forum.opennet.ru - "ipsec на мосту" (8)

форумы

помощь

поиск

регистрация

вход/выход

слежка

"ipsec на мосту"

Форум Информационная безопасность (VPN, IPSec / OpenBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipsec на мосту"	+/–
Сообщение от Trasv on 12-Фев-17, 11:43
Добрый день! Создал на основе двух OpenBSD6 сетевой мост между двумя зданиями. Все прекрасно, сеть без проблем, DHCP сервер и BOOTPC работают через мост без проблем. Подскажите, где прочитать или найти гайд по настройке IPSec на сетевом мосту. Все что я находил в сети относится к двум разным сетям и прочим NAT. У меня же просто одно сеть один большой диапазон. Хотелось бы такой же прозрачности на сетевом мосту, только с шифрованием.
Ответить \| Правка \| Cообщить модератору

Оглавление

ipsec на мосту, shadow_alone, 13:19 , 12-Фев-17, (1)

ipsec на мосту, Trasv, 15:26 , 12-Фев-17, (2)

ipsec на мосту, PavelR, 09:30 , 13-Фев-17, (3)

ipsec на мосту, Trasv, 07:02 , 15-Фев-17, (4)

ipsec на мосту, PavelR, 22:02 , 15-Фев-17, (5)

ipsec на мосту, Trasv, 20:28 , 16-Фев-17, (6)

ipsec на мосту, PavelR, 21:13 , 16-Фев-17, (7)

ipsec на мосту, Trasv, 23:04 , 16-Фев-17, (8)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipsec на мосту" +/–

Сообщение от shadow_alone (ok) on 12-Фев-17, 13:19

Эка загнул...
Придеться тогда извращаться и делать инкапсуляцию, если вы L2  хотите в ipsec засунуть.

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ipsec на мосту" +/–

Сообщение от Trasv on 12-Фев-17, 15:26

> Эка загнул...
> Придеться тогда извращаться и делать инкапсуляцию, если вы L2  хотите в
> ipsec засунуть.
У меня пока нет понимания, как это должно работать. IPSec туннель между двумя OpenBSD ставится вообще без проблем, кучей разных способов. Но как добиться того, чтобы широковещалки и dhcp запросы проходили прозрачно и пинги бегали.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ipsec на мосту" +/–

Сообщение от PavelR (??) on 13-Фев-17, 09:30

>> Эка загнул...
>> Придеться тогда извращаться и делать инкапсуляцию, если вы L2  хотите в
>> ipsec засунуть.
>  У меня пока нет понимания, как это должно работать. IPSec туннель
> между двумя OpenBSD ставится вообще без проблем, кучей разных способов. Но
> как добиться того, чтобы широковещалки и dhcp запросы проходили прозрачно и
> пинги бегали.
Сделай туннель, такой "чтобы широковещалки и dhcp запросы проходили прозрачно и
пинги бегали". Затем заверни трафик туннеля в IPSec.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ipsec на мосту" +/–

Сообщение от Trasv on 15-Фев-17, 07:02

> Сделай туннель, такой "чтобы широковещалки и dhcp запросы проходили прозрачно и
> пинги бегали". Затем заверни трафик туннеля в IPSec.
Каким образом трафик в туннель завернуть? Через pf (route-to) или через статические маршруты?

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ipsec на мосту" +/–

Сообщение от PavelR (??) on 15-Фев-17, 22:02

>> Сделай туннель, такой "чтобы широковещалки и dhcp запросы проходили прозрачно и
>> пинги бегали". Затем заверни трафик туннеля в IPSec.
> Каким образом трафик в туннель завернуть? Через pf (route-to) или через статические
> маршруты?
как-то эти буквы не сочетаются со словами "широковещалки".
Я не опенбсдшник, но схема такая:
1) https://www.google.com/#q=openbsd+bridge+tunnel
2) http://man.openbsd.org/etherip.4
По второй ссылке расписано требуемое вам решение.

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "ipsec на мосту" +/–

Сообщение от Trasv on 16-Фев-17, 20:28

> 2) http://man.openbsd.org/etherip.4
> По второй ссылке расписано требуемое вам решение.
Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как только поднимается ipsec туннель, etherip разваливается. Буду искать причину.

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "ipsec на мосту" +/–

Сообщение от PavelR (??) on 16-Фев-17, 21:13

>> 2) http://man.openbsd.org/etherip.4
>> По второй ссылке расписано требуемое вам решение.
> Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как
> только поднимается ipsec туннель, etherip разваливается. Буду искать причину.
В моем понимании это означает, что ipsec не подымается.

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "ipsec на мосту" +/–

Сообщение от Trasv on 16-Фев-17, 23:04

>>> 2) http://man.openbsd.org/etherip.4
>>> По второй ссылке расписано требуемое вам решение.
>> Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как
>> только поднимается ipsec туннель, etherip разваливается. Буду искать причину.
> В моем понимании это означает, что ipsec не подымается.
Если использовать, по мануалу, ipsec.conf типа статик
esp from 1.2.3.4 to 4.3.2.1 spi 0x4242:0x4243 \
        authkey file "xxxx:yyyy" enckey file "xxx.enc1:xxx.enc2"
flow esp proto etherip from 1.2.3.4 to 4.3.2.1

то в etherip не идут пакеты, те фактически IPSec не работает и соответственно все внешнии соединения
рвутся.
Но при использовании второго варианта с isakmpd
ike esp proto etherip from 1.2.3.4 to 4.3.2.1
ike passive esp proto etherip from 4.3.2.1 to 1.2.3.4
все отлично работает(просто нужно было добавить passive и скопировать ключи). Шифрованный туннель работает прекрасно. Почему не работает первый вариант я так и не понял. Надо попробовать еще раз.


Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipsec на мосту"	+/–
Сообщение от shadow_alone (ok) on 12-Фев-17, 13:19
Эка загнул... Придеться тогда извращаться и делать инкапсуляцию, если вы L2 хотите в ipsec засунуть.
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "ipsec на мосту"	+/–
	Сообщение от Trasv on 12-Фев-17, 15:26
	> Эка загнул... > Придеться тогда извращаться и делать инкапсуляцию, если вы L2 хотите в > ipsec засунуть. У меня пока нет понимания, как это должно работать. IPSec туннель между двумя OpenBSD ставится вообще без проблем, кучей разных способов. Но как добиться того, чтобы широковещалки и dhcp запросы проходили прозрачно и пинги бегали.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "ipsec на мосту"	+/–
	Сообщение от PavelR (??) on 13-Фев-17, 09:30
	>> Эка загнул... >> Придеться тогда извращаться и делать инкапсуляцию, если вы L2 хотите в >> ipsec засунуть. > У меня пока нет понимания, как это должно работать. IPSec туннель > между двумя OpenBSD ставится вообще без проблем, кучей разных способов. Но > как добиться того, чтобы широковещалки и dhcp запросы проходили прозрачно и > пинги бегали. Сделай туннель, такой "чтобы широковещалки и dhcp запросы проходили прозрачно и пинги бегали". Затем заверни трафик туннеля в IPSec.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "ipsec на мосту"	+/–
	Сообщение от Trasv on 15-Фев-17, 07:02
	> Сделай туннель, такой "чтобы широковещалки и dhcp запросы проходили прозрачно и > пинги бегали". Затем заверни трафик туннеля в IPSec. Каким образом трафик в туннель завернуть? Через pf (route-to) или через статические маршруты?
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "ipsec на мосту"	+/–
	Сообщение от PavelR (??) on 15-Фев-17, 22:02
	>> Сделай туннель, такой "чтобы широковещалки и dhcp запросы проходили прозрачно и >> пинги бегали". Затем заверни трафик туннеля в IPSec. > Каким образом трафик в туннель завернуть? Через pf (route-to) или через статические > маршруты? как-то эти буквы не сочетаются со словами "широковещалки". Я не опенбсдшник, но схема такая: 1) https://www.google.com/#q=openbsd+bridge+tunnel 2) http://man.openbsd.org/etherip.4 По второй ссылке расписано требуемое вам решение.
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "ipsec на мосту"	+/–
	Сообщение от Trasv on 16-Фев-17, 20:28
	> 2) http://man.openbsd.org/etherip.4 > По второй ссылке расписано требуемое вам решение. Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как только поднимается ipsec туннель, etherip разваливается. Буду искать причину.
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "ipsec на мосту"	+/–
	Сообщение от PavelR (??) on 16-Фев-17, 21:13
	>> 2) http://man.openbsd.org/etherip.4 >> По второй ссылке расписано требуемое вам решение. > Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как > только поднимается ipsec туннель, etherip разваливается. Буду искать причину. В моем понимании это означает, что ipsec не подымается.
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "ipsec на мосту"	+/–
	Сообщение от Trasv on 16-Фев-17, 23:04
	>>> 2) http://man.openbsd.org/etherip.4 >>> По второй ссылке расписано требуемое вам решение. >> Да, спасибо. Сейчас с ipsec разбираюсь. По мануалу, что по ссылке, как >> только поднимается ipsec туннель, etherip разваливается. Буду искать причину. > В моем понимании это означает, что ipsec не подымается. Если использовать, по мануалу, ipsec.conf типа статик esp from 1.2.3.4 to 4.3.2.1 spi 0x4242:0x4243 \ authkey file "xxxx:yyyy" enckey file "xxx.enc1:xxx.enc2" flow esp proto etherip from 1.2.3.4 to 4.3.2.1 то в etherip не идут пакеты, те фактически IPSec не работает и соответственно все внешнии соединения рвутся. Но при использовании второго варианта с isakmpd ike esp proto etherip from 1.2.3.4 to 4.3.2.1 ike passive esp proto etherip from 4.3.2.1 to 1.2.3.4 все отлично работает(просто нужно было добавить passive и скопировать ключи). Шифрованный туннель работает прекрасно. Почему не работает первый вариант я так и не понял. Надо попробовать еще раз.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору