форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Пред. тема | След. тема
Форумы Информационная безопасность (Public)
Изначальное сообщение		[Проследить за развитием треда]

"маршрутизация в Racoon"
Сообщение от vladimirks (??) on 10-Авг-05, 14:47  (MSK)
Столкнулся с такой проблемой в RACOON. настроено соединение VPN с защищенным каналом между двумя офисами с IP1 192.168.2.0/24 и IP2 10.1.142.0/22. Настроена маршрутизация на IP1 (ip route add to 10.1.142.0/22 via 192.168.2.1 src 192.168.2.1. Итого получаем route -N: 10.1.142.0      192.168.2.1     255.255.252.0   UG     eth0 192.168.2.0     0.0.0.0         255.255.255.0   U      eth0 Можно смело пинговать с хоста 2.1 (eth0)на 10.1.142.1 допустим, но пробуем пинговать с любого хоста сетки 2.0, request time out. Прописаны правила в Iptables: iptables -A INPUT -p icmp -j ACCEPT -i eth0 -s 192.168.2.0/24 -d 10.1.142.0/22 iptables -A OUTPUT -p icmp -j ACCEPT -o eth0 -d 192.168.2.0/24 -s 10.1.142.0/22. Собственно говоря, проблема заключается в предоставлении пользователям из сети 2.0 в сеть 10.1.142.0 сервисов.
	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "маршрутизация в Racoon"
Сообщение от Santa_Claus on 10-Авг-05, 15:03  (MSK)
Или туннель неправильно настроен или он по к-л. причинам не подымается. Покажи настройки енота и его логи.
Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "маршрутизация в Racoon"
	Сообщение от vladimirks (??) on 10-Авг-05, 15:12  (MSK)
	>Или туннель неправильно настроен или он по к-л. причинам не подымается. >Покажи настройки енота и его логи. туннель работает. поднимается. траффик шифруется. с этим проблем нет. нет прохождения пакетов из одной сети в другую. если смотреть tcpdump -i eth0 host 10.1.142.1, то пинги идут на eth0, но вот почему согласно маршрутизации они не идут на 2.1 далее, это уже ... :-(
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	3. "маршрутизация в Racoon"
	Сообщение от Moralez (ok) on 11-Авг-05, 05:03  (MSK)
	зафильтрованы, вот и не идут. Неужели трудно было отключить фильтрование совсем перед тем как настраивать в первый раз? Во всех хавту так написано и с этим сложно не согласиться...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "маршрутизация в Racoon"
	Сообщение от vladimirks (??) on 11-Авг-05, 08:59  (MSK)
	>зафильтрованы, вот и не идут. Неужели трудно было отключить фильтрование совсем перед >тем как настраивать в первый раз? Во всех хавту так написано >и с этим сложно не согласиться... пожалуйста поделитесь линком где можно про это подробно почитать, буду признателен. система Linux. я добавил правило: iptables -A FORWARD -p ALL -i eth0 -d 10.1.142.0/22 -s 0/0 -j ACCEPT, но это не помогло.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "маршрутизация в Racoon"
	Сообщение от Santa_Claus on 11-Авг-05, 09:09  (MSK)
	Выключить (временно) фильтрацию: /sbin/service iptables stop Проверить вкл. ли маршрутизация: #cat /proc/sys/net/ipv4/ip_forward #1
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "маршрутизация в Racoon"
	Сообщение от vladimirks (ok) on 11-Авг-05, 09:59  (MSK)
	>Выключить (временно) фильтрацию: >/sbin/service iptables stop >Проверить вкл. ли маршрутизация: >#cat /proc/sys/net/ipv4/ip_forward >#1 1 стоит. iptables (полностью firewall) отключил. ничего. :-( iptables -A INPUT/OUTPUT -p ALL -i eth0 -j LOG --log-level debug при пинге из сети 2.0 ничего не пишет. инфа тока если пинговать на eth0 (192.168.2.1) есть. а вот что за чудо сеть 10.1.142.0 в сети привязанное к eth0, не видит. Ж-(
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "маршрутизация в Racoon"
	Сообщение от Santa_Claus on 11-Авг-05, 11:03  (MSK)
	Гхм, я извиняюсь, но ip route add to 10.1.142.0/22 via 192.168.2.1 на машинах сети 192.168.2.0 прописано? traceroute с них что говорит? если все ок, то см. мою 1-ю мессагу, надо конфиги и логи.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	8. "маршрутизация в Racoon"
	Сообщение от vladimirks (??) on 11-Авг-05, 11:54  (MSK)
	>Гхм, я извиняюсь, но >ip route add to 10.1.142.0/22 via 192.168.2.1 >на машинах сети 192.168.2.0 прописано? прописано. например на 2.90: ip route add to 10.1.142.0/22 via 192.168.2.1 src 192.168.2.90 >traceroute с них что говорит? >если все ок, то см. мою 1-ю мессагу, надо конфиги и логи. > конфиги чего? вот полная маршрутизация: на 2.90 скажем прописано так: route -N 10.1.142.0      192.168.2.1     255.255.252.0   UG на 2.1 прописано: route -N 10.1.142.0      192.168.2.1     255.255.252.0   UG канал между 10.1.142.1 и 192.168.2.1 есть, напрямую пинг host-host работает. С локалки 2.90 нет. traceroute 10.1.142.1 с 2.90 говорит: traceroute to 10.1.142.1 (10.1.142.1), 30 hops max, 40 byte packets 1  * * * 2  * * * 3  * * * 4  * * * 5  * * *
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "маршрутизация в Racoon"
	Сообщение от vladimirks (??) on 11-Авг-05, 12:04  (MSK)
	какие нужны именно логи и настройки я предоставляю.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	11. "маршрутизация в Racoon"
	Сообщение от Santa_Claus on 11-Авг-05, 12:25  (MSK)
	>какие нужны именно логи и настройки я предоставляю. Покажи настройки racoon и его логи.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	13. "маршрутизация в Racoon"
	Сообщение от vladimirks (??) on 11-Авг-05, 13:56  (MSK)
	>>какие нужны именно логи и настройки я предоставляю. > >Покажи настройки racoon и его логи. racoon.conf: remote 71.4.61.xxx {   exchange_mode main;   doi ipsec_doi;   lifetime time 24 hour;  # sec,min,hour   nat_traversal on;   proposal {   encryption_algorithm 3des;   hash_algorithm sha1;   authentication_method pre_shared_key;   dh_group 2;            } } sainfo address 192.168.2.0/24 any address 10.1.142.0/22 any {         pfs_group 2;         lifetime time 3600 sec;         encryption_algorithm 3des;         authentication_algorithm hmac_sha1;         compression_algorithm deflate; } setkey.conf: spdadd 10.1.142.0/22 192.168.2.0/24 any -P in ipsec esp/tunnel/71.4.61.xxx-212.44.92.xxx/require; spdadd 192.168.2.0/24 10.1.142.0/22 any -P out ipsec esp/tunnel/212.44.92.xxx-71.4.61.xxx/require; spdadd 192.168.2.0/24 10.1.142.0/22 any -P fwd ipsec esp/tunnel/212.44.92.xxx-71.4.61.xxx/require; логи норма. поверь. раз канал есть защищенный траффик http (local proxy) через него ходит. не работаю такие сервисы как ssh и т.п.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	14. "маршрутизация в Racoon"
	Сообщение от Santa_Claus on 11-Авг-05, 16:01  (MSK)
	>логи норма. поверь. раз канал есть защищенный траффик http (local proxy) через него ходит. Не факт. Он может ходить как раз мимо туннеля. Давай тогда так: cat racoon.log|grep established > сюда тогда поверю ;) Кстати, как ракун запускаешь? Таблицу маршрутов с ip1 покажи. Кстати, вот это ip route add to 10.1.142.0/22 via 192.168.2.1 src 192.168.2.1 на ip1 совершенно не нужно. А нужно типа ip route add to 10.1.142.0/22 via <следующий по пути от ip1 к ip2 промежуточный router> ...
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	15. "маршрутизация в Racoon"
	Сообщение от vladimirks (??) on 11-Авг-05, 17:10  (MSK)
	>>логи норма. поверь. раз канал есть защищенный траффик http (local proxy) через него ходит. > >Не факт. Он может ходить как раз мимо туннеля. >Давай тогда так: >cat racoon.log|grep established > сюда >тогда поверю ;) Aug 11 09:44:56 gate racoon: INFO: IPsec-SA established: ESP/Tunnel 71.4.61.xxx->212.44.92.xxx spi=127727007(0x79cf59f) Aug 11 09:44:56 gate racoon: INFO: IPsec-SA established: ESP/Tunnel 212.44.92.xxx->71.4.61.xxx spi=2266036819(0x8710fa53) Aug 11 09:45:06 gate racoon: INFO: ISAKMP-SA established 212.44.92.xxx[500]-71.4.61.xxx[500] spi:919ce58da24a2b22:3f0e45212db4a505 и т.д. > >Кстати, как ракун запускаешь? > :-) /etc/init.d/racoon start скриптом. у меня SuSe 9.2. подгружает /etc/raconn/racoon.conf >Таблицу маршрутов с ip1 покажи. 192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 eth0 192.168.80.0    0.0.0.0         255.255.255.0   U     0      0        0 eth2 192.168.60.0    0.0.0.0         255.255.255.0   U     0      0        0 eth2 127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 lo 0.0.0.0         212.44.92.173   0.0.0.0         UG    0      0        0 sat 92.173 в инет смотрит. >Кстати, вот это >ip route add to 10.1.142.0/22 via 192.168.2.1 src 192.168.2.1 >на ip1 совершенно не нужно. >А нужно типа >ip route add to 10.1.142.0/22 via <следующий по пути от ip1 к ip2 промежуточный router> ... хмм. не совсем понял. какой роутер если есть 2 внешних IP, 2 IP локальных и между ними какой-то роутер, так? это VPN, нет там такого. 2.1 сам роутер.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	16. "маршрутизация в Racoon"
	Сообщение от Santa_Claus on 12-Авг-05, 13:09  (MSK)
	>канал есть защищенный траффик http (local proxy) через >него ходит. Так этот трафик ходит как надо? Т.е. м.д. 2-мя сетями? Только пинги и ssh не ходют? Так что ж ты занятым людям голову морочишь?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	17. "маршрутизация в Racoon"
	Сообщение от vladimirks (??) on 12-Авг-05, 16:36  (MSK)
	>>канал есть защищенный траффик http (local proxy) через >>него ходит. >Так этот трафик ходит как надо? Т.е. м.д. 2-мя сетями? ходит. >Только пинги и ssh не ходют? да. не ходят из локальной сети. да и не только, хочу также использовать RDC на удаленном :-) >Так что ж ты занятым людям голову морочишь? хмм. вообще т оя сюда пришел с проблемой. и помойму доходчиво объяснил.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	18. "маршрутизация в Racoon"
	Сообщение от Santa_Claus on 15-Авг-05, 12:29  (MSK)
	>>>канал есть защищенный траффик http (local proxy) через >>>него ходит. >>Так этот трафик ходит как надо? Т.е. м.д. 2-мя сетями? > >ходит. > >>Только пинги и ssh не ходют? > >да. не ходят из локальной сети. Значит с туннелем и рутингом все ок. Просто конкретно разрешен http трафик, а все остальное режется. Думай чем и где.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	19. "маршрутизация в Racoon"
	Сообщение от vladimirks (??) on 15-Авг-05, 14:35  (MSK)
	>>>>канал есть защищенный траффик http (local proxy) через >>>>него ходит. >>>Так этот трафик ходит как надо? Т.е. м.д. 2-мя сетями? >> >>ходит. >> >>>Только пинги и ssh не ходют? >> >>да. не ходят из локальной сети. > >Значит с туннелем и рутингом все ок. >Просто конкретно разрешен http трафик, а все остальное режется. Думай чем и >где. вот опробовал Iptables -A FORWARD -d 10.1.142.0/22 -s 0/0 -j ACCEPT пинги пошли из сети. Но теперь нужно получить также доступ 10.1.142.22 по ssh (22 порт)из сети машины 192.168.2.101. не получается.
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "маршрутизация в Racoon"
	Сообщение от Santa_Claus on 11-Авг-05, 12:23  (MSK)
	cat /proc/sys/net/ipv4/ip_forward на 192.168.2.1  что выдает?
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

	12. "маршрутизация в Racoon"
	Сообщение от vladimirks (??) on 11-Авг-05, 13:35  (MSK)
	>cat /proc/sys/net/ipv4/ip_forward > >на 192.168.2.1  что выдает? 1
	Удалить	Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить	Индекс форумов | Темы | Пред. тема | След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.