ipsec на мосту, Trasv, 12-Фев-17, 11:43 [смотреть все]Добрый день! Создал на основе двух OpenBSD6 сетевой мост между двумя зданиями. Все прекрасно, сеть без проблем, DHCP сервер и BOOTPC работают через мост без проблем. Подскажите, где прочитать или найти гайд по настройке IPSec на сетевом мосту. Все что я находил в сети относится к двум разным сетям и прочим NAT. У меня же просто одно сеть один большой диапазон. Хотелось бы такой же прозрачности на сетевом мосту, только с шифрованием.
|
- ipsec на мосту, shadow_alone, 13:19 , 12-Фев-17 (1)
- ipsec на мосту, Trasv, 15:26 , 12-Фев-17 (2)
> Эка загнул... > Придеться тогда извращаться и делать инкапсуляцию, если вы L2 хотите в > ipsec засунуть. У меня пока нет понимания, как это должно работать. IPSec туннель между двумя OpenBSD ставится вообще без проблем, кучей разных способов. Но как добиться того, чтобы широковещалки и dhcp запросы проходили прозрачно и пинги бегали.
- ipsec на мосту, PavelR, 09:30 , 13-Фев-17 (3)
- ipsec на мосту, Trasv, 07:02 , 15-Фев-17 (4)
> Сделай туннель, такой "чтобы широковещалки и dhcp запросы проходили прозрачно и > пинги бегали". Затем заверни трафик туннеля в IPSec.Каким образом трафик в туннель завернуть? Через pf (route-to) или через статические маршруты?
- ipsec на мосту, PavelR, 22:02 , 15-Фев-17 (5)
- ipsec на мосту, Trasv, 20:28 , 16-Фев-17 (6)
> 2) http://man.openbsd.org/etherip.4 > По второй ссылке расписано требуемое вам решение.Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как только поднимается ipsec туннель, etherip разваливается. Буду искать причину.
- ipsec на мосту, PavelR, 21:13 , 16-Фев-17 (7)
- ipsec на мосту, Trasv, 23:04 , 16-Фев-17 (8)
>>> 2) http://man.openbsd.org/etherip.4 >>> По второй ссылке расписано требуемое вам решение. >> Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как >> только поднимается ipsec туннель, etherip разваливается. Буду искать причину. > В моем понимании это означает, что ipsec не подымается.Если использовать, по мануалу, ipsec.conf типа статик esp from 1.2.3.4 to 4.3.2.1 spi 0x4242:0x4243 \ authkey file "xxxx:yyyy" enckey file "xxx.enc1:xxx.enc2" flow esp proto etherip from 1.2.3.4 to 4.3.2.1 то в etherip не идут пакеты, те фактически IPSec не работает и соответственно все внешнии соединения рвутся. Но при использовании второго варианта с isakmpd ike esp proto etherip from 1.2.3.4 to 4.3.2.1 ike passive esp proto etherip from 4.3.2.1 to 1.2.3.4 все отлично работает(просто нужно было добавить passive и скопировать ключи). Шифрованный туннель работает прекрасно. Почему не работает первый вариант я так и не понял. Надо попробовать еще раз.
|