|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Slava Vovk 2:4624/8 18 Dec 2003 18:59:10
To : All
Subject : ipfw ipsec gif
--------------------------------------------------------------------------------
[14] vovk@ortpc:/etc>uname -r
4.9-RELEASE-p1
[15] vovk@ortpc:/etc>ifconfig
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.144.7 netmask 0xffffff00 broadcast 192.168.144.255
ether 00:02:44:6f:f8:88
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
rl1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255
ether 00:02:44:6f:f8:96
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet 192.168.144.7 --> 192.168.144.1
inet 195.135.200.250 --> 195.135.200.249 netmask 0xfffffffc
Поднят ipsec
[16] vovk@ortpc:/etc>cat /etc/ipsec.conf
flush;
spdflush;
spdadd 192.168.144.7/32 192.168.144.1/32 ipencap -P out ipsec
esp/tunnel/192.168.144.7-192.168.144.1/require;
spdadd 192.168.144.1/32 192.168.144.7/32 ipencap -P in ipsec
esp/tunnel/192.168.144.1-192.168.144.7/require;
[19] vovk@ortpc:/etc>ipfw show
00050 196 8624 divert 8668 log ip from 192.168.0.0/24 to any out xmit
195.135.200.250
00060 0 0 divert 8668 log ip from not 192.168.0.0/16 to
195.135.200.250 in recv 195.135.200.250
00100 88 12438 allow ip from any to any via lo0
00200 0 0 deny ip from any to 127.0.0.0/8
00300 0 0 deny ip from 127.0.0.0/8 to any
00400 4 1163 allow udp from 192.168.144.1 to 192.168.144.7 500 via rl0
00450 9 1551 allow udp from 192.168.144.7 to 192.168.144.1 500 via rl0
00500 931 136120 allow esp from 192.168.144.1 to 192.168.144.7 via rl0
00550 996 329160 allow esp from 192.168.144.7 to 192.168.144.1 via rl0
00600 0 0 allow ipencap from 192.168.144.1 to 192.168.144.7 via rl0
00650 0 0 allow ipencap from 192.168.144.7 to 192.168.144.1 via rl0
00700 0 0 allow icmp from 192.168.144.1 to 192.168.144.7 via rl0
00750 0 0 allow icmp from 192.168.144.7 to 192.168.144.1 via rl0
00800 33 6106 allow udp from 192.168.144.1 53 to 192.168.144.7 via rl0
00850 33 2432 allow udp from 192.168.144.7 to 192.168.144.1 53 via rl0
00900 0 0 allow tcp from 192.168.144.1 53 to 192.168.144.7 via rl0
00950 0 0 allow tcp from 192.168.144.7 to 192.168.144.1 53 via rl0
02000 7 698 deny log ip from any to any via rl0
65000 1649 131189 allow ip from any to any
65535 0 0 deny ip from any to any
[20] vovk@ortpc:/etc>ps -ax|grep natd
87 ?? Ss 0:00.27 /sbin/natd -s -m -u -a 195.135.200.250
трасса с самой машины
[22] vovk@ortpc:/etc>t -s 192.168.0.1 xxx.com
traceroute to xxx.com (66.28.153.14) from 192.168.0.1, 64 hops max, 44 byte
packets
1 ctrl-cindy-ortpc (195.135.200.249) 11.505 ms 9.898 ms 17.252 ms
2 kidda (195.46.36.3) 17.011 ms 13.763 ms 7.316 ms
3 h153.212-1-81.ukrpack.net (212.1.81.153) 25.764 ms 111.144 ms ^C
работает, пакет дважды проходит через 50-е правило.
с машины подключенной к rl1 не хочет. tcpdump'om видно как пакет
позвражается через gif0, но ни в 50, ни в 60 правило он не попадает.
поиск по нету дал множество непонятных ссылок, то работает, то не там
инжектится.
без ipsec все работает.
также смущает довольно свежая цитата ru@freebsd
The gif(4) is not required for a proper operation of IPsec VPN,
--
wbr, slava [vovk-uanic]
--- tin/1.6.2-20030910 ("Pabbay") (UNIX) (FreeBSD/4.9-STABLE (i386))
* Origin: la curte estima de la torba (2:4624/8@fidonet)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
| Тема: |
Автор: |
Дата: |
|
ipfw ipsec gif |
Slava Vovk |
18 Dec 2003 18:59:10 |
 ipfw ipsec gif |
Ilia Kuliev |
20 Dec 2003 15:14:02 |
 Re: ipfw ipsec gif |
Slava Vovk |
20 Dec 2003 17:09:00 |
|
|
