- IpSec, много сетей и интернет,
 Aidaho, 07:24 , 28-Мрт-12 (1)> То начинает видится интернет, но пропадает локальная сетка (60.1), все кто сидит
> в 60-ой сети, могут гулять в другие сети, но 60.1 не
> видят и он никого из своей же сетки не видит. Какие
> правила нужно добавить, чтобы все работало? Уже неделю бьюсь без толку. Не уж то никто не сталкивался с подобным случаем? (
- IpSec, много сетей и интернет, a2l, 05:00 , 29-Мрт-12 (2)
- IpSec, много сетей и интернет, Aidaho, 07:50 , 29-Мрт-12 (3)
>>> То начинает видится интернет, но пропадает локальная сетка (60.1), все кто сидит
>>> в 60-ой сети, могут гулять в другие сети, но 60.1 не
>>> видят и он никого из своей же сетки не видит. Какие
>>> правила нужно добавить, чтобы все работало? Уже неделю бьюсь без толку.
>> Не уж то никто не сталкивался с подобным случаем? (
> Хочешь получить ответ - научись правильно задавать вопрос
> http://segfault.kiev.ua/smart-questions-ru.html А в чем именно не правильность заданного вопроса? Понятно все описал и схема нарисована. Что именно было не понятно в вопросе? Обращайтесь, объясню.
- IpSec, много сетей и интернет, a2l, 12:21 , 29-Мрт-12 (4)
- IpSec, много сетей и интернет, Aidaho, 12:52 , 29-Мрт-12 (5)
> Покажи своему другу и спроси - всё ли ему понятно.Показал, понял.
>> Что именно было не понятно в вопросе? Обращайтесь, объясню.
> Позволю тебе напомнить что ты спросил --
> "Какие правила нужно добавить, чтобы все
> "Локальная сетка (60.1)" -- это относится к LAN1,LAN2,LAN3,LAN4 или LAN5? ...но в сетях за ГВ 2 нет интернета... > А подсеть 192.168.60.0/23 ? spdadd 192.168.60.0/23...
> а слабо показать таблицу маршрутизации на обоих роутерах? Gw1:
Destination Gateway Flags Refs Use Netif Expire
default 192.168.100.3 UGS 1 73990933 bge1
10.10.10/27 link#1 UC 0 0 bge0
10.10.10.10 00:14:2a:d4:49:74 UHLW 2 2292437 bge0 647
10.10.10.26 00:23:cd:b2:20:05 UHLW 2 12583983 bge0 647
127.0.0.1 127.0.0.1 UH 0 1754 lo0
192.168.0 192.168.67.1 UGS 0 179433 gif1
192.168.60/23 192.168.60.1 UGS 16979090 18699016 gif0
192.168.60.1 192.168.100.1 UH 6472951 6588917 gif0
192.168.63 192.168.100.6 UGS 0 6442723 bge1
192.168.64 link#3 UC 0 0 fxp0
192.168.65 192.168.65.1 UGS 0 5861 gif3
192.168.65.1 192.168.100.1 UH 1 41 gif3
192.168.66 192.168.60.28 UGS 0 6802341 gif0
192.168.67 192.168.67.1 UGS 3389808 5441944 gif1
192.168.67.1 192.168.100.1 UH 147708 208559 gif1
192.168.69 192.168.60.28 UGS 0 1857231 gif0
192.168.70 192.168.70.1 UGS 0 15618 gif5
192.168.70.1 192.168.100.1 UH 1236093 1236094 gif5
192.168.71 192.168.60.28 UGS 0 2088530 gif0 GW2
Destination Gateway Flags Refs Use Netif Expire
default 192.168.100.1 UGS 1 34916646 gif0
10.10.10.0/27 link#2 U 8 57315057 rl0
10.10.10.26 link#2 UHS 0 0 lo0
81.17.174.196/30 link#1 U 0 0 em0
81.17.174.198 link#1 UHS 0 0 lo0
109.238.165.226 81.17.174.197 UGHS 0 509 em0
127.0.0.1 link#5 UH 0 146789 lo0
192.168.60.0/23 link#3 U 413 335429101 rl1
192.168.60.1 link#3 UHS 2 1206 lo0
192.168.65.0/24 192.168.100.1 UGS 0 5907 gif0
192.168.66.0/24 192.168.66.1 UGS 0 18622573 gif1
192.168.66.1 link#7 UH 0 3660450 gif1
192.168.67.0/24 192.168.100.1 UGS 0 462 gif0
192.168.69.0/24 192.168.60.28 UGS 0 1929049 rl1
192.168.71.0/24 192.168.60.28 UGS 21 4140279 rl1
192.168.100.1 link#6 UH 0 140679 gif0 Но думаю, что маршруты не имеют отношение к проблеме. Т.к. в зависимости от правил spdadd то одно работает, то другое.
- IpSec, много сетей и интернет, a2l, 13:33 , 29-Мрт-12 (6)
- IpSec, много сетей и интернет, a2l, 13:35 , 29-Мрт-12 (7)
- IpSec, много сетей и интернет, Aidaho, 13:42 , 29-Мрт-12 (8)
>> Gw1:
>> Destination Gateway Flags Refs Use Netif Expire
> Мда, в такой сети без поллитры не разберёшься - показывай часть rc.conf
> касающуюся настройки сети.ГВ1
defaultrouter="192.168.100.3"
gifconfig_gif0="192.168.100.1 81.17.174.198"
ifconfig_gif0="inet 192.168.100.1 192.168.60.1 netmask 255.255.254.0 mtu 1500"
route_vpn0=" -net 192.168.60.0/23 192.168.60.1"
ГВ2
defaultrouter="192.168.100.1"
gifconfig_gif0="81.17.174.198 109.238.165.225"
ifconfig_gif0="inet 192.168.60.1 192.168.100.1 netmask 255.255.255.0 mtu 1500"
route_static3=" -host 109.238.165.226 81.17.174.197"
>> Но думаю, что маршруты не имеют отношение к проблеме. Т.к. в зависимости
>> от правил spdadd то одно работает, то другое.
> А без правил - работает? Нет, без них вообще ничего не работает. > И вообще - зачем шифровать трафик интернета? Трафик в инет не шифруется, но он должен пройти через впн канал и выйти в интернет через другого прова, который стоит за ГВ1. На ГВ2 нет интернета, только связь с ГВ1. > spdadd 192.168.60.0/23 0.0.0.0/0 any -P out ipsec esp/tunnel/81.17.174.198-109.238.165.226/require;
> spdadd 0.0.0.0/0 192.168.60.0/23 any -P in ipsec esp/tunnel/192.168.100.1-81.17.174.198/require;
> ^^^^^^^^^^^^^Это опечатка? Нет, сервер на котором стоит IpSec стоит за натом и по этому адрес 100,1
- IpSec, много сетей и интернет, Aidaho, 17:20 , 29-Мрт-12 (9)
т.е. так:
route_static3=" -host 109.238.165.224 -netmask 255.255.255.240 81.17.174.197"
- IpSec, много сетей и интернет, a2l, 05:56 , 30-Мрт-12 (10)
- IpSec, много сетей и интернет, Aidaho, 07:03 , 30-Мрт-12 (11)
>[оверквотинг удален]
>> defaultrouter="192.168.100.3"
>> gifconfig_gif0="192.168.100.1 81.17.174.198"
>> ifconfig_gif0="inet 192.168.100.1 192.168.60.1 netmask 255.255.254.0 mtu 1500"
>> route_vpn0=" -net 192.168.60.0/23 192.168.60.1"
>> ГВ2
>> defaultrouter="192.168.100.1"
>> gifconfig_gif0="81.17.174.198 109.238.165.225"
>> ifconfig_gif0="inet 192.168.60.1 192.168.100.1 netmask 255.255.255.0 mtu 1500"
>> route_static3=" -host 109.238.165.226 81.17.174.197"
> Всё чудесатее и чудесатее! ИМХО, у тебя ничего не получится.Почему? >>>> Но думаю, что маршруты не имеют отношение к проблеме. Т.к. в зависимости
>>>> от правил spdadd то одно работает, то другое.
>>> А без правил - работает?
>> Нет, без них вообще ничего не работает.
> Это говорит о том , что надо бы сначала маршрутизацию настроить Маршрутизация работает. я же говорю, если поставить это правило:
>>> spdadd 192.168.60.0/23 0.0.0.0/0 any -P out ipsec esp/tunnel/81.17.174.198-109.238.165.226/require;
>>> spdadd 0.0.0.0/0 192.168.60.0/23 any -P in ipsec esp/tunnel/192.168.100.1-81.17.174.198/require; То интернет просыпается, но пропадет 60-ая сетка. >>> И вообще - зачем шифровать трафик интернета?
>> Трафик в инет не шифруется, но он должен пройти через впн канал
>> и выйти в интернет через другого прова, который стоит за ГВ1.
>> На ГВ2 нет интернета, только связь с ГВ1.
>>> spdadd 192.168.60.0/23 0.0.0.0/0 any -P out ipsec esp/tunnel/81.17.174.198-109.238.165.226/require;
>>> spdadd 0.0.0.0/0 192.168.60.0/23 any -P in ipsec esp/tunnel/192.168.100.1-81.17.174.198/require;
>>> ^^^^^^^^^^^^^Это опечатка?
>> Нет, сервер на котором стоит IpSec стоит за натом и по этому
>> адрес 100,1
- IpSec, много сетей и интернет, a2l, 07:38 , 30-Мрт-12 (12)
- IpSec, много сетей и интернет, Aidaho, 13:54 , 30-Мрт-12 (13)
>[оверквотинг удален]
>>>>>> от правил spdadd то одно работает, то другое.
>>>>> А без правил - работает?
>>>> Нет, без них вообще ничего не работает.
>>> Это говорит о том , что надо бы сначала маршрутизацию настроить
>> Маршрутизация работает. я же говорю, если поставить это правило:
>>>>> spdadd 192.168.60.0/23 0.0.0.0/0 any -P out ipsec esp/tunnel/81.17.174.198-109.238.165.226/require;
>>>>> spdadd 0.0.0.0/0 192.168.60.0/23 any -P in ipsec esp/tunnel/192.168.100.1-81.17.174.198/require;
>> То интернет просыпается, но пропадет 60-ая сетка.
> "Когда будет решён вопрос с маршрутизацией в сети, думайте как это дело
> приложить к ipsec" Я вот если честно в упор не понимаю в чем может быть проблема с маршрутами...
Объясните дураку, может быстрее разберусь.
- IpSec, много сетей и интернет, a2l, 11:38 , 02-Апр-12 (14)
- IpSec, много сетей и интернет, Aidaho, 12:23 , 02-Апр-12 (15)
>>>[оверквотинг удален]
>>>>>>>> от правил spdadd то одно работает, то другое.
>> Я вот если честно в упор не понимаю в чем может быть
>> проблема с маршрутами...
>> Объясните дураку, может быстрее разберусь.
> Попробую.
> Начнём с того, что gif-интерфейс во FreeBSD это реализация туннеля IP-over-IP (http://en.wikipedia.org/wiki/IP_tunnel). Спасибо большое за помощь и за объяснение. Из него я понял почему у меня работало с поднятым ракуном, но без него не работало. Не знал, что ракун поднимает свой туннель. А дело оказалось все таки не в маршрутах, по этому я не мог понять причем они тут. Все было очень прозаично и банально. Я попутал адрес в туннеле: gifconfig_gif0="81.17.174.198 109.238.165.225(!)" spdadd 192.168.60.0/23 0.0.0.0/0 any -P out ipsec esp/tunnel/81.17.174.198-109.238.165.226(!)/require; Когда все настройки снес и начал заново поднимать нашел косяк. (((((
|
Версия для распечатки
IpSec, много сетей и интернет, 
