The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Ipsec openswan kernel 2.6.24"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение [ Отслеживать ]

"Ipsec openswan kernel 2.6.24"  +/
Сообщение от Koba LTD email on 16-Сен-09, 00:56 
Есть два линуха на kernel 2.6.24 установлен openswan 2.4.9 настроен тунель, ipsec0 не подымаеться - почитав, выяснил что так и должно быть если ядро 2.6.x и используеться NETKEY а не KLIPS. Ну нет так нет. НО появились вопросы
1) почемуто с той машины на которой поднят тунель не пингуються машны из сети на другом конце тунеля.
2) как организовать маршрутизацию, если не подымаеться интерфейс - к примеру на одном конце тунеля 2 сетки

Одно решение (я так понял) - это патчиться ядро на KLIPS и пересобирать его и пересобирать openswan - но не хочеться, неужеле нелься реальзовать через NETKEY.
Помогите плиз.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Ipsec openswan kernel 2.6.24"  +/
Сообщение от серг on 16-Сен-09, 05:30 
>[оверквотинг удален]
>нет. НО появились вопросы
>1) почемуто с той машины на которой поднят тунель не пингуються машны
>из сети на другом конце тунеля.
>2) как организовать маршрутизацию, если не подымаеться интерфейс - к примеру на
>одном конце тунеля 2 сетки
>
>Одно решение (я так понял) - это патчиться ядро на KLIPS и
>пересобирать его и пересобирать openswan - но не хочеться, неужеле нелься
>реальзовать через NETKEY.
>Помогите плиз.

1) если туннель поднят то проверять нужно не со шлюзов, а с машин локальной сети (ибо пингуя с машины где поднят туннель ты пингуешь с интерфейса локалхост а в конфе ипсека у тебя указаны другие сети). И если верно настроен ипсек, то всё будет работать.
2) в таблицу маршрут ипсечного туннеля добавляется автоматом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Ipsec openswan kernel 2.6.24"  +/
Сообщение от Koba LTD email on 16-Сен-09, 10:17 
>[оверквотинг удален]
>>пересобирать его и пересобирать openswan - но не хочеться, неужеле нелься
>>реальзовать через NETKEY.
>>Помогите плиз.
>
>1) если туннель поднят то проверять нужно не со шлюзов, а с
>машин локальной сети (ибо пингуя с машины где поднят туннель ты
>пингуешь с интерфейса локалхост а в конфе ипсека у тебя указаны
>другие сети). И если верно настроен ипсек, то всё будет работать.
>
>2) в таблицу маршрут ипсечного туннеля добавляется автоматом.

1) я это знаю - я и спрашиваю как сделать что бы с того хоста с которого поднят тунель была ДОСТУПНА сеть за тунелем - а то получаеться фигня какаято - я прекрасно понимаю что это связанно с МАРШРУТИЗАЦИЕ - но не могу найти инфу КАК ЭТО ПРАВЕЛЬНО НАСТРОИТЬ
2) Я это тоже знаю - я спрашивал как добавить есчо маршруты через "ипсечного туннел" допустим есть сетка 192.168.0.0/24 на одном конце и 10.202.245.0/24 на другом, на одной из машин сетки 10.202.245.0/24 (но не на той где подымаеться тунель) поднят pptp сервер который раздает сеть 10.202.244.0/24 - вопрос как сделать так чтобы пакеты из 192.168.0.0/24 ходи до 10.202.244.0/24 и обратно?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Ipsec openswan kernel 2.6.24"  +/
Сообщение от Koba LTD email on 17-Сен-09, 10:51 
Идеи исякли? :(
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Ipsec openswan kernel 2.6.24"  +/
Сообщение от Koba LTD email on 18-Сен-09, 17:44 
>[оверквотинг удален]
>нет. НО появились вопросы
>1) почемуто с той машины на которой поднят тунель не пингуються машны
>из сети на другом конце тунеля.
>2) как организовать маршрутизацию, если не подымаеться интерфейс - к примеру на
>одном конце тунеля 2 сетки
>
>Одно решение (я так понял) - это патчиться ядро на KLIPS и
>пересобирать его и пересобирать openswan - но не хочеться, неужеле нелься
>реальзовать через NETKEY.
>Помогите плиз.

на первый пункт нашел ответ - случайно наткнулса (в примерах почему то никто не пишет) - если кому интересно то параметры leftsourceip, rightsourceip должны быть равны внутренним IP соответственно, - машина на которой поднят тунель нормально начинает ходить по сетке на другом конце тунеля. Со второй частью пока есчо затык - просто добавление маршрута с указанием GW внутреннего ip машины на другом конце ни к чему не приводит, то трасировке пакет всеравно уходит на default gw (в принцепе и понятно в тамблице нет маршрута на внутренний ip противоположной машины)
Откликнетесь кто нить - неужели только мне отному приспичело поднять тунель в сеть с двумя диапазонами ip?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Ipsec openswan kernel 2.6.24"  +/
Сообщение от серг on 21-Сен-09, 05:58 
>[оверквотинг удален]
>никто не пишет) - если кому интересно то параметры leftsourceip, rightsourceip
>должны быть равны внутренним IP соответственно, - машина на которой поднят
>тунель нормально начинает ходить по сетке на другом конце тунеля. Со
>второй частью пока есчо затык - просто добавление маршрута с указанием
>GW внутреннего ip машины на другом конце ни к чему не
>приводит, то трасировке пакет всеравно уходит на default gw (в принцепе
>и понятно в тамблице нет маршрута на внутренний ip противоположной машины)
>
>Откликнетесь кто нить - неужели только мне отному приспичело поднять тунель в
>сеть с двумя диапазонами ip?

это делается параметрами
leftsubnet
rightsubnet

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Ipsec openswan kernel 2.6.24"  +/
Сообщение от Koba LTD email on 21-Сен-09, 11:28 
>[оверквотинг удален]
>>GW внутреннего ip машины на другом конце ни к чему не
>>приводит, то трасировке пакет всеравно уходит на default gw (в принцепе
>>и понятно в тамблице нет маршрута на внутренний ip противоположной машины)
>>
>>Откликнетесь кто нить - неужели только мне отному приспичело поднять тунель в
>>сеть с двумя диапазонами ip?
>
>это делается параметрами
>leftsubnet
>rightsubnet

:) Много уважаемы покажите плиз РАБОТАЮЩИЙ пример как при настройке канала в параметрах leftsubnet rightsubnet указать больше 1 сетки :), я понимаю что есть вариан с поднятием нужного колво тунелей с указанием по одной сетки с каждой стороны - но вот беда - есть девайсы в которых колво ipsec соединений ограничено, да мне так кажеться (может быть я конешно и ошибаюсь) но подымать между ДВУМЯ точками N тунелей, для того что по идее должно решаться маршрутизаций - не совмес правельно

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Ipsec openswan kernel 2.6.24"  +/
Сообщение от серг on 21-Сен-09, 13:33 
>[оверквотинг удален]
>>rightsubnet
>
>:) Много уважаемы покажите плиз РАБОТАЮЩИЙ пример как при настройке канала в
>параметрах leftsubnet rightsubnet указать больше 1 сетки :), я понимаю что
>есть вариан с поднятием нужного колво тунелей с указанием по одной
>сетки с каждой стороны - но вот беда - есть девайсы
>в которых колво ipsec соединений ограничено, да мне так кажеться (может
>быть я конешно и ошибаюсь) но подымать между ДВУМЯ точками N
>тунелей, для того что по идее должно решаться маршрутизаций - не
>совмес правельно

идеология такая: ипсек будет шифровать то что указано в настройках, если подсеть не указана то и шифрования не будет, поэтому вопрос маршрутизацией не решишь. по поводу ограничения кол-ва ипсек соединений - это сколько? 2-3-5 туннелей поднимется без проблем, наврятле нужно больше.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Ipsec openswan kernel 2.6.24"  +/
Сообщение от Koba LTD email on 21-Сен-09, 15:37 
>[оверквотинг удален]
>>сетки с каждой стороны - но вот беда - есть девайсы
>>в которых колво ipsec соединений ограничено, да мне так кажеться (может
>>быть я конешно и ошибаюсь) но подымать между ДВУМЯ точками N
>>тунелей, для того что по идее должно решаться маршрутизаций - не
>>совмес правельно
>
>идеология такая: ипсек будет шифровать то что указано в настройках, если подсеть
>не указана то и шифрования не будет, поэтому вопрос маршрутизацией не
>решишь. по поводу ограничения кол-ва ипсек соединений - это сколько? 2-3-5
>туннелей поднимется без проблем, наврятле нужно больше.

так вопрос то и стоит в том что КАК УКАЗАТЬ ТУНЕЛЮ ШИФРОВАТЬ ПАКЕТЫ с нескольких подсетей с одной стороный - у меня есть девай который может подымать только 4 тунеля а подсеток 5? во вторых я не уверен что будет шифровать только те подсетки что указаны в настройках - смысл тунеля в том что ВСЕ что по нему проходило шифровалось, так вопрос стоит в том как заставить пакеты ходить через тунель - насколько я почитал (опытно есчо не проверял) но при реализации тунеля через KLIPS (т.е. когда создаеться ipsec0 т.д.) таких проблем нет - заварачиваешь маршрут на интерфейс и трафик идет туда куда надо и шифруеться - неужели нет такого в реализации через NETKEY, пока (как мне кажеться) накапал что надо капать в сторону xfrm - хотя может я и ошибаюсь


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Ipsec openswan kernel 2.6.24"  +/
Сообщение от серг on 22-Сен-09, 14:07 
>[оверквотинг удален]
>девай который может подымать только 4 тунеля а подсеток 5? во
>вторых я не уверен что будет шифровать только те подсетки что
>указаны в настройках - смысл тунеля в том что ВСЕ что
>по нему проходило шифровалось, так вопрос стоит в том как заставить
>пакеты ходить через тунель - насколько я почитал (опытно есчо не
>проверял) но при реализации тунеля через KLIPS (т.е. когда создаеться ipsec0
>т.д.) таких проблем нет - заварачиваешь маршрут на интерфейс и трафик
>идет туда куда надо и шифруеться - неужели нет такого в
>реализации через NETKEY, пока (как мне кажеться) накапал что надо капать
>в сторону xfrm - хотя может я и ошибаюсь

нет так не работает, я использую клипс и я могу лишь повторить, что в ипсечный тоннель заворачивается только то что указано в конфигурации ipsec.conf более никакими средствами туда ни один пакет не залетит.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру