https://www.opennet.ru/openforum/vsluhforumID1/88301.html Всем здравствуйте!<br><br>Возвращаюсь к своим похождениям с ipsec.<br>Ситуация следующая.<br>имеется два сервера<br>GW1<br>inet1 85.85.85.1/24<br>inet2 86.86.86.1/24<br>lan 192.168.1.1/24<br><br>GW2<br>inet 101.1.1.2/24<br>lan 192.168.2.2/24<br><br>Вроде все нормально.<br>Делаю между ними два ipsec<br>с 85.85.85.1 на 101.1.1.2<br>с 86.86.86.1 на 101.1.1.2<br><br>за каждым из шлюзов стоят еще одни шлюзы которые разруливают сети по OSPF. И между теми шлюзами есть канал точка-точка (Основной). Поверх ipsec прокинуты gre туннели и там тоже все нормально.<br><br>Вообщем как только я поднимаю ipsec на gw1 и gw2, все работает (да и без ipsec работает т.к. сделан NAT). Но дело в том что после того как поднимается ipsec перестают ходить ping и остальные пакеты чежду GW1 и GW2 по любым из интернет каналов, хотя связь по gre и ospf не прерывается, и все работает нормально, и даже переключение между каналами работает. <br>Но вот почему пропадает связь между шлюзами не могу понять. Хотя если c GW1 пингую GW2 то вижу AH и ESP пакеты на интерфейсе а вот ответы не иду https://www.opennet.ru/openforum/vsluhforumID1/88301.html#8 Mon, 15 Mar 2010 11:28:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt;gre работает и OSPF). Но если поднять второй ipsec вместе с <br>&gt;&gt;первым, вернее сказать сразу оба ipsec, то вот здесь начинаются проблемы. <br>&gt;&gt;Пакеты то ходят, то нет. То ходят только по одному каналу, <br>&gt;&gt;то вообще ни по подному. Хотя если смотреть tcpdump то видно <br>&gt;&gt;что пакеты с удаленной стороны приходят и их видно на интерфейсе, <br>&gt;&gt;но вот ответа на них нет. Такое ощущение что они попали <br>&gt;&gt;под работающие правила ipsec, но то ли счетчик то ли еще <br>&gt;&gt;чего не позволяют и пройти дальше. <br>&gt;<br>&gt;как настроенна балансировка между 2 провами на роутере? <br><br>У меня не используется балансировка канала. У меня работает в режиме резервирования. Но если уж на то пошло то при простой настройке OSPF на обоих концах без указания весов и приоритетов он автоматом начинает делать балансировку, даже, если не ошибаюсь, распределяет трафик в зависимости от скорости подключения.<br><br>Уууупс. Вы что имели ввиду?<br>Если балансировку от gw1 по двум провам??<br>то здесь тоже балансировка не используется. Наст https://www.opennet.ru/openforum/vsluhforumID1/88301.html#7 Mon, 15 Mar 2010 09:07:41 GMT &gt;[оверквотинг удален]<br>&gt;пакеты между хостами ходят, и если они попадают под правила ipsec <br>&gt;то все шифруется как полагается (забегая вперед даже скажу что и <br>&gt;gre работает и OSPF). Но если поднять второй ipsec вместе с <br>&gt;первым, вернее сказать сразу оба ipsec, то вот здесь начинаются проблемы. <br>&gt;Пакеты то ходят, то нет. То ходят только по одному каналу, <br>&gt;то вообще ни по подному. Хотя если смотреть tcpdump то видно <br>&gt;что пакеты с удаленной стороны приходят и их видно на интерфейсе, <br>&gt;но вот ответа на них нет. Такое ощущение что они попали <br>&gt;под работающие правила ipsec, но то ли счетчик то ли еще <br>&gt;чего не позволяют и пройти дальше. <br><br>как настроенна балансировка между 2 провами на роутере?<br> https://www.opennet.ru/openforum/vsluhforumID1/88301.html#6 Sun, 14 Mar 2010 11:12:10 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Только сейчас заметил что на стороне где два прова, после запуска ipsec <br>&gt;&gt;конфиг только один. Но правил по setkey -DP как полагается 6. <br>&gt;&gt;У меня такое ощущение что в этом загвоздка. И поэтому то <br>&gt;&gt;есть пинги то их нет. <br>&gt;<br>&gt;чем создаешь тунель? и в краце есть такое понятие как leftsource rigthsource <br>&gt;- "граничные" точки - т.е. внутриние адреса роутеров из leftsubnet и <br>&gt;rigthsubnet соответственно - без указание этих параметров в openswan допустим никакой <br>&gt;трафик но внутреним адресам между самих роутеров не ходит, хотя подсетки <br>&gt;видят себя нормально. <br><br>leftsubnet и rightsubnet насколько я понял используются для туннельного режима.<br>Мне же необходим транспортный режим, потому как поверх всего этого дела поднимается gre и уже потом OSPF. Но ближе к делу.<br>Использую для поднятия ipsec, racoon из пакеты ipsec-tools. Выбор пал на него потому как в дистрибутивах от redhat и их клонов он используется по умолчанию, ну и самое главное что для настройки уже все готово, стоит тол https://www.opennet.ru/openforum/vsluhforumID1/88301.html#5 Sat, 13 Mar 2010 21:02:52 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;И пинги не всегда пропадают иногда они возращаются :-) <br>&gt;<br>&gt;Опять в догонку. <br>&gt;Используется CentOS 5.4 <br>&gt;И естественно что конфигурируется с помощью его же конфигов. <br>&gt;Только сейчас заметил что на стороне где два прова, после запуска ipsec <br>&gt;конфиг только один. Но правил по setkey -DP как полагается 6. <br>&gt;У меня такое ощущение что в этом загвоздка. И поэтому то <br>&gt;есть пинги то их нет. <br><br>чем создаешь тунель? и в краце есть такое понятие как leftsource rigthsource - "граничные" точки - т.е. внутриние адреса роутеров из leftsubnet и rigthsubnet соответственно - без указание этих параметров в openswan допустим никакой трафик но внутреним адресам между самих роутеров не ходит, хотя подсетки видят себя нормально.<br> https://www.opennet.ru/openforum/vsluhforumID1/88301.html#4 Fri, 12 Mar 2010 14:00:20 GMT Ну и в дополнение попробую нарисовать схемку<br><br> eth0 -----------------&#124; &#124;<br>GW1 &#124; INTERNET &#124;----------------- eth0 GW2<br> eth1 -----------------&#124; &#124;<br><br><br>GW1<br>eth0 - 1.1.1.1<br>eth1 - 2.2.2.2<br><br>GW2<br>eth0 - 3.3.3.3<br> https://www.opennet.ru/openforum/vsluhforumID1/88301.html#3 Fri, 12 Mar 2010 12:11:59 GMT up.<br><br>Люди кто делал резервирование для ipsec, поделитесь конфигами. <br>Темы здесь проскакивали аналогичные что у людей по два прова с каждой стороны, и делали полное резервирование, то есть получается именно такая же ситуация происходила. Но только видимо авторы топиков настроив все это дело, просто отписали "спасибо, проблему решили сами" в последнем посте и даже не оставили конфигов.<br><br>Буду рад любой помощи.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/88301.html#2 Wed, 03 Mar 2010 12:22:44 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;И пинги не всегда пропадают иногда они возращаются :-) <br>&gt;<br>&gt;Опять в догонку. <br>&gt;Используется CentOS 5.4 <br>&gt;И естественно что конфигурируется с помощью его же конфигов. <br>&gt;Только сейчас заметил что на стороне где два прова, после запуска ipsec <br>&gt;конфиг только один. Но правил по setkey -DP как полагается 6. <br>&gt;У меня такое ощущение что в этом загвоздка. И поэтому то <br>&gt;есть пинги то их нет. <br><br>Ауууу. Люди!!!<br>Помогите! Второй день бьюсь не могу решить.<br>Осталась только вот эта проблема. И дальше уже буду все тестировать.<br><br>вот конфиги <br>ipsec0<br>TYPE=IPSEC<br>ONBOOT=yes<br>DST=101.1.1.2<br>SRC=85.85.85.1<br>IKE_METHOD=PSK<br><br>ipsec1<br>TYPE=IPSEC<br>ONBOOT=yes<br>DST=101.1.1.2<br>SRC=86.86.86.6<br>IKE_METHOD=PSK<br><br>Ключи у них одинаковые. <br><br>С другой стороны аналогично тока поменяны местами SRD - DST<br>В логах ошибок вообще нет.<br>