форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"IPSEC и маршрутизация"

Сообщение от Антон (??) on 10-Окт-07, 10:58

Есть такая конфигурация.   1. Имеется 2 компьютера А и Б.           2. Компьютеры А и Б являются шлюзами для двух разных сетей (192.168.0.0/24 и 192.168.2.0/24).   3. К Каждому из компьютеров подключено по два канала интернета от 2х разных провайдеров   4. Между шлюзами настроено работающее ВПН соединение с помошью openswan   5. Используется включенная в ядро реализация IPSEC NETKEY Вопрос:   1. В конфигурации ipsec.conf прописано 2 ipsec соединения: P1 - P1 (d.d.e.e - d.d.f.f) и P2 - P2 (a.a.b.b - a.a.c.c). При поднятии командой ipsec auto --up P1-P1 встает 1е ВПН соединение. Второе соединение также поднимается и работает. Если поднимать одно из IPSEC соединений в тот момент когда уже работает другое соединение, то поднимаемый ВПН заменяет собой работающий после чего, ранее работающее соединение опускается.      Можно ли заставить работать оба соединения и распределить между ними трафик в соотножении 3:7.   2. Можно ли поднимать одно соединение, но реализовать автоматическое переключение каналов в случае обрыва связи? С помошью каких инструментов можно этого добиться? Буду благодарен разного рода ссылкам на материал по данной теме. P.S. Зарание спасибо.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPSEC и маршрутизация"

Сообщение от Serge (??) on 10-Окт-07, 15:33

>Вопрос: >  1. В конфигурации ipsec.conf прописано 2 ipsec соединения: P1 - >P1 (d.d.e.e - d.d.f.f) и P2 - P2 (a.a.b.b - a.a.c.c). >При поднятии командой ipsec auto --up P1-P1 встает 1е ВПН соединение. >Второе соединение также поднимается и работает. Если поднимать одно из IPSEC >соединений в тот момент когда уже работает другое соединение, то поднимаемый >ВПН заменяет собой работающий после чего, ранее работающее соединение опускается. >     Можно ли заставить работать оба соединения и Думаю, что сделан net-to-net туннель. Я бы предложил сделать два host-to-host, а через них уже роутить сети. >распределить между ними трафик в соотножении 3:7. Если будет 2 туннеля (т.е. 3 интерфейса) то можно >  2. Можно ли поднимать одно соединение, но реализовать автоматическое переключение >каналов в случае обрыва связи? С помошью каких инструментов можно этого >добиться? Э... Я думаю можно. Только выглядить это должно несколько монстрообразно: ipsec tunnel host-to-host в него засунуть GRE внутри GRE уже будет работать link-state протокол (OSPF). Вск в целом должно обеспечивать быстрое переключение при падении одного из каналов.   >Буду благодарен разного рода ссылкам на материал по данной теме. Прости, ссылок нет. Это то, как сделал бы я - возможно есть и более простые решения

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "IPSEC и маршрутизация"
	Сообщение от Serge (??) on 10-Окт-07, 15:36
	> >Если будет 2 туннеля (т.е. 3 интерфейса) то можно Если будет 2 туннеля (т.е. _2_ интерфейса) то можно
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	3. "IPSEC и маршрутизация"
	Сообщение от Антон (??) on 10-Окт-07, 15:41
	>Э... Я думаю можно. Только выглядить это должно несколько монстрообразно: Были бы зеленые президенты на цыски было бы касиво, а так как их нет будет "монстрообразно" :D >ipsec tunnel host-to-host Вот это навело меня на правильные мысли. >в него засунуть GRE >внутри GRE уже будет работать link-state протокол (OSPF). Про это тоже где-то читал. Но не понял как реализовать в соединениях net-to-net с host-to-host все становиться на много понятнее. >Вск в целом должно обеспечивать быстрое переключение при падении одного из каналов. Огромное админское пасиба.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	4. "IPSEC и маршрутизация"
	Сообщение от Антон (??) on 15-Окт-07, 16:12
	>Э... Я думаю можно. Только выглядить это должно несколько монстрообразно: >ipsec tunnel host-to-host >в него засунуть GRE >внутри GRE уже будет работать link-state протокол (OSPF). >Вск в целом должно обеспечивать быстрое переключение при падении одного из каналов. Вобщем реализовал я все задуманное. Удалил Openswan (пробовал юзать racoon но что-то он мне тоже не понравился) сделал ipsec соединения host-to-host с помошью ipsec-tools (конкретно setkey). далее в эти шифрованные соединения засунул gre туннели. На шлюзах появились интерфейсы типа gre+ по интерфейсу на тоннель. И все сразу стало красиво и понятно. Было бы все просто отлично если бы не один неприятный момент. Некоторые туннели, если их не использовать (не гонять по ним трафик), отваливаются или зависают (10-15 минут может меньше). С основного шлюза, который объединяет филиалы, удаленные сети становятся не доступными. Для того что бы оживить эти туннели достаточно зайти на удаленный шлюз с внешней дырки и послать пинг на главный шлюз (по канальным ипам) и сразу наступает счастье. Собственно пока не нашел красивого решения, посылаю пинг с филиальных шлюзов в скрипте запускаемого по крону 1 раз в минуту. Есть какие либо соображения по этому поводу? P.S. читаю маны по OSPF (пакет quagga) не совсем понимаю что к чему. Есть ссылки на примеры внедрения?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "IPSEC и маршрутизация"
	Сообщение от Serge (??) on 15-Окт-07, 22:48
	>>Э... Я думаю можно. Только выглядить это должно несколько монстрообразно: >>ipsec tunnel host-to-host >>в него засунуть GRE >>внутри GRE уже будет работать link-state протокол (OSPF). >>Вск в целом должно обеспечивать быстрое переключение при падении одного из каналов. > >Вобщем реализовал я все задуманное. Удалил Openswan (пробовал юзать racoon но что-то >он мне тоже не понравился) сделал ipsec соединения host-to-host с помошью >ipsec-tools (конкретно setkey). э... а разве ipsec-tools и racoon не есть одно и тоже (в смысле пакеджа)? ;-) racoon это же isakmp daemon из ipsec-tools (или я уже совсем плохой стал? - надо сходить посмотреть....) >На шлюзах появились интерфейсы типа gre+ по интерфейсу на тоннель. И >все сразу стало красиво и понятно. >Было бы все просто отлично если бы не один неприятный момент. Некоторые >туннели, если их не использовать (не гонять по ним трафик), отваливаются >или зависают ну дык DPD (это будет что-то типа keep-alive) + поднятие туннеля если он на самом деле свалился >эти туннели достаточно зайти на удаленный шлюз с внешней дырки и >послать пинг на главный шлюз (по канальным ипам) и сразу наступает >счастье. imho overkill >Есть какие либо соображения по этому поводу? А как же... Их есть несколько: DPD - это раз, LSA (это от OSPF) - это два. Любой из них будет поддерживать тоннель >P.S. читаю маны по OSPF (пакет quagga) не совсем понимаю что к >чему. Есть ссылки на примеры внедрения? На сайте квагги вроде есть примеры... если нужна конкретика - т.е. конкретные сети, адреса, топология - то в приват fish at infonet.nnov.ru (смогу ответить только после четверга).
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "IPSEC и маршрутизация"
	Сообщение от ilia kuliev on 16-Окт-07, 11:25
	>э... а разве ipsec-tools и racoon не есть одно и тоже (в >смысле пакеджа)? ;-) >racoon это же isakmp daemon из ipsec-tools (или я уже совсем плохой >стал? - надо сходить посмотреть....) Не знаю, как в смысле пакеджа, но isakmpd и racoon это разные вещи. Хотя, конечно, функционально это одно и то же. Racoon, кстати, хуже. Проблеме с закусыванием ключей при работе с Win или Cisco уже черт знает сколько лет, но ее так и не победили.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	10. "IPSEC и маршрутизация"
	Сообщение от Serge (??) on 18-Окт-07, 11:23
	> >>э... а разве ipsec-tools и racoon не есть одно и тоже (в >>смысле пакеджа)? ;-) >>racoon это же isakmp daemon из ipsec-tools (или я уже совсем плохой >>стал? - надо сходить посмотреть....) > >Не знаю, как в смысле пакеджа, но isakmpd и racoon это разные >вещи. Ну я все-таки сказал верно: racoon - это ISAKMP/IKE daemon из состава ipsec-tools. isakmpd - это OpenBSD'шный ISAKMP/IKE daemon. Что это одно и тоже я _не_ утверждал. >Racoon, кстати, хуже. Проблеме с закусыванием ключей при работе с Win или >Cisco уже черт знает сколько лет, но ее так и не победили. Сергей Лозовский пофиксил это некоторое время назад.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	11. "IPSEC и маршрутизация"
	Сообщение от Антон (??) on 18-Окт-07, 12:17
	>> >>>э... а разве ipsec-tools и racoon не есть одно и тоже (в >>>смысле пакеджа)? ;-) >>>racoon это же isakmp daemon из ipsec-tools (или я уже совсем плохой Нет не входит :D Но это не суть как важно. >[оверквотинг удален] > >Ну я все-таки сказал верно: racoon - это ISAKMP/IKE daemon из состава >ipsec-tools. >isakmpd - это OpenBSD'шный ISAKMP/IKE daemon. Что это одно и тоже я >_не_ утверждал. > >>Racoon, кстати, хуже. Проблеме с закусыванием ключей при работе с Win или >>Cisco уже черт знает сколько лет, но ее так и не победили. > >Сергей Лозовский пофиксил это некоторое время назад.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	12. "IPSEC и маршрутизация"
	Сообщение от Serge (??) on 21-Окт-07, 22:59
	>>>>racoon это же isakmp daemon из ipsec-tools (или я уже совсем плохой > >Нет не входит :D Но это не суть как важно. Ага ;-) http://ipsec-tools.sourceforge.net/ IPsec-Tools Contents: libipsec - Library with PF_KEY implementation. setkey - Tool to manipulate and dump the kernel Security Policy Database (SPD) and Security Association Database (SAD). racoon - Internet Key Exchange (IKE) daemon for automatically keying IPsec connections. racoonctl - A shell-based control tool for racoon
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	13. "IPSEC и маршрутизация"
	Сообщение от Антон (??) on 22-Окт-07, 06:49
	>[оверквотинг удален] >http://ipsec-tools.sourceforge.net/ > >IPsec-Tools >Contents: >libipsec - Library with PF_KEY implementation. >setkey - Tool to manipulate and dump the kernel Security Policy Database >(SPD) and Security Association Database (SAD). >racoon - Internet Key Exchange (IKE) daemon for automatically keying IPsec connections. > >racoonctl - A shell-based control tool for racoon Гы. В Debian это разные пакеты причем ipsec-tools не зависит от racoon.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "IPSEC и маршрутизация"
	Сообщение от Антон (??) on 16-Окт-07, 14:46
	[...] > >э... а разве ipsec-tools и racoon не есть одно и тоже (в >смысле пакеджа)? ;-) >racoon это же isakmp daemon из ipsec-tools (или я уже совсем плохой >стал? - надо сходить посмотреть....) > [...] Разные в том то и дело что разные. racoon средство для динамической смены ключиков. > >ну дык DPD (это будет что-то типа keep-alive) + поднятие туннеля если >он на самом деле свалился > [...] > >imho overkill > [...] > >А как же... Их есть несколько: DPD - это раз, LSA (это >от OSPF) - это два. Любой из них будет поддерживать тоннель > > [...] Уже понял как с этим бороться. Но всеравно спасибо. > >На сайте квагги вроде есть примеры... если нужна конкретика - т.е. конкретные >сети, адреса, топология - то в приват fish at infonet.nnov.ru (смогу >ответить только после четверга). Да обязательно напишу. Зашел, зарегался. Так и не понял как в приват написать :(
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "IPSEC и маршрутизация"
	Сообщение от Serge (??) on 16-Окт-07, 21:34
	>Да обязательно напишу. >Зашел, зарегался. Так и не понял как в приват написать :( это мой почтовый адрес
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "IPSEC и маршрутизация"
	Сообщение от Антон (??) on 17-Окт-07, 06:32
	> >>Да обязательно напишу. >>Зашел, зарегался. Так и не понял как в приват написать :( > >это мой почтовый адрес fish at infonet.nnov.ru at - понял дословно "в" :D
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]