Несколько сетей через Tunel Ipsec

Аватар пользователя Almaty

Начну из далека.....
Изначально вопрос стоял о поднятии ipsec tunel между двуя сетями.....
Выбор пал на Openswan на чем и был реализован..
В конце концов все заработало.... тунель поднялся.....
Встал вопрос о реализации чего та большего чем соединение типа net to net
а именно несколько сетей через ipsec tunel (в дальнейшем попробую vlany прокинуть но об этом позже)
ну так вот посоветовавшись со знающими людьми (sergeil) блогодаря его пояснению вот здесь http://community.asplinux.ru/forum/1/55495/ дела у меня пошли быстрее.. и все получилось......
Мне было предложено
"Можете попробовать оформить это в виде 3 секций (конфигураций) с одинаковыми адресами left= и right=, но с разными leftsubnet=, rightsubnet=. Все эти конфигурации будут зависимы. Не рекомендую ставить разные настройки"
ну так вот... я этим счас и буду заниматся..... как потестирую так скажу....
хотя для этого мне надо блин... пару каталистов переделывать....
если кто та подобное делал или есть мысли дафайте... делится.....

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Цитата:
хотя для этого мне надо блин... пару каталистов переделывать....
если кто та подобное делал или есть мысли дафайте... делится....

А зачем? Вы можете тестирорать на внутренних интерфейсах vpn-рутера. Поведение будет аналогичным... Единственное, вы должны иметь возможность привязаться к адресу (для локального сокета)... То есть, если тунель

LAN1<--(10.101.3.17/16)GW1 <- INET--> GW2(192.168.100.100/24) --> LAN2

И Вы находитесь на GW1, в синтаксисе ping будет так:
ping -I 10.101.3.17 10.192.168.100

Остальный опции (размер пакета, ...) по вкусу.

Создайте себе на vpn-рутере необходимое количство логических сетевых устройств и тестируйте на здоровье. По меньшей мере, если у Вас есть для LAN одно физическое eth0, поднимите сетевой интерфейс dummy ...

ifconfig dummy0 192.168.101.100 ...
ifconfig dummy1 192.168.102.100 ...

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

Отличненько... просто замечательно....
все намного проще...... чем я думал... хотя кто его знает.....
я Вас напрягать про "интерфейс dummy" небуду.....
да поможет мне opennet.ru да спасет меня Google.....
сам счас вычитаю... прочитаю ... если возникнут вопросы то обязательно обращусь......

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

Да про Dummy читаю..... вроде все понятно.....
А вот это думаю будет интересно рассмотреть......
1) если поставить несколько сетевых
можно так же на каждую из-них прописать подсеть..?
вроде так оно и есть.. хотя может я и ошибаюсь.......
2) Буквально вчера видел на наге сетевая PCI c четырьмя LAN интерфейсами
кто-нибуть такое юзал? кто что может сказать?
такую сетевую тоже можно приспасобить что бы разрулить туже сеть или Виланы

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Цитата:
Almaty писал:
Отличненько... просто замечательно....
все намного проще...... чем я думал... хотя кто его знает.....
я Вас напрягать про "интерфейс dummy" небуду....

2 сек

если у Вас нормально скомпилировано ядро, то модуль dummy у Вас присутствует...

[sergeil@]$ find /lib/modules/2.4.32/ -name dummy.\*
/lib/modules/2.4.32/kernel/drivers/net/dummy.o

Для ядра 2.6.x картина аналогичная... Количество устройств, к сожалению, ограничено. Как правило, 2 штуки... dummy0, dummy1. Хотя можна соорудить синонимы, eth0:1, но это не такой чистый эксперемент...

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Цитата:
Almaty писал:
1) если поставить несколько сетевых
можно так же на каждую из-них прописать подсеть..?

Конечно

Цитата:
2) Буквально вчера видел на наге сетевая PCI c четырьмя LAN интерфейсами кто-нибуть такое юзал? кто что может сказать?

Осторожно. Проверьте, что-бы это устройство поддерживалось ядром.
Я также не уверен, что такое устройство сможет обеспечить необходимую пропускную способность. Не забывайте, что PCI, если не ошибаюсь, это только 33MB/sec.

Цитата:
такую сетевую тоже можно приспасобить что бы разрулить туже сеть или Виланы

Кстати, не каждая сетевая карта будет с vlan нормально работать. Под некоторые карты нужно править исходники драйвера, а некоторым и это не помагает...

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

ядро у меня 2.6.11-1.1369_FC4
так что все должно быть......
А вот что их может быть два за это отдельное саписбочки....
Я их хотел настряпать 4ри ....

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Цитата:
Almaty писал:
ядро у меня 2.6.11-1.1369_FC4
так что все должно быть......

Вы KLIPS себе компилировали или используется Native IPSec?

Цитата:
А вот что их может быть два за это отдельное саписбочки....
Я их хотел настряпать 4ри ....

А зачем Вам так много?
Правда, когда я наткнулся, то пытался создавать значительно больше
Катается от смеха

Вы, в принципе, можете попробовать создать и больше, но у меня не получилось. Может, с выходом новых версий, что-то поменялось ... Тем более, что я использовал стандартное ядро, а у Вас - от производителя дистрибутива ...

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

Нативный он у меня......
я пробовал еще в начале с Клипсом на Freeswane потом долго пыталсяна Opensawane сделать с Klips но тщетно.... всегда что то не то или не так было......
то..ядра не кампилятся... то сами ядра не те.....
хотя руки не от туда растут скорее всего.....
еще и руководство подгонят... давай давай резюльтаты нужны.... так что не до хорошего... былобы время я бы поковырялся.. хотя Клипс мне болше нравится.... есть там ipsec0
хоть видишь его....
а тут дело другое... даже по началу и несообразишь что к чему...
и опять.. опять и опять дам ссылку на http://community.asplinux.ru/forum/1/55495/
где Вы сказали
">Об устройствае ipsec0 можете забыть. Если у Вас ядро 2.6 и openswan-2.1.x,
>то будет использоваться нативный ipsec ядра 2.6."
тут как говорится все стало на места....свои....

Опять же время... если дадут время.. на потыкать на кнопки то да... попробую поднять больше интерфейсов.... если нужен результат голый то извяняйте...сделаю с одним значит с одни...
хотя все в моих руках.... я попытаюсь... и об этом тут же напишу
Дистр непомня скачал с сайта с какогота.... кажится да иихний

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Цитата:
Almaty писал:
Нативный он у меня......
я пробовал еще в начале с Клипсом на Freeswane потом долго пыталсяна. Opensawane сделать с Klips но тщетно.... всегда что то не то или не так было......

http://community.asplinux.ru/forum/3/13154/13336/#R13336

Мы с Larsik часа за 3 через Skype, пошагово сконфигурировали IPSec с KLIPS на стандартном ядре 2.6.11.12, конфигурацией, ядром (конфигурили с нуля, около часа). Потерялась история чата. Такой-бы howto мог получится... Нужно будет ему отписать...

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

Увы Увы неготово у меня все......
на работе аврал занят другими дклами времени нет на эксперементы.....
думю сегодня займусь.........
правда одно стало известно dummy у меня подымается только один.....
зато саб интерфейсов сколько угодно.....
ну все... вздрогнули....

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

ну вто и вечер кажися я начал что то делать......
как Вы и говорили создал новый Conn testII
при рестарте ipsec-a вывалилась куча ошибок....
одни на /usr/local/libexec/ipsec/setup: eval: line 90
хотя я его знать не знаю в смысле трогать не трогал...
другие на /etc/ipsec.conf, line 53
ну в этой линии у меня RSA key
осмелюсь предположить что для разных conn надо разные ключи делать....
а может вообще удалить эти строки....
чем счас и займусь.....

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Посмотрите внимательно...

Если у Вас authby=secret, то используется не rsasigkey, а preshared key, который прописан в /etc/ipsec.secrets. То есть, директивы leftrsasigkey и rightrsasigkey просто неуместны.

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

да так оно и есть....... я их уже убрал.....
ругатся перестал.....
счас залью конфиг на другую машинку.... и посмотрим...
кстати... для тех кто не в курсе это можно сделать.... с помошью.. scp

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

у меня тут мысля возникла одна......
мы тут недавно трафик шейпер подняли на бридже очень интересненька штучкаполучилась..... его невидно но он есть... и к томуже офигенную работу делает...
так вот если ipsec поднять на Бридже....
бывало такое есть мысли....
вот это я подумаю... апосля того как настрою.... несколько сетей через ipsec

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

Так так так.. как говорится пока свежо....
получилось...
хотя я и незнаю..... непроверял..пака... но спешу поделится....
ipsec setup restart нет ошибок
ipsec setup status на одной машине...
IPsec running - pluto pid: 10646
pluto pid 10646
4 tunnels up

на другой
IPsec running - pluto pid: 9847
pluto pid 9847
2 tunnels up

Может я и заблуждаюсь... но что то мне подсказыват.. что все работат....
осталось проверить....

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

root# ipsec eroute

позволит посмотреть поднятые маршруты. Один из достаточно объективных показателей...

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

[root@localhost /]# ipsec eroute
/usr/local/libexec/ipsec/eroute: NETKEY does not support eroute table
вот так та....... кажися у меня это неработает!

я тут попробовал вот это...ipsec whack --status
кашмар какойта... там столько инфы..... черт ногу сломит....
вижу интерфейсы...
вижу algorithm ESP encrypt
вижу algorithm IKE encrypt
это вроде интуитивно понимаю что да как....
дальше идет мой conn "test" 000 "test": 10.10.10.0/24===20.20.20.20---20.20.20.2...30.30.30.2---30.30.30.30===40.40.40.0/24; erouted; eroute owner: #5
вроде все нормально?
и второй conn "testII" 000 "testII": 11.11.11.0/24===20.20.20.20---20.20.20.2...30.30.30.2---30.30.30.30===44.44.44.0/24; erouted; eroute owner: #7
тоже вроде все пучком
и вот этот ужас...
000 #5: "test":500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 22158s; newest IPSEC; eroute owner
000 #5: "test" esp.ca91bcb3@30.30.30.30 esp.6004adcf@20.20.20.20 tun.0@30.30.30.30 tun.0@20.20.20.20
такое же для "testII"

000 #7: "testII" esp.305c6c1d@30.30.30.30 esp.e40f4d82@20.20.20.20 tun.0@30.30.30.30 tun.0@20.20.20.20
000 #6: "testII":500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 22158s
000 #6: "testII" esp.d06708ef@30.30.30.30 esp.52de0098@20.20.20.20 tun.0@30.30.30.30 tun.0@20.20.20.20

можно сказать... предположить... хотя лучше про эти логи почитать и выяснить что каждая из строк означат...
тунели поднялись маршруты правильные... шифрование включено...

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

У тебя не KLIPS, а Native IPSec.
Это не то, что использую я, но тоже нормально
Улыбка

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

Значит все что мне написал whack --status всу в норме?
так он и должет отвечать?
и второе...
я про Бридж писал.... Вы Sergeil сталкивались с таким или как?
я думаю попробовать это сделать.....
наверно через такой бридж можно будет прокинуть VlanЫ

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

Ну вот и утро....
пришол на работу и стал разбиратся неспеша... заглянул для начала в логи
/var/log/messages
мне непонравилась вот эта строка-строки
Dec 1 09:13:36 localhost ipsec__plutorun: 104 "testII" #1: STATE_MAIN_I1: initiate
Dec 1 09:13:36 localhost ipsec__plutorun: ...could not start conn "testII"
мой конн тэст неможет стартануть......
а в /var/log/secure
вот как ругается
ТestII" #1: ERROR: asynchronous network error report on eth1 (sport=500) for message to 20.20.20.20 port 500
если я все понимаю то мне надо открыть 500 порт....

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

нашол решени проблемы
iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT

теперь смотрим в логи...
в messages
тоже самое
Dec 1 09:59:32 localhost ipsec__plutorun: 104 "testII" #1: STATE_MAIN_I1: initiate
Dec 1 09:59:32 localhost ipsec__plutorun: ...could not start conn "testII"
в логах secure все изменилось, надеюсь в лучшую сторану......
тух ошибок про порт 500 нет.....
вопрос остается открытым почему conn "testII".......could not start???

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Цитата:
Almaty писал:
нашол решени проблемы
iptables -A INPUT -p udp --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -p udp --sport 500 --dport 500 -j ACCEPT

Этого мало... Нужно добавить.

// Для обычного (ESP)

Цитата:
iptables -A INPUT -p 50 -s -j ACCEPT
iptables -A OUTPUT -p 50 -d -j ACCEPT

// Если используется (AH)

Цитата:
iptables -A INPUT -p 51 -s -j ACCEPT
iptables -A OUTPUT -p 51 -d -j ACCEPT

А по хорошему, на время тестирования белается полное разрешение
между рутерами. Потом закручиваются гайки.. Не усложняйте проблему.
Настраивайте каждую часть отдельно...

То есть

Цитата:
iptables -A INPUT -s -j ACCEPT
iptables -A OUTPUT -d -j ACCEPT
Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

Доброе утро.......
да все остальное сделал.....
но и это непомогло.........
опять в месагах
Dec 1 12:33:10 localhost ipsec__plutorun: 104 "testII" #1: STATE_MAIN_I1: initiate
Dec 1 12:33:10 localhost ipsec__plutorun: ...could not start conn "testII"
хотя... ipsec setup status
pluto pid 21168
2 tunnels up
в секурити вроде нет явных ошибок.....
в чем может быть дело?
почему такое происходит? could not start conn "testII"

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Давайте конфиг,
если боитесь светить адреса - то в приват или мыло...

Интересует содержимое /etc/ipsec.conf

и /etc/ipsec.secrets
preshared key потом поменяете. rsasig публиковать не нужно.

Также что говорит

ls -l /etc/ipsec.*

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

неее никапельки небоюсь........
эт адреса выдуманные...
Пусть будет как пособие.. для начинающих

ipsec.conf
#basic configuration
config setup
interfaces="ipsec0=eth1"
#%defaultroute
klipsdebug=none
plutodebug=none
forwardcontrol=yes
uniqueids=yes
# Disable OE
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore
#conn %default
#keyingtries=0
#Tunnel mode, static IP, RSA key authentication
conn test
type=tunnel
left=30.30.30.30
leftnexthop=30.30.30.2
leftsubnet=40.40.40.0/24
leftrsasigkey="................"
leftid=30.30.30.30
right=20.20.20.20
rightnexthop=20.20.20.2
rightsubnet=10.10.10.0/24
rightrsasigkey="......................"
rightid=20.20.20.20
#Authorize this connection, but don't actually start it, at startup.
authby=rsasig
auto=start
#Disable Opportunistic Encryption
#include /etc/ipsec.d/examples/no_oe.conf
#L=
#R=

conn testII
type=tunnel
left=30.30.30.30
leftnexthop=30.30.30.2
leftsubnet=44.44.44.0/24
#leftid=30.30.30.30
right=20.20.20.20
rightnexthop=20.20.20.2
rightsubnet=11.11.11.0/24
#rightid=22.22.22.22
#Authorize this connection, but don't actually start it, at startup.
#authby=rsasig
auto=start
#Disable Opportunistic Encryption
#include /etc/ipsec.d/examples/no_oe.conf
#L=
#R=

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

: RSA {
#RSA 1024 bits localhost.localdomain Thu Nov 24 08:28:53 2005
# for signatures only, UNSAFE FOR ENCRYPTION
#pubkey=0sAQNoO122dpLqC5aXSf8S2AMz+zN3oxzG7khIGDp+XgQ+75Dc1TADd
Modulus: 0x683b5db67692ea0b969749ff12d80333fb3377a31cc6ee4848183a7e5e043eef9a4f9
PublicExponent: 0x03
# everything after this point is secret
PrivateExponent: 0x0457ce9244f0c9c07b9ba3154b73aaccd52224fc2132f498585657c543ead7f4
Prime1: 0xc1a7bc3400769ef26c4a5e75f0c178dea8760ed9d9247a90d2958
Prime2: 0x89c9bac8ed915eb556a9f43a76fac5678b122fa49ffc9cc2a6bb22
Exponent1: 0x811a7d78004f14a19d86e9a3f5d65094704eb4913b6da70b370e5c9846958e03d
Exponent2: 0x5bdbd1db490b9478e4714d7c4f51d8efb20c1fc31553132c6f2
Coefficient: 0x05f56cb2a1835f89fad99f221d54c809732c4b3e9f0ca777e33d407ff635e957de
}

и
[root@localhost var]# ls -l /etc/ipsec.*
-rwxr-xr-x 1 root root 1765 Nov 30 19:00 /etc/ipsec.conf
-rw------- 1 root root 1632 Nov 24 10:51 /etc/ipsec.secrets

/etc/ipsec.d:
total 32
drwxr-xr-x 2 root root 4096 Nov 23 08:15 aacerts
drwxr-xr-x 2 root root 4096 Nov 23 08:15 cacerts
drwxr-xr-x 2 root root 4096 Nov 23 08:15 certs
drwxr-xr-x 2 root root 4096 Nov 23 08:15 crls
drwxr-xr-x 2 root root 4096 Nov 23 08:15 examples
drwxr-xr-x 2 root root 4096 Nov 23 08:15 ocspcerts
drwxr-xr-x 2 root root 4096 Nov 23 08:15 policies
drwx------ 2 root root 4096 Nov 23 08:15 private

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Цитата:
Almaty писал:
ipsec.conf
#basic configuration
config setup
interfaces="ipsec0=eth1"
forwardcontrol=yes
uniqueids=yes

conn test
type=tunnel
auth=esp
#--------------------------
left=30.30.30.30
leftnexthop=30.30.30.2
leftsubnet=40.40.40.0/24
leftrsasigkey="...."
#-----зачем? коментируем
# leftid=30.30.30.30
#--------------------------
right=20.20.20.20
rightnexthop=20.20.20.2
rightsubnet=10.10.10.0/24
rightrsasigkey="..."
#-----зачем? коментируем
# rightid=20.20.20.20
#-----------------------------
#Authorize this connection, but don't actually start it, at startup.
authby=rsasig
auto=start

Кстати, а может проще для начала сделать preshared key? Когда разберетесь, будуту пробовать rsasig. Кстати, preshared совместим с оборудованием и софтом других производителей, а rgasig - нет...

Предлагаю для начала:

conn %default
	leftrsasigkey=%none
	rightrsasigkey=%none

2. Убираете из конфигов публичные ключи и всякие "...rsasigkey"

	type=tunnel
	authby=secret

1. сменить "authby=rsasig" ==> "authby=secret" и все упоминания о rsasig убрать...

3. /etc/ipsec.secrets

Цитата:
30.30.30.30 20.20.20.20 : PSK "Zxvbmkogyre51iqpy#zgwoznjyfUvoxm"

Суть понятно, пароль я сгенерил.

root# mkpasswd -l 32
Zxvbmkogyre51iqpy#zgwoznjyfUvoxm
Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Пожалуйста, укоротите свои RSA ключи, страницу перекосило.
Очень неудобно читать/писать...

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

Да я так и думал.... сначала ва показать а потом подкоротить....
уже делаю......

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Цитата:
Да я так и думал.... сначала ва показать а потом подкоротить....
уже делаю......

Ну и как дела? Что-то получается?

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

ну вот я на боевом посту
вроде оклимался потихоньку ковыляю.....

ну так вот
сделал как вы сказали...
и вот в чем странность.....
конечно была трабла с цисками.. на них маршруты упали..... я и понять не мог в чем дело
ну так вот ipsec setup restart показывает что тунели подняты
а вот в логах var/log/messages
Dec 7 12:13:58 localhost ipsec__plutorun: 104 "tr" #1: STATE_MAIN_I1: initiate
Dec 7 12:13:58 localhost ipsec__plutorun: ...could not start conn "tr"
Dec 7 12:22:25 localhost gpm[2311]: *** info [client.c(137)]:
Dec 7 12:22:25 localhost gpm[2311]: Connecting at fd 6

что то непонятно.....
вот сижу разбираюсь...

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Цитата:
Almaty писал:
Dec 7 12:13:58 localhost ipsec__plutorun: 104 "tr" #1: STATE_MAIN_I1: initiate
Dec 7 12:13:58 localhost ipsec__plutorun: ...could not start conn "tr"
Dec 7 12:22:25 localhost gpm[2311]: *** info [client.c(137)]:
Dec 7 12:22:25 localhost gpm[2311]: Connecting at fd 6

Попытайтесь запускать тунели поочередно... Так, что-бы не все сразу.

Для этого в настройках conn вместо auto=start ставится
auto=add

Потом соединения одно за другим поднимается через
ipsec auto --up <имя соединения>

если в глобальных настройках установить plutodebug=all, то в /var/log/secure будет рассширенная диагностика...

config setup
        # THIS SETTING MUST BE CORRECT or almost nothing will work;
        # %defaultroute is okay for most simple cases.
...
        plutodebug=all
...

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

спасибочки пробую...
как что так отрапартую......

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

ну огромное спасибо......
блин....
пол дня голову ломал думаю что за фигня такая..... почему в одном месте пищет что Тунель поднят а в логах пишет немогу поднять....
сделал как вы сказали то есть запустил по очереди..... каждый и ...
как и должно быть все заработало...
спасибо еще раз.....

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

ситуация такая.....
все о чем я писал раньше у меня конфиг был настроен на один тунель
там все работает... в смысле для одного тунеля работет и подымается.....
меняю настройки для второго тунель как оговоривалось ниже....
добовляю строки....
conn II
type=tunnel
left=30.30.30.30
leftnexthop=30.30.30.2
leftsubnet=44.44.44.0/24
#leftid=30.30.30.30
right=20.20.20.20
rightnexthop=20.20.20.2
rightsubnet=11.11.11.0/24
#rightid=22.22.22.22
#Authorize this connection, but don't actually start it, at startup.
#authby=rsasig
auto=add
делаю рестарт ipsec setup restart.... все нормально..(auto=add)
как только..... делаю ipsec auto -up
вот что появляется на экране
[root@localhost etc]# ipsec auto --up tr
104 "tr" #6: STATE_MAIN_I1: initiate
010 "tr" #6: STATE_MAIN_I1: retransmission; will wait 20s for response
010 "tr" #6: STATE_MAIN_I1: retransmission; will wait 40s for response
010 "tr" #6: STATE_MAIN_I1: retransmission; will wait 40s for response
010 "tr" #6: STATE_MAIN_I1: retransmission; will wait 40s for response

а когда начинаю второй стартовать conn II
там он вообще виснит.......

а вот это из var/log/secure
packet from 30.30.30.30:500: received Vendor ID payload

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Да, действительно тяжелый случай.

Расскажите больше о своей системе. Может прикрутим модуль KLIPS (ядерная часть openswan)? Тогда будет намного проще...

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

уф кажися заработало.....
вот проблема.....
rightsubnet=11.11.11.0/24
#rightid=22.22.22.22
#Authorize this connection, but don't actually start it, at startup.
#authby=rsasig Блюёт
на втором conn неуказан аутф=секрет
НЕВНИМАТЕЛЬНОСТЬ......
ситуация такая.....

ipsec setup restart=OK
ipsec setup status =OK
в логах чисто
тунели поднял ручками .... --up по отдельности
осталось проверить ходят ли пинги......

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Цитата:
Almaty писал:
уф кажися заработало.....
вот проблема.....
...
тунели поднял ручками .... --up по отдельности
осталось проверить ходят ли пинги......

потом можна будет сказать на тунели.
auto=start
У меня все тунели стартуют автоматом...

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

Вот и долгожданное утро.......
вчера на радостях что все заработало нестал проверять пинги....
сделал себе короткий день ушол домой... ГЫ в 10ть вечера...
Ну так вот с утра я все проверил.....
ручками подымаются два тунеля....
(я их чуть попозжа в авто поставлю)
пинги ходят....
апосля поднял дамми.. и на второй тунель проверил.. также ходят пинги
вхак статус показывает все в норме....
есть роуты на оба тунея....
"tr": 10.10.10.0/24===20.20.20.20---20.20.20.2...30.30.30.2---30.30.30.30===40.40.40.0/24
"II": 11.11.11.0/24===20.20.20.20---20.20.20.2...30.30.30.2---30.30.30.30===44.44.44.0/24

ну вот и все.... вроде бы работает....
осталось только перышки подчистить...
Хотя тут идея возникла одна.....
счас настроен ipsec net to net + две подсети внутри....
шифруются они одинакова.... нетакли?
можно каждый из них шифровать по отдельности?
кажется нет !!!!!!
и второе...
вот сама сеть 11.11.11.0/24===20.20.20.20---20.20.20.2...30.30.30.2---30.30.30.30===44.44.44.0/24....
20.20.20.2...30.30.30.2 это у меня циски....
есть возможность с одной циски например 30,30,30,2 подключить третий ipsec gateway
К примеру в conn III
type=tunnel
left=33.33.33.33
leftnexthop=30.30.30.2
leftsubnet=45.45.45.0/24
right=20.20.20.20
rightnexthop=20.20.20.2
rightsubnet=15.15.15.0/24
#Authorize this connection, but don't actually start it, at startup.
authby=secret
auto=add
те два старых кона так и остаются с одинаковыми left=30.30.30.30 an right=20.20.20.20
и со своими сабнетами... на две подсети....
(тут же вопрос к самому себе.... одно из правил ipsec конфиги должны быть одинаковы на обоих ipsec gw.. следую этому правилу... нифа неполучится....)

Вам преходилось с таким сталкиватся?

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Цитата:
Almaty писал:
"tr": 10.10.10.0/24===20.20.20.20---20.20.20.2...30.30.30.2---30.30.30.30===40.40.40.0/24
"II": 11.11.11.0/24===20.20.20.20---20.20.20.2...30.30.30.2---30.30.30.30===44.44.44.0/24

+
15.15.15.0/24===20.20.20.20---20.20.20.2...30.30.30.2---33.33.33.33===45.45.45.0/24

1. Не вижу существенного противоречия в поднятии такого тунеля.
2. Что-то мне подсказывает, что эту конфигурацию можна рассматривать как независимую (IMHO), так как ключевым моментом для тунеля являются IP адреса рутера, а не рутер как таковой. Шлюз по умолчанию является вспомогательной характеристикой. Хотя полной уверенности у меня нет. Не использовал...

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

Доброе утро...
а как же правило про одинаковые конфиги?
у нас три ipsec gw....
зачем нам на все трех такие конфиги... когда один ipsec gw никогда небудет видеть тот другой...... а работать будет только со своим?
и второе
про шифрование?
можно ли шифровать отдельно каждый тунель?

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

вот что на опенсване ответили на вопрос про разное шифрование
14:31 bleve no it's not.
14:32 bleve pluto uses same ISAKMP SA for all tunnels between same gateways.
14:33 bleve hmmh. it still might be possible to have different esp= lines for both conns, never tried.

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

ну что если верить БЛИВУ....
то вполне все решимо
bleve so you need to have same ike= settings on both conns to same location.
bleve but you might have different esp= settings, as I said I have never tried because I always use best possible crypto available on remote end

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

У Вас все получилось настроить как Вы хотели?

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

да основа есть.... ipsec работает как net to net и еще + две сети внутри....
конечно имея это... появляются новы требования..... посмотрим удастся ли их решить
ну во первых... как вы уже видели это отдельное шифрование каждой сети...
говорят что это возможно хотя этого неделали....
во вторых...
сеть типа net to net + еще одна нет.... это надо эксперементировать..... пробовать....
вроде и это возможно... хотя.....и опять же надо пробовать....
подведем итоги...
благодаря Вашей помощи... у меня все получилось.... можно сказать дали удочку...
спасибо Вам... еще раз....
надеюсь на дальнейшее сотрудничество.....
буду продолжать тему openswana-ipsec на вашем форуме....
надеюсь наша ветка поможет не одному начинающему випиенщику

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Будем считать что все прошло вполне успешно.

Кстати, http://www.strongswan.org/docs/readme.htm
Мне понравилось... У openswan я такой документации не видел, а жаль.
Я так думаю, раз автор говорит, что это работает и с openswan, то просто
грех не воспользоваться. Может быть и обнаружатся некоторые нюансы,
но, думаю, они незначительны.

Цитата:
Message: 2
Date: Thu, 08 Dec 2005 12:58:42 +0100
From: Andreas Steffen
Subject: Re: [Openswan Users] protoport???
To: Necati Demir
Cc: users@openswan.org
Message-ID: <43981FF2.5050707@strongsec.net>
Content-Type: text/plain; charset=ISO-8859-1; format=flowed

See my HOWTO under the link
http://www.strongswan.org/docs/readme.htm#section_4.5

Openswan has the same functionality.

Regards
Andreas

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

До неплохо....
честно сказать Опенсван подкачал по части манов... и всякого рода инструкций....
у меня довольно много ссылок на Фрисван.. где очень и очень подробно все описывается..
ну они сами знаете.. братья...
так что если у кого есть маны по Фри то смело почти смело можете использовать их и для
опенсвана....
думаю вот этот неплохой
http://www.bruy.info/vpn.html
или вот
http://www.freeswan.org/freeswan_trees/freeswan-2.01/doc/quickstart.html

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

чевота я туплю...
собрал та я собрал свою конфигурацию.......
net to net + 2subnet
значится вот что... стоит у меня Linux gateway на который приходят по ipsec tunel в нем
2 Vlan's .. Вопрос в следующем как мне их разрулить на Циску? на цике понятное дело я пропишу каждый вилан на отдельную дырку....
но до циски жи они должны идти тунелем.... или я не прав?

и вот еще что...
второй conn2 в конфиге ipsec.conf он класифицируется как отдельный тунель или же
как второй маршрут в тунеле conn1....
вот здесь что то непонятненько...

Аватар пользователя sergeil

Re: Несколько сетей через Tunel Ipsec

Цитата:
Almaty писал:
... стоит у меня Linux gateway на который приходят по ipsec tunel в нем 2 Vlan's ..

Извиняюсь, но VLAN, это, если я не ошибаюсь, 2 уровень OSI. Как он проходит у Вас по IPSec? Вы реализовати что-то типа моста (bridge)?

Цитата:
Вопрос в следующем как мне их разрулить на Циску? на цике понятное дело я пропишу каждый вилан на отдельную дырку... но до циски жи они должны идти тунелем.... или я не прав?

Если я не ошибаюсь, IPSec может передавать только IP траффик.

Цитата:
и вот еще что... второй conn2 в конфиге ipsec.conf он класифицируется как отдельный тунель или же как второй маршрут в тунеле conn1.... вот здесь что то непонятненько...

Ничего не могу сказать. Так глубоко не копал...

Аватар пользователя Almaty

Re: Несколько сетей через Tunel Ipsec

Цитата:
Almaty писал:
... стоит у меня Linux gateway на который приходят по ipsec tunel в нем 2 Vlan's ..
serdel писал:
Извиняюсь, но VLAN, это, если я не ошибаюсь, 2 уровень OSI. Как он проходит у Вас по IPSec? Вы реализовати что-то типа моста (bridge)?

ДА... это не то что я хотел сказать..... я ступил
Про то что ipsec не поддерживает L2 я незадумывался....
Я несколько постов тому назад упоминал про "возможность реализовать на бридже"
но сам ниразу неделал..
если я правильно Вас понял то Vlan'S у меня получится только на bridge.........

Цитата:
Вопрос в следующем как мне их разрулить на Циску? на циcке понятное дело я пропишу каждый вилан на отдельную дырку... но до циски жи они должны идти тунелем.... или я не прав?

serdel писал:
Если я не ошибаюсь, IPSec может передавать только IP траффик.

в смысле, через ipsec tunel нельзя пропустить vlan's?

RSS-материал