Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Alexander S. Usov                    2:5020/400     16 Dec 2004  21:30:25
 To : All
 Subject : IPSEC туннель
 -------------------------------------------------------------------------------- 
 
 Hикак не могу заставить эту штуку правильно работать ;(
 
 Есть такая система:
 
 [PC1, 129.x.x.x]
         |
         |
         |
 [Сетка, 129.a.b.c/16]
         |
         |
         |
         |
 [NAT, ADSL-модем с NAT'ом, внешний адресс 81.x.x.x]
         |
         |
         |
 [PC2, 10.0.0.1]
 
 Хочу протянуть ipsec-туннель между писюками, чтобы с ПС2
 можно было ходить через нат на ПС1 к машинам в 129.x.x.x/24.
 
 Что есть сейчас:
 ===== писюк 1 ======
 # Set encryption type
 add NAT PC1 esp 1020 -E blowfish-cbc "key" ;
 add PC1 NAT esp 1020 -E blowfish-cbc "key" ;
 
 # ssh должен ходить в обход туннеля
 spdadd 0.0.0.0/0 0.0.0.0/0[22] tcp -P in  none;
 spdadd 0.0.0.0/0 0.0.0.0/0[22] tcp -P out none;
 spdadd 0.0.0.0/0[22] 0.0.0.0/0 tcp -P out none;
 spdadd 0.0.0.0/0[22] 0.0.0.0/0 tcp -P in  none;
 
 # ipsec tunnel
 spdadd 0.0.0.0/0 PC2/32 any -P out ipsec esp/tunnel/PC1-NAT/require;
 spdadd PC2/32 0.0.0.0/0 any -P in  ipsec esp/tunnel/NAT-PC1/require;
 
 ===== писюк 2 ======
 # Set encryption type
 add PC1 PC2 esp 1020 -E blowfish-cbc "key" ;
 add PC2 PC1 esp 1020 -E blowfish-cbc "key" ;
 
 # ssh должен ходить в обход туннеля
 spdadd 0.0.0.0/0 0.0.0.0/0[22] tcp -P in  none;
 spdadd 0.0.0.0/0 0.0.0.0/0[22] tcp -P out none;
 spdadd 0.0.0.0/0[22] 0.0.0.0/0 tcp -P out none;
 spdadd 0.0.0.0/0[22] 0.0.0.0/0 tcp -P in  none;
 
 # ipsec tunnel
 spdadd 0.0.0.0/0 PC1/24 any -P out ipsec esp/tunnel/PC2-PC1/require;
 spdadd PC1/24 0.0.0.0/0 any -P in  ipsec esp/tunnel/PC1-PC2/require;
 
 Hа статических ключах всё работает как часы, а вот заставить заработать
 racoon так и не удалось.
 Сделал общий shared secret на все адреса, дописал такой-же блок как для 
 ssh для udp/500, а эта зараза зависает в вот такой позе:
 PC1$ setkey -D
 81.x.x.x 129.x.x.x
         esp mode=tunnel spi=153410228(0x0924dab4) reqid=0(0x00000000)
         seq=0x00000000 replay=0 flags=0x00000000 state=larval
         sadb_seq=0 pid=14391 refcnt=1
 PC2$ setkey -D
 129.x.x.x 10.0.0.1
         esp mode=tunnel spi=15787116(0x00f0e46c) reqid=0(0x00000000)
         seq=0x00000000 replay=0 flags=0x00000000 state=larval
         sadb_seq=0 pid=13181 refcnt=1
 
 -- 
 Best regards,
   Alexander.
 --- ifmail v.2.15dev5.3
  * Origin: KVI (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 IPSEC туннель   Alexander S. Usov   16 Dec 2004 21:30:25 
Архивное /ru.unix.bsd/657737388a72.html, оценка 2 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional