https://opennet.dev/openforum/vsluhforumID1/96029.html Есть два сервера с FreeBSD 10.1 RELEASE-p5. Задача такая, нужно объединить две локалки за серверами чтобы можно было работать как одна сеть. По скольку есть опыт в этом деле решил поднять VPN через IPSec, Racoon и gif интерфейс (где то читал что и без gif-а можно, только нужно будет прописать роути и всё такое), именно это было уже мною проделана в FreeBSD 9. Как пологается сначало сделал как умел, установка ipsec racoon, добавление и правка файлов конфигурации в ipsec.conf racoon.conf, rc.conf , также есть в ядре объявлений интерфейс ГИФ, IPSEC, короче всё что делал раньше на FreeBSD 9, но ничего не получилось. Потом взял инструкцию из офф.сайта https://www.freebsd.org/doc/ru/books/handbook/ipsec.html и дошел только до добавление правилы в ipfw (ipfw add 1 allow ip from any to any via gif0) а пинг то не идет.<br><br>Что сделал:<br>srv1#ifconfig gif0 A.B.C.D W.X.Y.Z<br>srv1#ifconfig gif0 inet 192.168.0.1 192.168.1.1 netmask 0xffffffff<br><br>srv2#ifconfig gif0 W.X.Y.Z A.B.C.D <br>srv2#ifconfig gif0 inet 192.168.1.1 192.168 https://opennet.dev/openforum/vsluhforumID1/96029.html#14 Mon, 09 Mar 2015 13:19:53 GMT И так, вот информация о состояние серверов и их таблиц маршрутизации:<br>(условно будем называть их srv1 и srv2)<br>На первом сервере перед выполнении команды<br>ifconfig gif0 inet 192.168.0.1 192.168.1.1 netmask 0xffffffff<br>srv1# ifconfig<br>bge0: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; metric 0 mtu 1500<br>options=8009b&lt;RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE&gt;<br>ether e:11:5b:e3:a2:7a<br>inet srv1_ip netmask 0xfffffff8 broadcast my_broadcast_ip <br>nd6 options=29&lt;PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL&gt;<br>media: Ethernet autoselect (100baseTX &lt;full-duplex&gt;)<br>status: active<br>bge1: flags=8843&lt;UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST&gt; metric 0 mtu 1500<br>options=8009b&lt;RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,LINKSTATE&gt;<br>ether e4:11:5b:e3:a2:7b<br>inet 192.168.0.1 netmask 0xffffff00 broadcast 192.168.0.255 <br>nd6 options=29&lt;PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL&gt;<br>media: Ethernet autoselect (none)<br>status: no carrier<br>lo0: flags=8049&lt;UP,LOOPBACK,RUNNING,MULTICAST&gt; metric 0 mtu 16384<br>o https://opennet.dev/openforum/vsluhforumID1/96029.html#13 Sat, 07 Mar 2015 22:13:01 GMT &gt; ОПА! я только внимательнее дочитал вашее сообшение, и как сделать этот бридж <br>&gt; между gif и локальным интерфейсом? что то немог разобратся какой тип <br>&gt; бриджа мне использовать. Тут говорится по меншей мере о 4-х,при чем <br>&gt; какой актуален для FreeBSD10?<br><br>Судя по тому что вы написали про разные подсети в локалках, bridge вам не нужен.<br> https://opennet.dev/openforum/vsluhforumID1/96029.html#12 Sat, 07 Mar 2015 22:11:53 GMT &gt; и так для любознательных пойдем дальше: <br>&gt; у нас есть: пинг от сервера к серверу по обоим адресам (внешный <br>&gt; и внутренный грубо говоря:)) <br>&gt; ни один сервер не пингует "клиенты" другого сервера <br><br>Чтобы сязь была, оба участника связи должны знать о друг друге. Т.е. хорошо конечно, что вы себе представляете топологию вашей сети, но её должны представлять и участники (маршрутизаторы, серверы и клиенты).<br><br>[host A]&lt;--&gt;[server A]&lt;-- Internet --&gt;[server B]&lt;--&gt;[host B]<br><br>Чтобы host B видел host A, в таблицах маршрутизации обоих хостов должны быть соответствующие маршруты. И собственно server A и B должны считать себя маршрутизаторами, чтобы маршрутизировать пакеты предназначенные не себе. Это включается опцией gateway_enable="YES", так же известной как sysctl net.inet.ip.forwarding=1.<br> https://opennet.dev/openforum/vsluhforumID1/96029.html#11 Sat, 07 Mar 2015 14:01:27 GMT ОПА! я только внимательнее дочитал вашее сообшение, и как сделать этот бридж между gif и локальным интерфейсом? что то немог разобратся какой тип бриджа мне использовать. Тут говорится по меншей мере о 4-х,при чем какой актуален для FreeBSD10?<br> https://opennet.dev/openforum/vsluhforumID1/96029.html#10 Sat, 07 Mar 2015 13:52:57 GMT и так для любознательных пойдем дальше:<br>у нас есть: пинг от сервера к серверу по обоим адресам (внешный и внутренный грубо говоря:))<br>ни один сервер не пингует "клиенты" другого сервера<br>проверил через tcpdump интерфейс gif0 во время пинга они до него доходят, только ответа нет, по моему тут дело в том что пакеты от интерфейса gif0 не попадают на bge0 (внутренный интерфейс сервера на котором и прописан 192.168.0.1)... или же я сошел с ума. Как привязать ихдруг к другу?<br> https://opennet.dev/openforum/vsluhforumID1/96029.html#9 Sat, 07 Mar 2015 08:09:23 GMT Итак, с проблемой почти разобрались, т.е. <br>Установили IPSec-tools (с дэмоном racoon)<br>добавили gif0 в rc.conf<br>gif_interfaces="gif0"<br>gifconfig_gif0="A.B.C.D Z.X.C.V"<br>ifconfig_gif0="inet 192.168.0.1 192.168.1.1 netmask 0xffffffff"<br>static_routes="vpn"<br>route_vpn="192.168.1.0/24 -interface gif0"<br>После этого проблема не решилась даже серверы внутренные адреса друг друга не пинговались и при наборе ifconfig gif0 вывод был таким:<br>flags=8052&lt;UP,POINTOPOINT,RUNNING,MULTICAST&gt; metric 0 mtu 1280<br>tunnel inet A.B.C.D --&gt; Z.X.C.V<br>nd6 options=29&lt;PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL&gt;<br><br>Попробовал из консоли так,<br>ifconfig gif0 inet 192.168.1.1 192.168.0.1 netmask 255.255.255.0<br>результат команды ifconfig gif0 после этого <br>flags=8052&lt;UP,POINTOPOINT,RUNNING,MULTICAST&gt; metric 0 mtu 1280<br>tunnel inet A.B.C.D --&gt; Z.X.C.V<br>inet 192.168.1.1 --&gt; 192.168.0.1 netmask 0xffffffff<br>nd6 options=29&lt;PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL&gt;<br>и уже пинг между серверами по внутренными адресами пошло на ура, только вот хости за серверам https://opennet.dev/openforum/vsluhforumID1/96029.html#8 Fri, 06 Mar 2015 04:36:46 GMT <br>&gt; И вообще, логичнее было бы назначать внутри туннеля адреса из одной <br>&gt; подсети,<br><br>тоже бросилось в глаза.<br>&gt; но в данном случае это не так важно. Если вы <br>&gt; хотие объединить ваши сети, то вам нужно использовать gif(4) в режиме <br>&gt; EtherIP, для этого надо объединять gif(4) c интерфейсом, смотрящим в локалку <br>&gt; в bridge(4). Когда настроите это, можно приступать к шифрованию. Конечно, более <br>&gt; правильно с точки зрения безопасности было бы сразу настроить шифрование :) <br><br> я бы еще потестил скорости с бриджем и роутингом-при объединении сетей ой как производительность нужна.<br><br><br> https://opennet.dev/openforum/vsluhforumID1/96029.html#7 Fri, 06 Mar 2015 04:12:47 GMT &gt; Очистите список политик безопасности: setkey -FP <br>&gt; Настройте сначала связь без IPsec.<br>&gt; Должны пинговаться внешние адреса туннля: A.B.C.D и W.X.Y.Z.<br>&gt; Если адреса пингуются, должны пинговаться внутренние адреса туннеля 192.168.0.1 и 192.168.1.1. <br>&gt; И вообще, логичнее было бы назначать внутри туннеля адреса из одной <br>&gt; подсети, но в данном случае это не так важно. Если вы <br>&gt; хотие объединить ваши сети, то вам нужно использовать gif(4) в режиме <br>&gt; EtherIP, для этого надо объединять gif(4) c интерфейсом, смотрящим в локалку <br>&gt; в bridge(4). Когда настроите это, можно приступать к шифрованию. Конечно, более <br>&gt; правильно с точки зрения безопасности было бы сразу настроить шифрование :) <br><br>Спасибо, попробую.<br> https://opennet.dev/openforum/vsluhforumID1/96029.html#6 Thu, 05 Mar 2015 11:08:49 GMT &gt; Были бы логи можно было узнать где причина, так откуда взять сообщение <br>&gt; об ошибку то? В какую сторону идти то? Ещё кое что, <br>&gt; объязательно чтобы вторая сетевая карта (192.168.0.1 и 192.168.1.1) у серверов на <br>&gt; момент настройки был подключен к коммутатору чтобы пингы прошли? Просто чтобы <br><br>Не обязательно.<br><br>&gt; один сервер мог увидеть серый адрес второго сервера. Жду ответа, как <br>&gt; соловей лето. Спасибо.<br><br>Скорее всего, когда вы запускали ракун, у вас установились политики безопасности. Но т.к. сам ракун вы так и не настроили, то серверы не договорились между собой, какие SA им импользовать.<br><br>Очистите список политик безопасности: setkey -FP<br>Настройте сначала связь без IPsec. <br>Должны пинговаться внешние адреса туннля: A.B.C.D и W.X.Y.Z.<br>Если адреса пингуются, должны пинговаться внутренние адреса туннеля 192.168.0.1 и 192.168.1.1. И вообще, логичнее было бы назначать внутри туннеля адреса из одной подсети, но в данном случае это не так важно. Если вы хотие объединить ваши сети, то вам нужно исполь