форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[ Отслеживать ]

"Ipsec openswan kernel 2.6.24"		+/–
Сообщение от Koba LTD on 16-Сен-09, 00:56
Есть два линуха на kernel 2.6.24 установлен openswan 2.4.9 настроен тунель, ipsec0 не подымаеться - почитав, выяснил что так и должно быть если ядро 2.6.x и используеться NETKEY а не KLIPS. Ну нет так нет. НО появились вопросы 1) почемуто с той машины на которой поднят тунель не пингуються машны из сети на другом конце тунеля. 2) как организовать маршрутизацию, если не подымаеться интерфейс - к примеру на одном конце тунеля 2 сетки Одно решение (я так понял) - это патчиться ядро на KLIPS и пересобирать его и пересобирать openswan - но не хочеться, неужеле нелься реальзовать через NETKEY. Помогите плиз.
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Ipsec openswan kernel 2.6.24"		+/–
Сообщение от серг on 16-Сен-09, 05:30
>[оверквотинг удален] >нет. НО появились вопросы >1) почемуто с той машины на которой поднят тунель не пингуються машны >из сети на другом конце тунеля. >2) как организовать маршрутизацию, если не подымаеться интерфейс - к примеру на >одном конце тунеля 2 сетки > >Одно решение (я так понял) - это патчиться ядро на KLIPS и >пересобирать его и пересобирать openswan - но не хочеться, неужеле нелься >реальзовать через NETKEY. >Помогите плиз. 1) если туннель поднят то проверять нужно не со шлюзов, а с машин локальной сети (ибо пингуя с машины где поднят туннель ты пингуешь с интерфейса локалхост а в конфе ипсека у тебя указаны другие сети). И если верно настроен ипсек, то всё будет работать. 2) в таблицу маршрут ипсечного туннеля добавляется автоматом.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	2. "Ipsec openswan kernel 2.6.24"		+/–
	Сообщение от Koba LTD on 16-Сен-09, 10:17
	>[оверквотинг удален] >>пересобирать его и пересобирать openswan - но не хочеться, неужеле нелься >>реальзовать через NETKEY. >>Помогите плиз. > >1) если туннель поднят то проверять нужно не со шлюзов, а с >машин локальной сети (ибо пингуя с машины где поднят туннель ты >пингуешь с интерфейса локалхост а в конфе ипсека у тебя указаны >другие сети). И если верно настроен ипсек, то всё будет работать. > >2) в таблицу маршрут ипсечного туннеля добавляется автоматом. 1) я это знаю - я и спрашиваю как сделать что бы с того хоста с которого поднят тунель была ДОСТУПНА сеть за тунелем - а то получаеться фигня какаято - я прекрасно понимаю что это связанно с МАРШРУТИЗАЦИЕ - но не могу найти инфу КАК ЭТО ПРАВЕЛЬНО НАСТРОИТЬ 2) Я это тоже знаю - я спрашивал как добавить есчо маршруты через "ипсечного туннел" допустим есть сетка 192.168.0.0/24 на одном конце и 10.202.245.0/24 на другом, на одной из машин сетки 10.202.245.0/24 (но не на той где подымаеться тунель) поднят pptp сервер который раздает сеть 10.202.244.0/24 - вопрос как сделать так чтобы пакеты из 192.168.0.0/24 ходи до 10.202.244.0/24 и обратно?
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Ipsec openswan kernel 2.6.24"		+/–
Сообщение от Koba LTD on 17-Сен-09, 10:51
Идеи исякли? :(
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Ipsec openswan kernel 2.6.24"		+/–
Сообщение от Koba LTD on 18-Сен-09, 17:44
>[оверквотинг удален] >нет. НО появились вопросы >1) почемуто с той машины на которой поднят тунель не пингуються машны >из сети на другом конце тунеля. >2) как организовать маршрутизацию, если не подымаеться интерфейс - к примеру на >одном конце тунеля 2 сетки > >Одно решение (я так понял) - это патчиться ядро на KLIPS и >пересобирать его и пересобирать openswan - но не хочеться, неужеле нелься >реальзовать через NETKEY. >Помогите плиз. на первый пункт нашел ответ - случайно наткнулса (в примерах почему то никто не пишет) - если кому интересно то параметры leftsourceip, rightsourceip должны быть равны внутренним IP соответственно, - машина на которой поднят тунель нормально начинает ходить по сетке на другом конце тунеля. Со второй частью пока есчо затык - просто добавление маршрута с указанием GW внутреннего ip машины на другом конце ни к чему не приводит, то трасировке пакет всеравно уходит на default gw (в принцепе и понятно в тамблице нет маршрута на внутренний ip противоположной машины) Откликнетесь кто нить - неужели только мне отному приспичело поднять тунель в сеть с двумя диапазонами ip?
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	5. "Ipsec openswan kernel 2.6.24"		+/–
	Сообщение от серг on 21-Сен-09, 05:58
	>[оверквотинг удален] >никто не пишет) - если кому интересно то параметры leftsourceip, rightsourceip >должны быть равны внутренним IP соответственно, - машина на которой поднят >тунель нормально начинает ходить по сетке на другом конце тунеля. Со >второй частью пока есчо затык - просто добавление маршрута с указанием >GW внутреннего ip машины на другом конце ни к чему не >приводит, то трасировке пакет всеравно уходит на default gw (в принцепе >и понятно в тамблице нет маршрута на внутренний ip противоположной машины) > >Откликнетесь кто нить - неужели только мне отному приспичело поднять тунель в >сеть с двумя диапазонами ip? это делается параметрами leftsubnet rightsubnet
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	6. "Ipsec openswan kernel 2.6.24"		+/–
	Сообщение от Koba LTD on 21-Сен-09, 11:28
	>[оверквотинг удален] >>GW внутреннего ip машины на другом конце ни к чему не >>приводит, то трасировке пакет всеравно уходит на default gw (в принцепе >>и понятно в тамблице нет маршрута на внутренний ip противоположной машины) >> >>Откликнетесь кто нить - неужели только мне отному приспичело поднять тунель в >>сеть с двумя диапазонами ip? > >это делается параметрами >leftsubnet >rightsubnet :) Много уважаемы покажите плиз РАБОТАЮЩИЙ пример как при настройке канала в параметрах leftsubnet rightsubnet указать больше 1 сетки :), я понимаю что есть вариан с поднятием нужного колво тунелей с указанием по одной сетки с каждой стороны - но вот беда - есть девайсы в которых колво ipsec соединений ограничено, да мне так кажеться (может быть я конешно и ошибаюсь) но подымать между ДВУМЯ точками N тунелей, для того что по идее должно решаться маршрутизаций - не совмес правельно
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	7. "Ipsec openswan kernel 2.6.24"		+/–
	Сообщение от серг on 21-Сен-09, 13:33
	>[оверквотинг удален] >>rightsubnet > >:) Много уважаемы покажите плиз РАБОТАЮЩИЙ пример как при настройке канала в >параметрах leftsubnet rightsubnet указать больше 1 сетки :), я понимаю что >есть вариан с поднятием нужного колво тунелей с указанием по одной >сетки с каждой стороны - но вот беда - есть девайсы >в которых колво ipsec соединений ограничено, да мне так кажеться (может >быть я конешно и ошибаюсь) но подымать между ДВУМЯ точками N >тунелей, для того что по идее должно решаться маршрутизаций - не >совмес правельно идеология такая: ипсек будет шифровать то что указано в настройках, если подсеть не указана то и шифрования не будет, поэтому вопрос маршрутизацией не решишь. по поводу ограничения кол-ва ипсек соединений - это сколько? 2-3-5 туннелей поднимется без проблем, наврятле нужно больше.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	8. "Ipsec openswan kernel 2.6.24"		+/–
	Сообщение от Koba LTD on 21-Сен-09, 15:37
	>[оверквотинг удален] >>сетки с каждой стороны - но вот беда - есть девайсы >>в которых колво ipsec соединений ограничено, да мне так кажеться (может >>быть я конешно и ошибаюсь) но подымать между ДВУМЯ точками N >>тунелей, для того что по идее должно решаться маршрутизаций - не >>совмес правельно > >идеология такая: ипсек будет шифровать то что указано в настройках, если подсеть >не указана то и шифрования не будет, поэтому вопрос маршрутизацией не >решишь. по поводу ограничения кол-ва ипсек соединений - это сколько? 2-3-5 >туннелей поднимется без проблем, наврятле нужно больше. так вопрос то и стоит в том что КАК УКАЗАТЬ ТУНЕЛЮ ШИФРОВАТЬ ПАКЕТЫ с нескольких подсетей с одной стороный - у меня есть девай который может подымать только 4 тунеля а подсеток 5? во вторых я не уверен что будет шифровать только те подсетки что указаны в настройках - смысл тунеля в том что ВСЕ что по нему проходило шифровалось, так вопрос стоит в том как заставить пакеты ходить через тунель - насколько я почитал (опытно есчо не проверял) но при реализации тунеля через KLIPS (т.е. когда создаеться ipsec0 т.д.) таких проблем нет - заварачиваешь маршрут на интерфейс и трафик идет туда куда надо и шифруеться - неужели нет такого в реализации через NETKEY, пока (как мне кажеться) накапал что надо капать в сторону xfrm - хотя может я и ошибаюсь
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

	9. "Ipsec openswan kernel 2.6.24"		+/–
	Сообщение от серг on 22-Сен-09, 14:07
	>[оверквотинг удален] >девай который может подымать только 4 тунеля а подсеток 5? во >вторых я не уверен что будет шифровать только те подсетки что >указаны в настройках - смысл тунеля в том что ВСЕ что >по нему проходило шифровалось, так вопрос стоит в том как заставить >пакеты ходить через тунель - насколько я почитал (опытно есчо не >проверял) но при реализации тунеля через KLIPS (т.е. когда создаеться ipsec0 >т.д.) таких проблем нет - заварачиваешь маршрут на интерфейс и трафик >идет туда куда надо и шифруеться - неужели нет такого в >реализации через NETKEY, пока (как мне кажеться) накапал что надо капать >в сторону xfrm - хотя может я и ошибаюсь нет так не работает, я использую клипс и я могу лишь повторить, что в ипсечный тоннель заворачивается только то что указано в конфигурации ipsec.conf более никакими средствами туда ни один пакет не залетит.
	Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема