форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Открытые системы на сервере (VPN)
Изначальное сообщение		[ Отслеживать ]

"openswan и cisco"	+/–
Сообщение от Игорь (??) on 06-Дек-13, 14:25
Гоcпода, прошу помощи, ибо уже нет сил... задача: необходимо настроить ipsec с cisco, два дня бился с racoon - плюнул, поставил openswan, тунель поднялся, "правая" (192.168.0.0/16) сторона меня видит, пингует и заходит без проблем. от меня (10.0.0.0/21) к ним ничего не уходит, пинги не идут, по портам не заходит. ipsec.conf    config setup    interfaces="%defaultroute" include /etc/ipsec.d/*.conf /etc/ipsec.d/test.conf conn test         type=tunnel         authby=secret         left=XX.XX.XX.XX         leftsubnet=10.0.0.0/21         right=YY.YY.YY.YY         rightsubnet=192.168.0.0/16         leftid=XX.XX.XX.XX         leftnexthop=YY.YY.YY.YY         rightid=YY.YY.YY.YY         rightnexthop=XX.XX.XX.XX         pfs=no         esp = aes128-md5,aes128-sha1,aes256,3des-md5,3des         ike = aes128-sha1,aes128-md5,3des-md5,3des-sha1         keyexchange = ike         auto=start service ipsec status IPsec running  - pluto pid: 18186 pluto pid 18186 1 tunnels up ipsec0 я так понимаю не создается, route -n 192.168.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1 Средств диагностики онного не знаю. Посоветуйте что посмотреть?
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "openswan и cisco"	+/–
Сообщение от Игорь (??) on 06-Дек-13, 14:29
Добавлю, пакеты от меня в сеть 192.168.0.0/16 судя по traceroute убегают к провайдеру.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "openswan и cisco"	+/–
	Сообщение от parad (ok) on 06-Дек-13, 16:20
	маршрут значит не прописан. добавь.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "openswan и cisco"	+/–
	Сообщение от vg (??) on 06-Дек-13, 16:38
	> маршрут значит не прописан. добавь. openswan не прописывает маршрута смотреть на статус через "ipsec whack --status" прочитайте тут - http://habrahabr.ru/post/170895/
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	4. "openswan и cisco"	+/–
	Сообщение от Игорь (??) on 06-Дек-13, 16:59
	> маршрут значит не прописан. добавь. маршрут прописан, точнее прописывается после запуска ipsec, сам я его не прописываю. кстати интерфейс напр. ipsec0 не создается, каким образом трафик должен уходить на шифрованный канал? Маршрут содается на внешний интерфейс (3-я строка снизу): [root@gw ~]# route -n Kernel IP routing table Destination     Gateway         Genmask         Flags Metric Ref    Use Iface xx.xx.xx.x    0.0.0.0         255.255.255.248 U     0      0        0 eth1 10.0.17.0       10.0.0.11       255.255.255.0   UG    0      0        0 eth0 10.8.1.0        10.0.0.11       255.255.255.0   UG    0      0        0 eth0 10.0.12.0       10.0.0.11       255.255.255.0   UG    0      0        0 eth0 10.0.13.0       10.0.0.11       255.255.255.0   UG    0      0        0 eth0 10.0.14.0       10.0.0.11       255.255.255.0   UG    0      0        0 eth0 10.0.15.0       10.0.0.11       255.255.255.0   UG    0      0        0 eth0 10.0.10.0       10.0.0.11       255.255.255.0   UG    0      0        0 eth0 10.0.11.0       10.0.0.11       255.255.255.0   UG    0      0        0 eth0 10.0.4.0        10.0.0.3        255.255.252.0   UG    0      0        0 eth0 10.0.0.0        0.0.0.0         255.255.252.0   U     0      0        0 eth0 169.254.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1 192.168.0.0     0.0.0.0         255.255.0.0     U     0      0        0 eth1 128.0.0.0       89.20.112.33    128.0.0.0       UG    0      0        0 eth1 0.0.0.0         89.20.112.33    0.0.0.0         UG    0      0        0 eth1
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "openswan и cisco"	+/–
	Сообщение от Игорь (??) on 09-Дек-13, 07:12
	>> маршрут значит не прописан. добавь. на какой интерфейс?
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "openswan и cisco"	+/–
Сообщение от McLeod095 (??) on 09-Дек-13, 11:03
>[оверквотинг удален] > service ipsec status > IPsec running  - pluto pid: 18186 > pluto pid 18186 > 1 tunnels up > ipsec0 я так понимаю не создается, > route -n > 192.168.0.0     0.0.0.0       >   255.255.0.0     U     >  0      0     >     0 eth1 Начиная c ядер 2.6 интерфейсы не создаются при поднятии ipsec. > Средств диагностики онного не знаю. Посоветуйте что посмотреть?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	7. "openswan и cisco"	+/–
	Сообщение от Игорь (??) on 10-Дек-13, 11:47
	какой должен быть правильный traceroute у меня [root at gw ~]# traceroute 192.168.8.1 traceroute to 192.168.8.1 (192.168.8.1), 30 hops max, 40 byte packets 1  extip_linux-1.permonline.ru (extip_linux-1)  1.171 ms  1.065 ms  0.997 ms 2  90.150.2.26 (90.150.2.26)  1.152 ms  1.361 ms  1.574 ms 3  90.150.2.26 (90.150.2.26)  1.551 ms  1.509 ms  1.699 ms 4  * * * 5  * * * должен ли пакет попадать на 2-3-й хоп? или  д.б. что-то вида traceroute to 192.168.8.1 (192.168.8.1), 30 hops max, 40 byte packets 1. ext_my_ip 2. ext_ciscp ip 3. хост на правой строне? дайте пожалуйста пару примеров.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема