The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
" IPSec(racon): Linux <->Cisco "
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

" IPSec(racon): Linux <->Cisco "  +/
Сообщение от deys email(ok) on 09-Окт-09, 09:11 
Приветствую всех. Помогите разобраться, а то уже весь моск съел. Стоял себе сервак уменя на слаке 13. Работал как прокси да почтовик. Пару компов выпускал в инет через нат. Все нормально. Тут начальству приспичило один из наших компов соединить с другой конторой и именно по ipsec. Установил я ipsec-tools. Его настроил. Пускаешь трасеровку или пинги - в логах ракуна видно, что мой линукс с циской общаются радостно, но дальше моего прокси пинги не уходят. Куда копать? route всетаки iptabls?

Пробовал

-A INPUT -s $CISCO -d $LINUX -p udp -m udp --sport 500 --dport 500 -j ACCEPT
-A OUTPUT -d $CISCO -s $LINUX -p udp -m udp --sport 500 --dport 500 -j ACCEPT

-A INPUT -s $CISCO -d $LINUX -p esp -j ACCEPT
-A OUTPUT -d $CISCO -s $LINUX -p esp -j ACCEPT
-A INPUT -d $CISCO -s $LINUX -p esp -j ACCEPT
-A OUTPUT -s $CISCO -d $LINUX -p esp -j ACCEPT

-A FORWARD -s 10.128.131.19 -d 10.20.5.0/24 -j ACCEPT
-A FORWARD -s 10.20.5.0/24 -d 10.128.131.19 -j ACCEPT

где
$CISCO - удаленная циска
$LINUX - мой линукс
10.128.131.19 - комп в моей сети, к которому нужен доступ
10.20.5.0/24 - удаленная подсеть за циской, с которой нужен доступ

еще одно дополнение, из-за которого я мог запутаться совсем

10.128.131.19 (комп в моей сети) <-> 192.168.5.2 (внутренний адрес прокси) <-> $LINUX (внешний интерфейс на прокси) <<-интернет->> $CISCO (удаленная циска) <-> 10.20.5.0/24 (удаленная подсеть)

Возможно какие-то из правил iptabls лишние, но по ним были отбитые пакеты изначально. Правила форварда не знаю нужны или нет, но во время эксперимента их дописывал. Но по протоколу esp и по 500му порту отбивало изначально. Потом еще вопрос по поводу nat или dnat - надо или нет?

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. " IPSec(racon): Linux <->Cisco "  +/
Сообщение от daevy on 09-Окт-09, 12:37 
разрешите udp:4500

еще советую порыскать тут http://wiki.openswan.org/

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2023 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру