forum.opennet.ru - "IPSec" (3)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPSec"

Форум Открытые системы на сервере (Маршрутизация, NAT / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPSec"	+/–
Сообщение от Vladas (ok) on 11-Июл-11, 19:26
Здравствуйте большие гуру и маленькие! Расскажу я вам сказку, но сначала присказка: Решило начальство поставить новую цифровую АТСку с поддержкой VoIP. Был у меня с ней интим, но я не об этом... Есть шлюз на FreeBSD и даже работает. Машинки из внутренней сети 192.168.0.0/24 через NAT ходят в инет. АТС Необходимо подключаться к SIP провайдеру через IPsec туннель, но немного хитрым образом - у них требование присвоить privat IP из диапазона 172.xx.xx.xx/30 для внутреннего интерфейса. Выглядит итоговая топология так: \|------------------\|...........172.a.b.c \|-----------\|79.d.e.f......212.g.h.i \|----------\|212.j.k.l \|192.168.0.0/24 \|<---------------->\| Gateway \|<--------------------->\|SIP GW\|--------- \|------------------\|........192.168.0.1\|------------\|.............................\|----------\| //точечки добавил для выравнивания :) IPsec я настроил. Под настроил имею ввиду, что могу пинговать 212.j.k.l со шлюза 172.a.b.c - это айпишник gif интерфейса Из локальной сети машины не пингуют 212.j.k.l Сама АТС находится во внутренней сети и имеет адрес 192.168.0.6 Посетило меня гениальное соображение, что наверно нужно поднять еще один NAT, который будет транслировать адреса из локалки в 172.a.b.c НО! не работает чего-то :( что сделано на данный момент: 1. на шлюзе прописан статический маршрут route_ipsec="212.j.k.l/30 -interface gif0" 2. ${fwcmd} nat 567 config ip 172.a.b.c log ${fwcmd} add nat 567 all from 192.168.0.0/24 to 212.j.k.l via gif0 ${fwcmd} add nat 567 all from 212.j.k.l to 192.168.0.0/24 via gif0 пробовал так же вот такой вариант вместо последнего правила: ${fwcmd} add nat 567 all from 212.j.k.l to 172.a.b.c via gif0 3. ${fwcmd} add allow all from 212.j.k.l/30 to 172.a.b.c/30 via gif0 ${fwcmd} add allow all from 172.a.b.c/30 to 212.j.k.l/30 via gif0 так же пробовал ${fwcmd} add allow all from any to any via gif0 Вобщем в итоге если пинговать 212.j.k.l из локалки, то "Превышен интервал ожидания" tcpdump -i gif0 на шлюзе при этом выдает только 18:21:44.199076 IP 172.a.b.c > 212.j.k.l: ICMP echo request, id 1, seq 158, length 40 18:21:44.199076 IP 172.a.b.c > 212.j.k.l: ICMP echo request, id 1, seq 159, length 40 18:21:44.199076 IP 172.a.b.c > 212.j.k.l: ICMP echo request, id 1, seq 160, length 40 Стоит ли говорить, что АТС не работает Помогите советом или грамотными правилами файера пожааааалуйста :)
Ответить \| Правка \| Cообщить модератору

Оглавление

IPSec, Hammer, 10:22 , 12-Июл-11, (1)

IPSec, Vladas, 11:02 , 12-Июл-11, (2)

IPSec, Vladas, 10:42 , 13-Июл-11, (3)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPSec" +/–

Сообщение от Hammer (ok) on 12-Июл-11, 10:22

>[оверквотинг удален]
> Вобщем в итоге если пинговать 212.j.k.l из локалки, то "Превышен интервал ожидания"
> tcpdump -i gif0 на шлюзе при этом выдает только
> 18:21:44.199076 IP 172.a.b.c > 212.j.k.l: ICMP echo request, id 1, seq 158,
> length 40
> 18:21:44.199076 IP 172.a.b.c > 212.j.k.l: ICMP echo request, id 1, seq 159,
> length 40
> 18:21:44.199076 IP 172.a.b.c > 212.j.k.l: ICMP echo request, id 1, seq 160,
> length 40
> Стоит ли говорить, что АТС не работает
> Помогите советом или грамотными правилами файера пожааааалуйста :)
Даешь маршрутизацию в массы. Ну что вы как дети, в самом деле.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "IPSec" +/–

Сообщение от Vladas (ok) on 12-Июл-11, 11:02

> Даешь маршрутизацию в массы. Ну что вы как дети, в самом деле.
дети - это да :)
шлюз:

Router# netstat -rn
Routing tables
Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default                79.171.125.193     UGS         0  4140872    rl1
79.171.120.1       79.171.125.193     UGHS        0    41147    rl1
79.171.120.3       79.171.125.193     UGHS        0     2976    rl1
79.171.125.192/28  link#2             UC          0        0    rl1
79.171.125.193     00:1f:9e:d2:9d:00  UHLW        4        0    rl1   1193
79.d.e.f           00:1d:60:90:c4:6d  UHLW        1     4230    lo0
127.0.0.1          127.0.0.1          UH          0       81    lo0
192.168.0.0/24     link#1             UC          0        0    rl0
192.168.0.9        00:30:4f:27:9e:a5  UHLW        1   169970    rl0   1086
.......
192.168.0.254      00:22:b0:5a:54:b4  UHLW        1   825498    rl0    964
192.168.1.0/24     link#3             UC          0        0    rl2
192.168.1.1        00:a1:b0:11:ae:b9  UHLW        1     4215    lo0
192.168.1.10       00:22:15:24:d6:97  UHLW        1   107887    rl2    128
212.j.k.l/30       gif0               US          0       46   gif0
212.j.k.l          172.a.b.c          UH          0     1148   gif0
на машине в локалке:
C:\Users\"user">route print
........
Активные маршруты:
Сетевой адрес           Маска сети      Адрес шлюза       Интерфейс  Метрика
          0.0.0.0          0.0.0.0      192.168.0.1    192.168.0.114    276
        127.0.0.0        255.0.0.0         On-link         127.0.0.1    306
        127.0.0.1  255.255.255.255         On-link         127.0.0.1    306
  127.255.255.255  255.255.255.255         On-link         127.0.0.1    306
      192.168.0.0    255.255.255.0         On-link     192.168.0.114    276
    192.168.0.114  255.255.255.255         On-link     192.168.0.114    276
    192.168.0.255  255.255.255.255         On-link     192.168.0.114    276
        224.0.0.0        240.0.0.0         On-link         127.0.0.1    306
        224.0.0.0        240.0.0.0         On-link     192.168.0.114    276
  255.255.255.255  255.255.255.255         On-link         127.0.0.1    306
  255.255.255.255  255.255.255.255         On-link     192.168.0.114    276
===========================================================================
Постоянные маршруты:
  Сетевой адрес            Маска    Адрес шлюза      Метрика
          0.0.0.0          0.0.0.0      192.168.0.1  По умолчанию
===========================================================================

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "IPSec" +/–

Сообщение от Vladas (??) on 13-Июл-11, 10:42

Хелп :)

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPSec"	+/–
Сообщение от Hammer (ok) on 12-Июл-11, 10:22
>[оверквотинг удален] > Вобщем в итоге если пинговать 212.j.k.l из локалки, то "Превышен интервал ожидания" > tcpdump -i gif0 на шлюзе при этом выдает только > 18:21:44.199076 IP 172.a.b.c > 212.j.k.l: ICMP echo request, id 1, seq 158, > length 40 > 18:21:44.199076 IP 172.a.b.c > 212.j.k.l: ICMP echo request, id 1, seq 159, > length 40 > 18:21:44.199076 IP 172.a.b.c > 212.j.k.l: ICMP echo request, id 1, seq 160, > length 40 > Стоит ли говорить, что АТС не работает > Помогите советом или грамотными правилами файера пожааааалуйста :) Даешь маршрутизацию в массы. Ну что вы как дети, в самом деле.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "IPSec"	+/–
	Сообщение от Vladas (ok) on 12-Июл-11, 11:02
	> Даешь маршрутизацию в массы. Ну что вы как дети, в самом деле. дети - это да :) шлюз: Router# netstat -rn Routing tables Internet: Destination Gateway Flags Refs Use Netif Expire default 79.171.125.193 UGS 0 4140872 rl1 79.171.120.1 79.171.125.193 UGHS 0 41147 rl1 79.171.120.3 79.171.125.193 UGHS 0 2976 rl1 79.171.125.192/28 link#2 UC 0 0 rl1 79.171.125.193 00:1f:9e:d2:9d:00 UHLW 4 0 rl1 1193 79.d.e.f 00:1d:60:90:c4:6d UHLW 1 4230 lo0 127.0.0.1 127.0.0.1 UH 0 81 lo0 192.168.0.0/24 link#1 UC 0 0 rl0 192.168.0.9 00:30:4f:27:9e:a5 UHLW 1 169970 rl0 1086 ....... 192.168.0.254 00:22:b0:5a:54:b4 UHLW 1 825498 rl0 964 192.168.1.0/24 link#3 UC 0 0 rl2 192.168.1.1 00:a1:b0:11:ae:b9 UHLW 1 4215 lo0 192.168.1.10 00:22:15:24:d6:97 UHLW 1 107887 rl2 128 212.j.k.l/30 gif0 US 0 46 gif0 212.j.k.l 172.a.b.c UH 0 1148 gif0 на машине в локалке: C:\Users\"user">route print ........ Активные маршруты: Сетевой адрес Маска сети Адрес шлюза Интерфейс Метрика 0.0.0.0 0.0.0.0 192.168.0.1 192.168.0.114 276 127.0.0.0 255.0.0.0 On-link 127.0.0.1 306 127.0.0.1 255.255.255.255 On-link 127.0.0.1 306 127.255.255.255 255.255.255.255 On-link 127.0.0.1 306 192.168.0.0 255.255.255.0 On-link 192.168.0.114 276 192.168.0.114 255.255.255.255 On-link 192.168.0.114 276 192.168.0.255 255.255.255.255 On-link 192.168.0.114 276 224.0.0.0 240.0.0.0 On-link 127.0.0.1 306 224.0.0.0 240.0.0.0 On-link 192.168.0.114 276 255.255.255.255 255.255.255.255 On-link 127.0.0.1 306 255.255.255.255 255.255.255.255 On-link 192.168.0.114 276 =========================================================================== Постоянные маршруты: Сетевой адрес Маска Адрес шлюза Метрика 0.0.0.0 0.0.0.0 192.168.0.1 По умолчанию ===========================================================================
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "IPSec"	+/–
	Сообщение от Vladas (??) on 13-Июл-11, 10:42
	Хелп :)
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору