к всемогущему All. Нужна помощь. Необходимо поднять ipsec (желательно в режиме транспорта) между двумя CentOS находящимися за NAT (Знаю что совсем по извращенски, но все же). Имеем два шлюза gw1 Ext_ip: 81.81.81.1/24 Int_ip: 192.168.1.1/24 gw2 Ext_ip: 82.82.82.2/24 Int_ip: 192.168.2.2/24 Здесь я думаю все понятно т.к. они у нас смотрят в интернет. За каждым из них находится по серверу server1 IP: 192.168.1.100/24 server2 IP: 192.168.2.200/24 Которые имеют доступ через NAT в интернет. Вот между server1 и server2 надо поднять ipsec. Сейчас это два линуха в дальнейшем один из них будет заменен на Cisco, поэтому выбран ipsec. Сейчас у меня не получается даже связать server1 и gw2 по ipsec. конфиги gw2. cat racoon.conf # Racoon IKE daemon configuration file. # See 'man racoon.conf' for a description of the format and entries. path include "/etc/racoon"; path pre_shared_key "/etc/racoon/psk.txt"; path certificate "/etc/racoon/certs"; padding {     maximum_length 20;     randomize off;     strict_check off;     exclusive_tail off; } listen {     isakmp_natt 82.82.82.2 [4500];     isakmp 82.82.82.2 [500]; } timer {     counter 5;     interval 20 sec;     persend 1;     phase1 90 sec;     phase2 90 sec; } sainfo anonymous {     pfs_group 2;     lifetime time 3600 sec ;     encryption_algorithm 3des;     authentication_algorithm hmac_sha1;     compression_algorithm deflate ; } include "/etc/racoon/81.81.81.1.conf"; cat 81.81.81.1.conf remote 81.81.81.1 {     exchange_mode aggressive, main;     my_identifier address;     nat_traversal on;     proposal {             encryption_algorithm 3des;         hash_algorithm sha1;         authentication_method pre_shared_key;         dh_group 2;     } } cat ifcfg-ipsec0 TYPE=IPSEC DST=81.81.81.1 IKE_METHOD=PSK AH_PROTO=none на gw1 (81.81.81.1) весь трафик от gw2 перенаправляется на server1 Конфиги server1 аналогичные только естественно заменены адрес назначения на 82.82.82.2 и слушать isakmp и isakmp_natt на адресе 192.168.1.100 Я читал что racoon не может работать через нат в режиме transport а только в режиме tunnel, но не могу понять тогда как поднять туннель между двумя этими узлами, а в дальнейшем между server1 и server2. ЗЫ. В довесок, данный канал поднимается как резервный основному каналу связи офисов. Данный канал будет работать через интернет, основной же канал точка-точка как раз между server1 и server2. Ну и в дальнейшем планируется поставить и настроить работу ospf на этих двух каналах. Поэтому и получается такая вот схема.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "CentOS racoon ipsec nat"		+/–
Сообщение от strike1984 on 10-Фев-10, 08:48
Добрый день. Возможно ты еще один конфиг файл потерял. В debian это /etc/ipsec-tools.conf вроде. ##################### flush; spdflush; #для исходящего трафика spdadd 192.168.22.0/24 192.168.11.0/24 any -P out ipsec     esp/tunnel/x.x.x.x-y.y.y.y/require; #для входящего трафика spdadd 192.168.11.0/24 192.168.22.0/24 any -P in ipsec      esp/tunnel/y.y.y.y-x.x.x.x/require; #####################3 вместо #esp/transport//require; В centos не знаю, где этот файл, но можешь просто создать файл с любым именем и подгрузить его в setkey. Порты не забываем пробросить. Если получится скинь конфиги, мне тоже когда-то надо было похожее сделать, но руки не дошли, потому что проброс порта бизнес-процесс устроил.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "CentOS racoon ipsec nat"		+/–
	Сообщение от McLeod095 (??) on 10-Фев-10, 15:12
	>[оверквотинг удален] >spdadd 192.168.11.0/24 192.168.22.0/24 any -P in ipsec       >esp/tunnel/y.y.y.y-x.x.x.x/require; >#####################3 >вместо #esp/transport//require; > >В centos не знаю, где этот файл, но можешь просто создать файл >с любым именем и подгрузить его в setkey. Порты не забываем >пробросить. >Если получится скинь конфиги, мне тоже когда-то надо было похожее сделать, но >руки не дошли, потому что проброс порта бизнес-процесс устроил. Спасибо! В CentOS правила создаются автоматом в зависимости от прописанных переменных в файлах настройки ifcfg-ipsec. Ну и самое большое отличие это то что в приведенном Вами примере используется туннельный режим, который к сожалению мне не походит.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "CentOS racoon ipsec nat"		+/–
	Сообщение от strike1984 on 11-Фев-10, 06:04
	>Ну и самое большое отличие это то что в приведенном Вами примере >используется туннельный режим, который к сожалению мне не походит. Пожалуйста, странно одно, выше вы пишите: >>Я читал что racoon не может работать через нат в режиме transport а только в режиме >>tunnel, но не могу понять тогда как поднять туннель между двумя этими узлами, а в >>дальнейшем между server1 и server2.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "CentOS racoon ipsec nat"		+/–
	Сообщение от McLeod095 (??) on 11-Фев-10, 12:29
	> >>Ну и самое большое отличие это то что в приведенном Вами примере >>используется туннельный режим, который к сожалению мне не походит. > >Пожалуйста, странно одно, выше вы пишите: > >>>Я читал что racoon не может работать через нат в режиме transport а только в режиме >>tunnel, но не могу понять тогда как поднять туннель между двумя этими узлами, а в >>дальнейшем между server1 и server2. Ну во всяком случае здесь http://www.ipsec-howto.org/x304.html говорится что не работает nat-traversal в транспортном режиме, но копаясь дальше в инете нашел в рассылках еще от 2004 года упоминания что на базе racoon сделали какой то софт который позволяет делать nat-traversal именно для транспортного режима. Ну и т.к. необходимо что бы работал поверх всего этого еще и ospf то получается что имеено на server1 и server2 должны быть подняты каналы шифрования и т.п. то есть gw1 и gw2 вообщем не должны знать ни про какой ipsec и т.п. К сожалению вчера не дали времени попробовать все сначала, сегодня если дойдут руки то попробую сделать все заново, т.к. все таки у меня получилось в понедельник заставить ходить пинги между server1 и gw2 на чем и остановился, а после того как решил возобновить работы то уже ничего не работало.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема