The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Openwan ubuntu ipsec vpn нет пинга"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (VPN / Linux)
Изначальное сообщение [ Отслеживать ]

"Openwan ubuntu ipsec vpn нет пинга"  +/
Сообщение от chgpbase (ok) on 22-Июн-15, 07:25 
Специалисты помогите. Возникла задача поднять VPN до поставщика сервиса. Опыта в поднятии VPN нет абсолютно. Однако, после гугления все-таки VPN канал поднять удалось, однако пинги не проходят и вообще удаленный ip не доступен.

Конфигурация Ip to Ip. Самое интересное, что поставщик сервиса в анкете на подключения выдал промежуточный IP который необходимо использовать при подключении.

Вообщем конфигурация такая:

a.a.a.a наш внешний IP адрес
a.a.a.b наш шлюз

b.b.b.b Выдал поставщик в анкете для подключения

с.с.с.с внешний IP адрес поставщика

d.d.d.d внутренний IP поставщика, на котором висит нужный сервис.


conn MTS
                authby=secret
                auto=start
                type=tunnel
                left=a.a.a.a
                leftsubnet=b.b.b.b/32
                leftnexthop=%defaultroute
                right=c.c.c.c
                rightsubnet=d.d.d.d/32
                ikelifetime=86400s
                ike=aes128-sha1-modp1536
                phase2=esp
                phase2alg=aes128-sha1;modp1536
                pfs=yes

VPN поднялся
# ipsec auto --status
  
000 "MTS": b.b.b.b/32===a.a.a.a<a.a.a.a>---a.a.a.b...c.c.c.c<c.c.c.c>===d.d.d.d/32; erouted; eroute owner: #52
000 "MTS":     myip=unset; hisip=unset;
000 "MTS":   ike_life: 86400s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "MTS":   policy: PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 32,32; interface: eth0;
000 "MTS":   newest ISAKMP SA: #51; newest IPsec SA: #52;
000 "MTS":   IKE algorithms wanted: AES_CBC(7)_128-SHA1(2)_000-MODP1536(5); flags=-strict
000 "MTS":   IKE algorithms found:  AES_CBC(7)_128-SHA1(2)_160-MODP1536(5)
000 "MTS":   IKE algorithm newest: AES_CBC_128-SHA1-MODP1536
000 "MTS":   ESP algorithms wanted: AES(12)_128-SHA1(2)_000; pfsgroup=MODP1536(5); flags=-strict
000 "MTS":   ESP algorithms loaded: AES(12)_128-SHA1(2)_160
000 "MTS":   ESP algorithm newest: AES_128-HMAC_SHA1; pfsgroup=MODP1536
000  
000 #52: "MTS":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 26418s; newest IPSEC; eroute owner; isakmp#51; idle; import:admin initiate
000 #52: "MTS" esp.519a263d@c.c.c.c esp.5449b68e@a.a.a.a tun.0@c.c.c.c tun.0@a.a.a.a ref=0 refhim=4294901761
000 #51: "MTS":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 84159s; newest ISAKMP; lastdpd=11s(seq in:0 out:0); idle; import:admin initiate

# service ipsec status
IPsec running  - pluto pid: 1178
pluto pid 1178
1 tunnels up
some eroutes exist

# ifconfig
eth0      Link encap:Ethernet  HWaddr 52:54:00:58:ab:89  
          inet addr:a.a.a.a  Bcast:a.a.a.255  Mask:255.255.255.128
          inet6 addr: fe80::5054:ff:fe58:ab89/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:227655 errors:0 dropped:890 overruns:0 frame:0
          TX packets:169165 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:24833524 (24.8 MB)  TX bytes:34167466 (34.1 MB)

eth0:1    Link encap:Ethernet  HWaddr 52:54:00:58:ab:89  
          inet addr:b.b.b.b  Bcast:b.b.b.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

eth1      Link encap:Ethernet  HWaddr 52:54:00:92:cb:af  
          inet addr:10.0.2.2  Bcast:10.0.2.255  Mask:255.255.255.0
          inet6 addr: fe80::5054:ff:fe92:cbaf/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:135728 errors:0 dropped:950 overruns:0 frame:0
          TX packets:28203 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:82091338 (82.0 MB)  TX bytes:4312412 (4.3 MB)

lo        Link encap:Local Loopback  
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:65536  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:0 (0.0 B)  TX bytes:0 (0.0 B)

# route
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
default         a.a.a.b   0.0.0.0         UG    0      0        0 eth0
10.0.2.0        *               255.255.255.0   U     0      0        0 eth1
b.b.b.0     *               255.255.255.0   U     0      0        0 eth0
localnet        *               255.255.255.128 U     0      0        0 eth0


# traceroute d.d.d.d
traceroute to d.d.d.d (d.d.d.d), 30 hops max, 60 byte packets
1  a.a.a.b (a.a.a.b)  4.448 ms  4.300 ms  4.353 ms
2  90.150.2.5 (90.150.2.5)  4.828 ms  4.682 ms  4.739 ms
3  * * *
4  * * *

Вообщем пакеты уходят в шлюз провайдера, а не в туннель и там теряются.

Специалисты, помогите, куда копать? Ткните носом, в чем может быть проблема?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Openwan ubuntu ipsec vpn нет пинга"  +/
Сообщение от Roman (??) on 22-Июн-15, 08:05 
а что говорят:
setkey -D
setkey -PD
?
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Openwan ubuntu ipsec vpn нет пинга"  +/
Сообщение от chgpbase (ok) on 22-Июн-15, 08:24 
> а что говорят:
> setkey -D
> setkey -PD
> ?

setkey не установлен.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Openwan ubuntu ipsec vpn нет пинга"  +/
Сообщение от chgpbase (ok) on 22-Июн-15, 08:28 
>> а что говорят:
>> setkey -D
>> setkey -PD
>> ?
> setkey не установлен.

#setkey -D
с.с.с.с a.a.a.a
    esp mode=tunnel spi=4201668577(0xfa705fe1) reqid=16385(0x00004001)
    E: aes-cbc  1a237089 45750a64 1fe88e63 9c6031ff
    A: hmac-sha1  237f4cac ab142c95 9199d990 1c68ac32 127c81c9
    seq=0x00000000 replay=32 flags=0x00000000 state=mature
    created: Jun 22 10:31:36 2015    current: Jun 22 10:34:13 2015
    diff: 157(s)    hard: 0(s)    soft: 0(s)
    last:                         hard: 0(s)    soft: 0(s)
    current: 0(bytes)    hard: 0(bytes)    soft: 0(bytes)
    allocated: 0    hard: 0    soft: 0
    sadb_seq=1 pid=17666 refcnt=0
a.a.a.a c.c.c.c
    esp mode=tunnel spi=4104321112(0xf4a2f858) reqid=16385(0x00004001)
    E: aes-cbc  598a0684 72271bfa 125e96b8 76e54873
    A: hmac-sha1  342ff84b 444cbd97 74239122 bfb01300 0fbac67f
    seq=0x00000000 replay=32 flags=0x00000000 state=mature
    created: Jun 22 10:31:36 2015    current: Jun 22 10:34:13 2015
    diff: 157(s)    hard: 0(s)    soft: 0(s)
    last:                         hard: 0(s)    soft: 0(s)
    current: 0(bytes)    hard: 0(bytes)    soft: 0(bytes)
    allocated: 0    hard: 0    soft: 0
    sadb_seq=0 pid=17666 refcnt=0


r# setkey -PD
b.b.b.b[any] d.d.d.d[any] 255
    out prio high + 1073739744 ipsec
    esp/tunnel/a.a.a.a-c.c.c.c/unique#16385
    created: Jun 22 10:01:07 2015  lastused:                    
    lifetime: 0(s) validtime: 0(s)
    spid=81 seq=1 pid=17663
    refcnt=1
d.d.d.d [any] b.b.b.b [any] 255
    fwd prio high + 1073739744 ipsec
    esp/tunnel/c.c.c.c-a.a.a.a/unique#16385
    created: Jun 21 19:47:14 2015  lastused:                    
    lifetime: 0(s) validtime: 0(s)
    spid=98 seq=2 pid=17663
    refcnt=1
d.d.d.d [any] b.b.b.b [any] 255
    in prio high + 1073739744 ipsec
    esp/tunnel/c.c.c.c-a.a.a.a/unique#16385
    created: Jun 21 19:47:14 2015  lastused:                    
    lifetime: 0(s) validtime: 0(s)
    spid=88 seq=3 pid=17663
    refcnt=1
(per-socket policy)
    out(socket) none
    created: Jun 21 19:47:13 2015  lastused:                    
    lifetime: 0(s) validtime: 0(s)
    spid=76 seq=4 pid=17663
    refcnt=1
(per-socket policy)
    in(socket) none
    created: Jun 21 19:47:13 2015  lastused:                    
    lifetime: 0(s) validtime: 0(s)
    spid=67 seq=5 pid=17663
    refcnt=1
(per-socket policy)
    out(socket) none
    created: Jun 21 19:47:13 2015  lastused:                    
    lifetime: 0(s) validtime: 0(s)
    spid=60 seq=6 pid=17663
    refcnt=1
(per-socket policy)
    in(socket) none
    created: Jun 21 19:47:13 2015  lastused:                    
    lifetime: 0(s) validtime: 0(s)
    spid=51 seq=7 pid=17663
    refcnt=1
(per-socket policy)
    out(socket) none
    created: Jun 21 19:47:13 2015  lastused: Jun 22 10:25:45 2015
    lifetime: 0(s) validtime: 0(s)
    spid=44 seq=8 pid=17663
    refcnt=1
(per-socket policy)
    in(socket) none
    created: Jun 21 19:47:13 2015  lastused: Jun 22 10:25:45 2015
    lifetime: 0(s) validtime: 0(s)
    spid=35 seq=9 pid=17663
    refcnt=1
(per-socket policy)
    out(socket) none
    created: Jun 21 19:47:13 2015  lastused:                    
    lifetime: 0(s) validtime: 0(s)
    spid=28 seq=10 pid=17663
    refcnt=1
(per-socket policy)
    in(socket) none
    created: Jun 21 19:47:13 2015  lastused:                    
    lifetime: 0(s) validtime: 0(s)
    spid=19 seq=11 pid=17663
    refcnt=1
(per-socket policy)
    out(socket) none
    created: Jun 21 19:47:13 2015  lastused:                    
    lifetime: 0(s) validtime: 0(s)
    spid=12 seq=12 pid=17663
    refcnt=1
(per-socket policy)
    in(socket) none
    created: Jun 21 19:47:13 2015  lastused:                    
    lifetime: 0(s) validtime: 0(s)
    spid=3 seq=0 pid=17663
    refcnt=1

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Openwan ubuntu ipsec vpn нет пинга"  +/
Сообщение от Roman (??) on 23-Июн-15, 00:14 
И ещё команды:
traceroute -s b.b.b.b d.d.d.d
ping -I b.b.b.b d.d.d.d
?
Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Openwan ubuntu ipsec vpn нет пинга"  +/
Сообщение от chgpbase (ok) on 23-Июн-15, 07:36 
> И ещё команды:
> traceroute -s b.b.b.b d.d.d.d
> ping -I b.b.b.b d.d.d.d
> ?

r# traceroute -s b.b.b.b d.d.d.d
traceroute to d.d.d.d (d.d.d.d), 30 hops max, 60 byte packets
1  * * *
2  * * *
3  * * *
4  * * *
5  * * *
6  * * *
7  * * *
8  * * *
9  * * *
10  * * *
11  * * *
12  * * *
13  * * *
14  * * *
15  * * *
16  * * *
17  * * *
18  * * *
19  * * *
20  * * *
21  * * *
22  * * *
23  * * *
24  * * *
25  * * *
26  * * *
27  * * *
28  * * *
29  * * *
30  * * *

#ping -I b.b.b.b d.d.d.d
PING d.d.d.d (d.d.d.d) from b.b.b.b : 56(84) bytes of data.
64 bytes from b.b.b.b: icmp_seq=1 ttl=116 time=34.3 ms
64 bytes from b.b.b.b: icmp_seq=2 ttl=116 time=34.1 ms
64 bytes from b.b.b.b: icmp_seq=3 ttl=116 time=34.0 ms


Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Openwan ubuntu ipsec vpn нет пинга"  +1 +/
Сообщение от Roman (??) on 23-Июн-15, 08:03 
Ну чтож ipsec - работает, пинг - есть, traceroute - закрыты .
если не работает ping d.d.d.d, то можно копать в любом из направлений:
1. iptables + nat цепочка output
2. маршрутизация!!! В выводе команды ip route sh необходимо добится следующей строчки d.d.d.d dev eth0 proto kernel  scope link  src b.b.b.b metric 2
Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Openwan ubuntu ipsec vpn нет пинга"  +/
Сообщение от chgpbase (ok) on 23-Июн-15, 09:03 
> Ну чтож ipsec - работает, пинг - есть, traceroute - закрыты .
> если не работает ping d.d.d.d, то можно копать в любом из направлений:
> 1. iptables + nat цепочка output
> 2. маршрутизация!!! В выводе команды ip route sh необходимо добится следующей строчки
> d.d.d.d dev eth0 proto kernel  scope link  src b.b.b.b
> metric 2

Роман, огромное спасибо! Помогли.
Строчка

ip route add d.d.d.d/32 dev eth0 proto kernel  scope link  src b.b.b.b metric 2

решила мою проблему.

Роман, еще подскажите, как лучше это маршрут прописать, чтобы он после перезагрузки не забывался?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Openwan ubuntu ipsec vpn нет пинга"  +/
Сообщение от Roman (??) on 23-Июн-15, 12:37 
Там же где и прописываем ip b.b.b.b
в файле /etc/network/interfaces
в настройках интерфейса добавляем up ip route add d.d.d.d/32 dev eth0 proto kernel  scope link  src b.b.b.b metric 2
Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Openwan ubuntu ipsec vpn нет пинга"  +/
Сообщение от chgpbase (ok) on 23-Июн-15, 19:15 
> Там же где и прописываем ip b.b.b.b
> в файле /etc/network/interfaces
> в настройках интерфейса добавляем up ip route add d.d.d.d/32 dev eth0 proto
> kernel  scope link  src b.b.b.b metric 2

Роман, огромное спасибо! Все получилось!

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру