https://opennet.dev/openforum/vsluhforumID1/86610.html Есть два линуха на kernel 2.6.24 установлен openswan 2.4.9 настроен тунель, ipsec0 не подымаеться - почитав, выяснил что так и должно быть если ядро 2.6.x и используеться NETKEY а не KLIPS. Ну нет так нет. НО появились вопросы<br>1) почемуто с той машины на которой поднят тунель не пингуються машны из сети на другом конце тунеля.<br>2) как организовать маршрутизацию, если не подымаеться интерфейс - к примеру на одном конце тунеля 2 сетки<br><br>Одно решение (я так понял) - это патчиться ядро на KLIPS и пересобирать его и пересобирать openswan - но не хочеться, неужеле нелься реальзовать через NETKEY.<br>Помогите плиз.<br> https://opennet.dev/openforum/vsluhforumID1/86610.html#9 Tue, 22 Sep 2009 10:07:01 GMT &gt;[оверквотинг удален]<br>&gt;девай который может подымать только 4 тунеля а подсеток 5? во <br>&gt;вторых я не уверен что будет шифровать только те подсетки что <br>&gt;указаны в настройках - смысл тунеля в том что ВСЕ что <br>&gt;по нему проходило шифровалось, так вопрос стоит в том как заставить <br>&gt;пакеты ходить через тунель - насколько я почитал (опытно есчо не <br>&gt;проверял) но при реализации тунеля через KLIPS (т.е. когда создаеться ipsec0 <br>&gt;т.д.) таких проблем нет - заварачиваешь маршрут на интерфейс и трафик <br>&gt;идет туда куда надо и шифруеться - неужели нет такого в <br>&gt;реализации через NETKEY, пока (как мне кажеться) накапал что надо капать <br>&gt;в сторону xfrm - хотя может я и ошибаюсь <br><br>нет так не работает, я использую клипс и я могу лишь повторить, что в ипсечный тоннель заворачивается только то что указано в конфигурации ipsec.conf более никакими средствами туда ни один пакет не залетит.<br><br> https://opennet.dev/openforum/vsluhforumID1/86610.html#8 Mon, 21 Sep 2009 11:37:34 GMT &gt;[оверквотинг удален]<br>&gt;&gt;сетки с каждой стороны - но вот беда - есть девайсы <br>&gt;&gt;в которых колво ipsec соединений ограничено, да мне так кажеться (может <br>&gt;&gt;быть я конешно и ошибаюсь) но подымать между ДВУМЯ точками N <br>&gt;&gt;тунелей, для того что по идее должно решаться маршрутизаций - не <br>&gt;&gt;совмес правельно <br>&gt;<br>&gt;идеология такая: ипсек будет шифровать то что указано в настройках, если подсеть <br>&gt;не указана то и шифрования не будет, поэтому вопрос маршрутизацией не <br>&gt;решишь. по поводу ограничения кол-ва ипсек соединений - это сколько? 2-3-5 <br>&gt;туннелей поднимется без проблем, наврятле нужно больше. <br><br>так вопрос то и стоит в том что КАК УКАЗАТЬ ТУНЕЛЮ ШИФРОВАТЬ ПАКЕТЫ с нескольких подсетей с одной стороный - у меня есть девай который может подымать только 4 тунеля а подсеток 5? во вторых я не уверен что будет шифровать только те подсетки что указаны в настройках - смысл тунеля в том что ВСЕ что по нему проходило шифровалось, так вопрос стоит в том как заставить пакеты ходить через тунель - насколько я почита https://opennet.dev/openforum/vsluhforumID1/86610.html#7 Mon, 21 Sep 2009 09:33:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;rightsubnet <br>&gt;<br>&gt;:) Много уважаемы покажите плиз РАБОТАЮЩИЙ пример как при настройке канала в <br>&gt;параметрах leftsubnet rightsubnet указать больше 1 сетки :), я понимаю что <br>&gt;есть вариан с поднятием нужного колво тунелей с указанием по одной <br>&gt;сетки с каждой стороны - но вот беда - есть девайсы <br>&gt;в которых колво ipsec соединений ограничено, да мне так кажеться (может <br>&gt;быть я конешно и ошибаюсь) но подымать между ДВУМЯ точками N <br>&gt;тунелей, для того что по идее должно решаться маршрутизаций - не <br>&gt;совмес правельно <br><br>идеология такая: ипсек будет шифровать то что указано в настройках, если подсеть не указана то и шифрования не будет, поэтому вопрос маршрутизацией не решишь. по поводу ограничения кол-ва ипсек соединений - это сколько? 2-3-5 туннелей поднимется без проблем, наврятле нужно больше.<br> https://opennet.dev/openforum/vsluhforumID1/86610.html#6 Mon, 21 Sep 2009 07:28:35 GMT &gt;[оверквотинг удален]<br>&gt;&gt;GW внутреннего ip машины на другом конце ни к чему не <br>&gt;&gt;приводит, то трасировке пакет всеравно уходит на default gw (в принцепе <br>&gt;&gt;и понятно в тамблице нет маршрута на внутренний ip противоположной машины) <br>&gt;&gt;<br>&gt;&gt;Откликнетесь кто нить - неужели только мне отному приспичело поднять тунель в <br>&gt;&gt;сеть с двумя диапазонами ip? <br>&gt;<br>&gt;это делается параметрами <br>&gt;leftsubnet <br>&gt;rightsubnet <br><br>:) Много уважаемы покажите плиз РАБОТАЮЩИЙ пример как при настройке канала в параметрах leftsubnet rightsubnet указать больше 1 сетки :), я понимаю что есть вариан с поднятием нужного колво тунелей с указанием по одной сетки с каждой стороны - но вот беда - есть девайсы в которых колво ipsec соединений ограничено, да мне так кажеться (может быть я конешно и ошибаюсь) но подымать между ДВУМЯ точками N тунелей, для того что по идее должно решаться маршрутизаций - не совмес правельно<br> https://opennet.dev/openforum/vsluhforumID1/86610.html#5 Mon, 21 Sep 2009 01:58:06 GMT &gt;[оверквотинг удален]<br>&gt;никто не пишет) - если кому интересно то параметры leftsourceip, rightsourceip <br>&gt;должны быть равны внутренним IP соответственно, - машина на которой поднят <br>&gt;тунель нормально начинает ходить по сетке на другом конце тунеля. Со <br>&gt;второй частью пока есчо затык - просто добавление маршрута с указанием <br>&gt;GW внутреннего ip машины на другом конце ни к чему не <br>&gt;приводит, то трасировке пакет всеравно уходит на default gw (в принцепе <br>&gt;и понятно в тамблице нет маршрута на внутренний ip противоположной машины) <br>&gt;<br>&gt;Откликнетесь кто нить - неужели только мне отному приспичело поднять тунель в <br>&gt;сеть с двумя диапазонами ip? <br><br>это делается параметрами<br>leftsubnet<br>rightsubnet<br> https://opennet.dev/openforum/vsluhforumID1/86610.html#4 Fri, 18 Sep 2009 13:44:05 GMT &gt;[оверквотинг удален]<br>&gt;нет. НО появились вопросы <br>&gt;1) почемуто с той машины на которой поднят тунель не пингуються машны <br>&gt;из сети на другом конце тунеля. <br>&gt;2) как организовать маршрутизацию, если не подымаеться интерфейс - к примеру на <br>&gt;одном конце тунеля 2 сетки <br>&gt;<br>&gt;Одно решение (я так понял) - это патчиться ядро на KLIPS и <br>&gt;пересобирать его и пересобирать openswan - но не хочеться, неужеле нелься <br>&gt;реальзовать через NETKEY. <br>&gt;Помогите плиз. <br><br>на первый пункт нашел ответ - случайно наткнулса (в примерах почему то никто не пишет) - если кому интересно то параметры leftsourceip, rightsourceip должны быть равны внутренним IP соответственно, - машина на которой поднят тунель нормально начинает ходить по сетке на другом конце тунеля. Со второй частью пока есчо затык - просто добавление маршрута с указанием GW внутреннего ip машины на другом конце ни к чему не приводит, то трасировке пакет всеравно уходит на default gw (в принцепе и понятно в тамблице нет маршрута на внутренний ip противоположной м https://opennet.dev/openforum/vsluhforumID1/86610.html#3 Thu, 17 Sep 2009 06:51:39 GMT Идеи исякли? :(<br> https://opennet.dev/openforum/vsluhforumID1/86610.html#2 Wed, 16 Sep 2009 06:17:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt;пересобирать его и пересобирать openswan - но не хочеться, неужеле нелься <br>&gt;&gt;реальзовать через NETKEY. <br>&gt;&gt;Помогите плиз. <br>&gt;<br>&gt;1) если туннель поднят то проверять нужно не со шлюзов, а с <br>&gt;машин локальной сети (ибо пингуя с машины где поднят туннель ты <br>&gt;пингуешь с интерфейса локалхост а в конфе ипсека у тебя указаны <br>&gt;другие сети). И если верно настроен ипсек, то всё будет работать. <br>&gt;<br>&gt;2) в таблицу маршрут ипсечного туннеля добавляется автоматом. <br><br>1) я это знаю - я и спрашиваю как сделать что бы с того хоста с которого поднят тунель была ДОСТУПНА сеть за тунелем - а то получаеться фигня какаято - я прекрасно понимаю что это связанно с МАРШРУТИЗАЦИЕ - но не могу найти инфу КАК ЭТО ПРАВЕЛЬНО НАСТРОИТЬ<br>2) Я это тоже знаю - я спрашивал как добавить есчо маршруты через "ипсечного туннел" допустим есть сетка 192.168.0.0/24 на одном конце и 10.202.245.0/24 на другом, на одной из машин сетки 10.202.245.0/24 (но не на той где подымаеться тунель) поднят pptp сервер который раздает https://opennet.dev/openforum/vsluhforumID1/86610.html#1 Wed, 16 Sep 2009 01:30:58 GMT &gt;[оверквотинг удален]<br>&gt;нет. НО появились вопросы <br>&gt;1) почемуто с той машины на которой поднят тунель не пингуються машны <br>&gt;из сети на другом конце тунеля. <br>&gt;2) как организовать маршрутизацию, если не подымаеться интерфейс - к примеру на <br>&gt;одном конце тунеля 2 сетки <br>&gt;<br>&gt;Одно решение (я так понял) - это патчиться ядро на KLIPS и <br>&gt;пересобирать его и пересобирать openswan - но не хочеться, неужеле нелься <br>&gt;реальзовать через NETKEY. <br>&gt;Помогите плиз. <br><br>1) если туннель поднят то проверять нужно не со шлюзов, а с машин локальной сети (ибо пингуя с машины где поднят туннель ты пингуешь с интерфейса локалхост а в конфе ипсека у тебя указаны другие сети). И если верно настроен ипсек, то всё будет работать. <br>2) в таблицу маршрут ипсечного туннеля добавляется автоматом. <br>