форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (VPN, IPSec)
Изначальное сообщение		[ Отслеживать ]

"IPSec к двум и более подсетям"	+/–
Сообщение от dizen (ok) on 05-Окт-10, 12:46
С одной сторони тунеля: Cisco 2811 и две локальные подсети. С другой стороны: FreeBSD и одна локальная подсеть. Когда с другой сторони вместо FreeBSD стояла Cisco 1811 то соединение к двум подсетям устанавливалось. Можно ли на FreeBSD поднять ВПН тунель типа одна подсеть <-> две подсети?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPSec к двум и более подсетям"	+/–
Сообщение от shadow_alone (ok) on 05-Окт-10, 14:14
Да хоть 20 подсетей. прописывайте правильно ACL на 2811 и маршруты шифрования на unix.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "IPSec к двум и более подсетям"	+/–
	Сообщение от dizen (ok) on 05-Окт-10, 19:48
	> Да хоть 20 подсетей. прописывайте правильно ACL на 2811 и маршруты шифрования > на unix. На 2811 настроил. Где и что на FreeBSD настраивать. Я сделал так: 1. я прописал spdadd правила на каждую подсеть spdadd 172.16.2.0/24 192.168.101.0/24 any -P out ipsec esp/tunnel/х.х.х.х-у.у.у.у/use; spdadd 192.168.101.0/24 172.16.2.0/24 any -P in ipsec esp/tunnel/у.у.у.у-х.х.х.х/use; spdadd 172.16.2.0/24 192.168.110.0/24 any -P out ipsec esp/tunnel/х.х.х.х-у.у.у.у/use; spdadd 192.168.110.0/24 172.16.2.0/24 any -P in ipsec esp/tunnel/у.у.у.у-х.х.х.х/use; 2.ifconfig gif* на каждую подсеть: ifconfig_gif0="inet 172.16.2.1 192.168.101.1 netmask 255.255.255.0 tunnel х.х.х.х у.у.у.у" ifconfig_gif2="inet 172.16.2.1 192.168.110.1 netmask 255.255.255.0 tunnel х.х.х.х у.у.у.у" 3. маршрутизацию static_routes="dc dc110" route_dc="192.168.101.0/24 192.168.101.1" route_dc110="192.168.110.0/24 192.168.110.1" 4. racoon секция remote одна, и две секции sainfo на каждую подсеть remote у.у.у.у { .... } sainfo address 172.16.2.0/24 any address  192.168.101.0/24 any sainfo address 172.16.2.0/24 any address  192.168.110.0/24 any    Что неправильно?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "IPSec к двум и более подсетям"	+/–
	Сообщение от kamserg (??) on 06-Окт-10, 11:35
	>[оверквотинг удален] > 3. маршрутизацию > static_routes="dc dc110" > route_dc="192.168.101.0/24 192.168.101.1" > route_dc110="192.168.110.0/24 192.168.110.1" > 4. racoon секция remote одна, и две секции sainfo на каждую подсеть > remote у.у.у.у > { .... } > sainfo address 172.16.2.0/24 any address  192.168.101.0/24 any > sainfo address 172.16.2.0/24 any address  192.168.110.0/24 any > Что неправильно? Год назад решал подобную задачу: 2811 и две подсети - Freebsd 1. В конце правил spdadd используй unique вместо use 2. Интерфейс gif2 не нужно поднимать вообще 3. Переписать в этой секции route_dc="192.168.101.0/24 192.168.101.1 -interface gif0" route_dc110="192.168.110.0/24 192.168.110.1 -interface gif0"
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "IPSec к двум и более подсетям"	+/–
	Сообщение от dizen (ok) on 06-Окт-10, 13:22
	>[оверквотинг удален] >> { .... } >> sainfo address 172.16.2.0/24 any address  192.168.101.0/24 any >> sainfo address 172.16.2.0/24 any address  192.168.110.0/24 any >> Что неправильно? > Год назад решал подобную задачу: 2811 и две подсети - Freebsd > 1. В конце правил spdadd используй unique вместо use > 2. Интерфейс gif2 не нужно поднимать вообще > 3. Переписать в этой секции > route_dc="192.168.101.0/24 192.168.101.1 -interface gif0" > route_dc110="192.168.110.0/24 192.168.110.1 -interface gif0" Спасибо заработало. Только делал не: > route_dc110="192.168.110.0/24 192.168.110.1 -interface gif0" потому что говорит route: bad address: gif0 а так: route_dc110="192.168.110.0/24 192.168.101.1"
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема