|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Eugene M. Zheganin 2:5054/79.2 12 Mar 2003 18:36:28
To : All
Subject : помогите с vpn
--------------------------------------------------------------------------------
Делаю по http://asherah.dyndns.org/~josh/ipsec-howto.txt, на которую ссылается
родной хэндбук.
Пару слов о том, как делаю и на чем. Так как на точку рутер пока не поставил -
решил поделать у себя. Взял 2 рутера (один боевой, назовем его Б) и тестовый -
А.
А:
iip 192.168.2.1/24
oip 10.0.0.1/30
Б:
iip 192.168.0.2/24
oip 10.0.0.2/30
Оба внешних интерфейса засунул в каталист и эти два порта вынес в отдельный
vlan.
Едем дальше. Поднял gif-tunnel:
А:
# ifconfig gif0
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet 10.0.0.1 --> 10.0.0.2
inet6 fe80::202:b3ff:feb7:da5b%gif0 prefixlen 64 scopeid 0x8
inet 192.168.2.1 --> 192.168.0.2 netmask 0xffffff00
Б:
# ifconfig gif0
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet 10.0.0.2 --> 10.0.0.1
inet6 fe80::202:b3ff:feb7:d972%gif0 prefixlen 64 scopeid 0x9
inet 192.168.0.2 --> 192.168.2.1 netmask 0xffffff00
Сделал, что траффик между 192.168.0.0/24 и 192.168.2.0/24 идет по туннелю
(оттестил на icmp и ssh - все нормально, но промучался часа три, прежде чем
понял, что если не написать рутинг на сетки, то в тоннель будет пихаться только
то, что идет между приватными пирами тоннеля(то есть то, что бобавляется в
netstat само при поднятии тоннеля) и попутно озадачившись вопросом - почему если
у меня в ядре нет options IPSEC_FILTERGIF пакеты из туннеля все равно
проходят по ipfw ? Проверено фактом неработы ssh с 192.168.0.42 и руганью в
логе. ??).
Hо вот теперь все, что я запускаю, идет через тоннель (не хочется пафосно
утверждать, что ВСЕ работает- но, по крайней мере то, что нужно - да).
И наконец трабл:
запускаю на шлюзах вот такие скрипты, чтобы включить esp:
на А:
# cat esp.sh
#!/bin/sh
setkey -c << EOF
spdadd 192.168.2.0/24 192.168.0.0/24 any -P out ipsec
esp/tunnel/10.0.0.1-10.0.0.2/require;
spdadd 192.168.0.0/24 192.168.2.0/24 any -P in ipsec
esp/tunnel/10.0.0.2-10.0.0.1/require;
EOF
на Б:
# cat esp.sh
#!/bin/sh
setkey -c << EOF
spdadd 192.168.0.0/24 192.168.2.0/24 any -P out ipsec
esp/tunnel/10.0.0.2-10.0.0.1/require;
spdadd 192.168.2.0/24 192.168.0.0/24 any -P in ipsec
esp/tunnel/10.0.0.1-10.0.0.2/require;
EOF
и тут же все перестает работать... В чем причина- не понимаю. Вроде порядок
от/для нигде не перепутал....
Hа этом остаюсь искренне Ваш, Евгений.
--- GoldED+/BSD 1.1.5
* Origin: ----> Default GoldED Origin <---- (2:5054/79.2)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
