- IpSec, много сетей и интернет, Aidaho, 07:24 , 28-Мрт-12 (1)
> То начинает видится интернет, но пропадает локальная сетка (60.1), все кто сидит > в 60-ой сети, могут гулять в другие сети, но 60.1 не > видят и он никого из своей же сетки не видит. Какие > правила нужно добавить, чтобы все работало? Уже неделю бьюсь без толку. Не уж то никто не сталкивался с подобным случаем? (
- IpSec, много сетей и интернет, a2l, 05:00 , 29-Мрт-12 (2)
- IpSec, много сетей и интернет, Aidaho, 07:50 , 29-Мрт-12 (3)
>>> То начинает видится интернет, но пропадает локальная сетка (60.1), все кто сидит >>> в 60-ой сети, могут гулять в другие сети, но 60.1 не >>> видят и он никого из своей же сетки не видит. Какие >>> правила нужно добавить, чтобы все работало? Уже неделю бьюсь без толку. >> Не уж то никто не сталкивался с подобным случаем? ( > Хочешь получить ответ - научись правильно задавать вопрос > http://segfault.kiev.ua/smart-questions-ru.html А в чем именно не правильность заданного вопроса? Понятно все описал и схема нарисована. Что именно было не понятно в вопросе? Обращайтесь, объясню.
- IpSec, много сетей и интернет, a2l, 12:21 , 29-Мрт-12 (4)
- IpSec, много сетей и интернет, Aidaho, 12:52 , 29-Мрт-12 (5)
> Покажи своему другу и спроси - всё ли ему понятно.Показал, понял. >> Что именно было не понятно в вопросе? Обращайтесь, объясню. > Позволю тебе напомнить что ты спросил -- > "Какие правила нужно добавить, чтобы все > "Локальная сетка (60.1)" -- это относится к LAN1,LAN2,LAN3,LAN4 или LAN5? ...но в сетях за ГВ 2 нет интернета... > А подсеть 192.168.60.0/23 ? spdadd 192.168.60.0/23... > а слабо показать таблицу маршрутизации на обоих роутерах? Gw1: Destination Gateway Flags Refs Use Netif Expire default 192.168.100.3 UGS 1 73990933 bge1 10.10.10/27 link#1 UC 0 0 bge0 10.10.10.10 00:14:2a:d4:49:74 UHLW 2 2292437 bge0 647 10.10.10.26 00:23:cd:b2:20:05 UHLW 2 12583983 bge0 647 127.0.0.1 127.0.0.1 UH 0 1754 lo0 192.168.0 192.168.67.1 UGS 0 179433 gif1 192.168.60/23 192.168.60.1 UGS 16979090 18699016 gif0 192.168.60.1 192.168.100.1 UH 6472951 6588917 gif0 192.168.63 192.168.100.6 UGS 0 6442723 bge1 192.168.64 link#3 UC 0 0 fxp0 192.168.65 192.168.65.1 UGS 0 5861 gif3 192.168.65.1 192.168.100.1 UH 1 41 gif3 192.168.66 192.168.60.28 UGS 0 6802341 gif0 192.168.67 192.168.67.1 UGS 3389808 5441944 gif1 192.168.67.1 192.168.100.1 UH 147708 208559 gif1 192.168.69 192.168.60.28 UGS 0 1857231 gif0 192.168.70 192.168.70.1 UGS 0 15618 gif5 192.168.70.1 192.168.100.1 UH 1236093 1236094 gif5 192.168.71 192.168.60.28 UGS 0 2088530 gif0 GW2 Destination Gateway Flags Refs Use Netif Expire default 192.168.100.1 UGS 1 34916646 gif0 10.10.10.0/27 link#2 U 8 57315057 rl0 10.10.10.26 link#2 UHS 0 0 lo0 81.17.174.196/30 link#1 U 0 0 em0 81.17.174.198 link#1 UHS 0 0 lo0 109.238.165.226 81.17.174.197 UGHS 0 509 em0 127.0.0.1 link#5 UH 0 146789 lo0 192.168.60.0/23 link#3 U 413 335429101 rl1 192.168.60.1 link#3 UHS 2 1206 lo0 192.168.65.0/24 192.168.100.1 UGS 0 5907 gif0 192.168.66.0/24 192.168.66.1 UGS 0 18622573 gif1 192.168.66.1 link#7 UH 0 3660450 gif1 192.168.67.0/24 192.168.100.1 UGS 0 462 gif0 192.168.69.0/24 192.168.60.28 UGS 0 1929049 rl1 192.168.71.0/24 192.168.60.28 UGS 21 4140279 rl1 192.168.100.1 link#6 UH 0 140679 gif0 Но думаю, что маршруты не имеют отношение к проблеме. Т.к. в зависимости от правил spdadd то одно работает, то другое.
- IpSec, много сетей и интернет, a2l, 13:33 , 29-Мрт-12 (6)
- IpSec, много сетей и интернет, a2l, 13:35 , 29-Мрт-12 (7)
- IpSec, много сетей и интернет, Aidaho, 13:42 , 29-Мрт-12 (8)
>> Gw1: >> Destination Gateway Flags Refs Use Netif Expire > Мда, в такой сети без поллитры не разберёшься - показывай часть rc.conf > касающуюся настройки сети.ГВ1 defaultrouter="192.168.100.3" gifconfig_gif0="192.168.100.1 81.17.174.198" ifconfig_gif0="inet 192.168.100.1 192.168.60.1 netmask 255.255.254.0 mtu 1500" route_vpn0=" -net 192.168.60.0/23 192.168.60.1" ГВ2 defaultrouter="192.168.100.1" gifconfig_gif0="81.17.174.198 109.238.165.225" ifconfig_gif0="inet 192.168.60.1 192.168.100.1 netmask 255.255.255.0 mtu 1500" route_static3=" -host 109.238.165.226 81.17.174.197"
>> Но думаю, что маршруты не имеют отношение к проблеме. Т.к. в зависимости >> от правил spdadd то одно работает, то другое. > А без правил - работает? Нет, без них вообще ничего не работает. > И вообще - зачем шифровать трафик интернета? Трафик в инет не шифруется, но он должен пройти через впн канал и выйти в интернет через другого прова, который стоит за ГВ1. На ГВ2 нет интернета, только связь с ГВ1. > spdadd 192.168.60.0/23 0.0.0.0/0 any -P out ipsec esp/tunnel/81.17.174.198-109.238.165.226/require; > spdadd 0.0.0.0/0 192.168.60.0/23 any -P in ipsec esp/tunnel/192.168.100.1-81.17.174.198/require; > ^^^^^^^^^^^^^Это опечатка? Нет, сервер на котором стоит IpSec стоит за натом и по этому адрес 100,1
- IpSec, много сетей и интернет, Aidaho, 17:20 , 29-Мрт-12 (9)
т.е. так: route_static3=" -host 109.238.165.224 -netmask 255.255.255.240 81.17.174.197"
- IpSec, много сетей и интернет, a2l, 05:56 , 30-Мрт-12 (10)
- IpSec, много сетей и интернет, Aidaho, 07:03 , 30-Мрт-12 (11)
>[оверквотинг удален] >> defaultrouter="192.168.100.3" >> gifconfig_gif0="192.168.100.1 81.17.174.198" >> ifconfig_gif0="inet 192.168.100.1 192.168.60.1 netmask 255.255.254.0 mtu 1500" >> route_vpn0=" -net 192.168.60.0/23 192.168.60.1" >> ГВ2 >> defaultrouter="192.168.100.1" >> gifconfig_gif0="81.17.174.198 109.238.165.225" >> ifconfig_gif0="inet 192.168.60.1 192.168.100.1 netmask 255.255.255.0 mtu 1500" >> route_static3=" -host 109.238.165.226 81.17.174.197" > Всё чудесатее и чудесатее! ИМХО, у тебя ничего не получится.Почему? >>>> Но думаю, что маршруты не имеют отношение к проблеме. Т.к. в зависимости >>>> от правил spdadd то одно работает, то другое. >>> А без правил - работает? >> Нет, без них вообще ничего не работает. > Это говорит о том , что надо бы сначала маршрутизацию настроить Маршрутизация работает. я же говорю, если поставить это правило: >>> spdadd 192.168.60.0/23 0.0.0.0/0 any -P out ipsec esp/tunnel/81.17.174.198-109.238.165.226/require; >>> spdadd 0.0.0.0/0 192.168.60.0/23 any -P in ipsec esp/tunnel/192.168.100.1-81.17.174.198/require; То интернет просыпается, но пропадет 60-ая сетка. >>> И вообще - зачем шифровать трафик интернета? >> Трафик в инет не шифруется, но он должен пройти через впн канал >> и выйти в интернет через другого прова, который стоит за ГВ1. >> На ГВ2 нет интернета, только связь с ГВ1. >>> spdadd 192.168.60.0/23 0.0.0.0/0 any -P out ipsec esp/tunnel/81.17.174.198-109.238.165.226/require; >>> spdadd 0.0.0.0/0 192.168.60.0/23 any -P in ipsec esp/tunnel/192.168.100.1-81.17.174.198/require; >>> ^^^^^^^^^^^^^Это опечатка? >> Нет, сервер на котором стоит IpSec стоит за натом и по этому >> адрес 100,1
- IpSec, много сетей и интернет, a2l, 07:38 , 30-Мрт-12 (12)
- IpSec, много сетей и интернет, Aidaho, 13:54 , 30-Мрт-12 (13)
>[оверквотинг удален] >>>>>> от правил spdadd то одно работает, то другое. >>>>> А без правил - работает? >>>> Нет, без них вообще ничего не работает. >>> Это говорит о том , что надо бы сначала маршрутизацию настроить >> Маршрутизация работает. я же говорю, если поставить это правило: >>>>> spdadd 192.168.60.0/23 0.0.0.0/0 any -P out ipsec esp/tunnel/81.17.174.198-109.238.165.226/require; >>>>> spdadd 0.0.0.0/0 192.168.60.0/23 any -P in ipsec esp/tunnel/192.168.100.1-81.17.174.198/require; >> То интернет просыпается, но пропадет 60-ая сетка. > "Когда будет решён вопрос с маршрутизацией в сети, думайте как это дело > приложить к ipsec" Я вот если честно в упор не понимаю в чем может быть проблема с маршрутами... Объясните дураку, может быстрее разберусь.
- IpSec, много сетей и интернет, a2l, 11:38 , 02-Апр-12 (14)
- IpSec, много сетей и интернет, Aidaho, 12:23 , 02-Апр-12 (15)
>>>[оверквотинг удален] >>>>>>>> от правил spdadd то одно работает, то другое. >> Я вот если честно в упор не понимаю в чем может быть >> проблема с маршрутами... >> Объясните дураку, может быстрее разберусь. > Попробую. > Начнём с того, что gif-интерфейс во FreeBSD это реализация туннеля IP-over-IP (http://en.wikipedia.org/wiki/IP_tunnel). Спасибо большое за помощь и за объяснение. Из него я понял почему у меня работало с поднятым ракуном, но без него не работало. Не знал, что ракун поднимает свой туннель. А дело оказалось все таки не в маршрутах, по этому я не мог понять причем они тут. Все было очень прозаично и банально. Я попутал адрес в туннеле: gifconfig_gif0="81.17.174.198 109.238.165.225(!)" spdadd 192.168.60.0/23 0.0.0.0/0 any -P out ipsec esp/tunnel/81.17.174.198-109.238.165.226(!)/require; Когда все настройки снес и начал заново поднимать нашел косяк. (((((
|