https://m.opennet.me/openforum/vsluhforumID1/93618.html Есть 2 офиса, в головном стоит CentOS 6.3+OpenSWAN, в удаленном - D-Link DI804HV (пробовал Cisco RVS400). В головном офисе подсеть 192.168.1.0/24, в удаленном 192.168.5.0/24. Тоннель между сетями поднимается, из 192.168.5.0 пингуется 192.168.1.0, наоборот пинги не идут.<br>На CentOS 2 интерфейса:<br>[root@gw ~]# ifconfig<br>eth0 Link encap:Ethernet HWaddr 00:15:17:1B:F8:7E<br> inet addr:192.168.1.119 Bcast:192.168.1.255 Mask:255.255.255.0<br> inet6 addr: fe80::215:17ff:fe1b:f87e/64 Scope:Link<br> UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1<br> RX packets:580 errors:0 dropped:0 overruns:0 frame:0<br> TX packets:24 errors:0 dropped:0 overruns:0 carrier:0<br> collisions:0 txqueuelen:1000<br> RX bytes:98224 (95.9 KiB) TX bytes:3739 (3.6 KiB)<br> Interrupt:17 Memory:88180000-881a0000<br><br>eth1 Link encap:Ethernet HWaddr 00:02:44:62:FA:BE<br> inet addr:82.117.233.212 Bcast:82.117.235.255 Mask:255.255.252.0<br> inet6 addr: fe80::20 https://m.opennet.me/openforum/vsluhforumID1/93618.html#6 Fri, 10 Aug 2012 19:59:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt; windows).<br>&gt; Имеется ввиду, что когда я из подсети 192.168.1.0/24 делаю traceroute на 192.168.5.0/24 <br>&gt; - запрос идет на провайдера.<br>&gt;&gt;&gt; По адресу 192.168.1.100 стоит ещё маршрутизатор, который смотрит в подсеть 192.168.3.0/24.<br>&gt;&gt;&gt; С машины 192.168.1.119 я её вижу.<br>&gt;&gt;&gt; Подскажите, как правильно организовать маршрутизацию между всеми сетями?<br>&gt;&gt; маршрутизации в ipsec как таковой нет, в туннель пойдет только трафик подпадающий <br>&gt;&gt; под правила в SPD. Самый простой вариант в Вашем случае создать <br>&gt;&gt; еще один туннель с сетями 192.168.3.0/24 и 192.168.5.0/24.<br>&gt; Как эти правила настраивать?<br><br>таблицу маршрутизации посмотрите. когда будете пинговать 192.168.5.х то пакет пойдет ч/з default gate 82.117.232.1 (на прова, как я понимаю). допишите маршруты вручную или настройте сервис (чем Вы там тунель поднимаете?), чтоб он автоматом эти маршруты втыкал.<br><br><br><br><br><br><br> https://m.opennet.me/openforum/vsluhforumID1/93618.html#5 Fri, 10 Aug 2012 08:30:21 GMT &gt;&gt; Тоннель между сетями поднимается, из 192.168.5.0 пингуется 192.168.1.0, <br>&gt;&gt; наоборот пинги не идут.<br>&gt; Пинг в одну сторону быть не может, скорее всего на компьютере из <br>&gt; 192.168.5.0/24 стоит межсетевой экран (например подобным образом себя может вести брандмауэер <br>&gt; windows).<br><br>Имеется ввиду, что когда я из подсети 192.168.1.0/24 делаю traceroute на 192.168.5.0/24 - запрос идет на провайдера.<br>&gt;&gt; По адресу 192.168.1.100 стоит ещё маршрутизатор, который смотрит в подсеть 192.168.3.0/24.<br>&gt;&gt; С машины 192.168.1.119 я её вижу.<br>&gt;&gt; Подскажите, как правильно организовать маршрутизацию между всеми сетями?<br>&gt; маршрутизации в ipsec как таковой нет, в туннель пойдет только трафик подпадающий <br>&gt; под правила в SPD. Самый простой вариант в Вашем случае создать <br>&gt; еще один туннель с сетями 192.168.3.0/24 и 192.168.5.0/24.<br><br>Как эти правила настраивать?<br> https://m.opennet.me/openforum/vsluhforumID1/93618.html#4 Thu, 02 Aug 2012 22:45:08 GMT &gt;&gt; Тоннель между сетями поднимается, из 192.168.5.0 пингуется 192.168.1.0, <br>&gt;&gt; наоборот пинги не идут.<br>&gt; Пинг в одну сторону быть не может, скорее всего на компьютере из <br><br>ping именно в одну сторону и идет. зато pong может по другому маршруту идти. <br><br>&gt; 192.168.5.0/24 стоит межсетевой экран (например подобным образом себя может вести брандмауэер <br>&gt; windows).<br>&gt;&gt; По адресу 192.168.1.100 стоит ещё маршрутизатор, который смотрит в подсеть 192.168.3.0/24.<br>&gt;&gt; С машины 192.168.1.119 я её вижу.<br>&gt;&gt; Подскажите, как правильно организовать маршрутизацию между всеми сетями?<br>&gt; маршрутизации в ipsec как таковой нет, в туннель пойдет только трафик подпадающий <br>&gt; под правила в SPD. Самый простой вариант в Вашем случае создать <br>&gt; еще один туннель с сетями 192.168.3.0/24 и 192.168.5.0/24. https://m.opennet.me/openforum/vsluhforumID1/93618.html#3 Wed, 01 Aug 2012 04:07:45 GMT &gt; Тоннель между сетями поднимается, из 192.168.5.0 пингуется 192.168.1.0, <br>&gt; наоборот пинги не идут.<br><br>Пинг в одну сторону быть не может, скорее всего на компьютере из 192.168.5.0/24 стоит межсетевой экран (например подобным образом себя может вести брандмауэер windows).<br>&gt; По адресу 192.168.1.100 стоит ещё маршрутизатор, который смотрит в подсеть 192.168.3.0/24. <br>&gt; С машины 192.168.1.119 я её вижу.<br>&gt; Подскажите, как правильно организовать маршрутизацию между всеми сетями?<br><br>маршрутизации в ipsec как таковой нет, в туннель пойдет только трафик подпадающий под правила в SPD. Самый простой вариант в Вашем случае создать еще один туннель с сетями 192.168.3.0/24 и 192.168.5.0/24.<br><br> https://m.opennet.me/openforum/vsluhforumID1/93618.html#2 Mon, 30 Jul 2012 18:52:26 GMT &gt; А где Ваш ipsec.conf? left/right/subnet?<br><br>[root@gw ~]# cat /etc/ipsec.conf<br># /etc/ipsec.conf - Openswan IPsec configuration file<br>#<br># Manual: ipsec.conf.5<br>#<br># Please place your own config files in /etc/ipsec.d/ ending in .conf<br><br>version 2.0 # conforms to second version of ipsec.conf specification<br><br># basic configuration<br>config setup<br> # Debug-logging controls: "none" for (almost) none, "all" for lots.<br> klipsdebug=all<br> plutodebug="all"<br> # For Red Hat Enterprise Linux and Fedora, leave protostack=netkey<br> protostack=netkey<br> dumpdir=/var/run/pluto<br> plutostderrlog=/var/log/pluto.log<br> nat_traversal=yes<br> virtual_private=%v4:192.168.5.0/24<br> oe=off<br> # Enable this if you see "failed to find any available worker"<br> nhelpers=0<br><br>#You may put your configuration (.conf) file in the "/etc/ipsec.d/" and uncomment this.<br>include /etc/ipsec.d/*.conf<br><br><br>[root@gw ~]# cat /etc/ipsec.d/ur27.conf<br># Настройки урицкого https://m.opennet.me/openforum/vsluhforumID1/93618.html#1 Mon, 30 Jul 2012 18:46:08 GMT А где Ваш ipsec.conf? left/right/subnet?<br>