#1 05.02.10 12:09
[Openswan и DI-804HV] ipsec устанавливает неправильные роуты
есть два офис, нужно прокинуть тунель между ними.
офис А: ubuntu 2.6.28-11-server+openswan, через нат ходят сотрудники офиса А в инет. (внешний айпи 1.2.3.4, внутри 192.168.0.0/24)
офис Б: DI-804HV, через него ходят в инет и на нём же ipsec клиент (внешний айпи 5.6.7.8, внутри 192.168.1.0/24)
Openswan и DI-804HV настроены, тунель есть судя по логам, но поднимается неправильный роут.
До поднятия тунеля
eth1 - в мир, eth0 - внутрь
root@ubuntu:/etc# netstat -nr
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
1.2.3.4 0.0.0.0 255.255.255.252 U 0 0 0 eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 1.2.3.5 0.0.0.0 UG 0 0 0 eth1
После
root@ubuntu:/etc# netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
1.2.3.4 0.0.0.0 255.255.255.252 U 0 0 0 eth1
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 1.2.3.4 0.0.0.0 UG 0 0 0 eth1
Кофигурация ipsec
root@ubuntu:/etc# cat ipsec.conf
config setup
nat_traversal=yes
interfaces="ipsec0=eth1"
nhelpers=0
conn eth1
left=5.6.7.8
leftid=5.6.7.8
leftsubnet=192.168.1.0/24
leftnexthop=1.2.3.4
right=1.2.3.4
rightsubnet=192.168.0.0/24
rightid=1.2.3.4
rightnexthop=1.2.3.4
keyexchange=ike
ikelifetime=240m
keylife=3600s
pfs=yes
compress=no
authby=secret
keyingtries=0
auto=start
#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf
Видно что тунель есть, хатя может я ошибаюсь?
root@ubuntu:/etc# ipsec auto --status
000 interface lo/lo ::1
000 interface lo/lo 127.0.0.1
000 interface lo/lo 127.0.0.1
000 interface eth0/eth0 192.168.0.2
000 interface eth0/eth0 192.168.0.2
000 interface eth1/eth1 1.2.3.4
000 interface eth1/eth1 1.2.3.4
000 %myid = (none)
000 debug none
000
000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8, keysizemin=64, keysizemax=64
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysizemax=192
000 algorithm ESP encrypt: id=7, name=ESP_BLOWFISH, ivlen=8, keysizemin=40, keysizemax=448
000 algorithm ESP encrypt: id=11, name=ESP_NULL, ivlen=0, keysizemin=0, keysizemax=0
000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=13, name=(null), ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=22, name=(null), ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=252, name=ESP_SERPENT, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP encrypt: id=253, name=ESP_TWOFISH, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160
000 algorithm ESP auth attr: id=5, name=AUTH_ALGORITHM_HMAC_SHA2_256, keysizemin=256, keysizemax=256
000 algorithm ESP auth attr: id=8, name=AUTH_ALGORITHM_HMAC_RIPEMD, keysizemin=160, keysizemax=160
000 algorithm ESP auth attr: id=9, name=AUTH_ALGORITHM_AES_CBC, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=251, name=(null), keysizemin=0, keysizemax=0
000
000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192
000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128
000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16
000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20
000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024
000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536
000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048
000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072
000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096
000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144
000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
000
000 stats db_ops.c: {curr_cnt, total_cnt, maxsz} :context={0,0,0} trans={0,0,0} attrs={0,0,0}
000
000 "eth1": 192.168.0.0/24===1.2.3.4...5.6.7.8===192.168.1.0/24; erouted; eroute owner: #2
000 "eth1": srcip=unset; dstip=unset; srcup=ipsec _updown; dstup=ipsec _updown;
000 "eth1": ike_life: 14400s; ipsec_life: 3600s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "eth1": policy: PSK+ENCRYPT+TUNNEL+PFS+UP; prio: 24,24; interface: eth1; encap: esp;
000 "eth1": newest ISAKMP SA: #1; newest IPsec SA: #2;
000 "eth1": IKE algorithm newest: 3DES_CBC_192-MD5-MODP1024
000
000 #2: "eth1":500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 2513s; newest IPSEC; eroute owner
000 #2: "eth1" esp.5e00b49b@89.31.117.106 esp.e162a676@95.170.133.190 tun.0@89.31.117.106 tun.0@95.170.133.190
000 #1: "eth1":500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 13483s; newest ISAKMP; nodpd
000
iptables пуст
Offline
#4 05.02.10 14:54
Re: [Openswan и DI-804HV] ipsec устанавливает неправильные роуты
Укроп, ну ты зокрий хрен )
щаз сделал всё по ману
роут после поднятия айписека
root@ubuntu:/etc# netstat -rn
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
1.2.3.4 0.0.0.0 255.255.255.252 U 0 0 0 eth1
192.168.1.0 1.2.3.4 255.255.255.0 UG 0 0 0 eth1
192.168.0.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
0.0.0.0 1.2.3.4 0.0.0.0 UG 0 0 0 eth1
мне кажется должен быть роут
192.168.1.0 5.6.7.8 255.255.255.0 UG 0 0 0 eth1
пытаюсь вручную добавить - No such proccess
Offline
#5 05.02.10 16:17
Re: [Openswan и DI-804HV] ipsec устанавливает неправильные роуты
iDrum написал(а):
мне кажется должен быть роут
192.168.1.0 5.6.7.8 255.255.255.0 UG 0 0 0 eth1
пытаюсь вручную добавить - No such proccess
root@ubuntu:/etc# route add -net 192.168.1.0 netmask 255.255.255.0 gw 5.6.7.8
SIOCADDRT: No such process
может добавляю как то не так?
Offline
#7 07.02.10 21:42
Re: [Openswan и DI-804HV] ipsec устанавливает неправильные роуты
Укроп написал(а):
а разгадка одна - безблагодатность.
вывод буквiDrum написал(а):
UG
как бы намикает.
тему не четал, но зачем тебе openswan и ipsec? простой впн не можеш настроить? работает даже на гетерогенных серверах.
отключи сначала шифрования, проверь просто установку соденинения. затем по строчке добавляй роуты, не забывая прописывать UG где надо.
Это не я бляяя...
Offline
#9 08.02.10 14:46
Re: [Openswan и DI-804HV] ipsec устанавливает неправильные роуты
тем не менее. я ничо понял как так получилось, но проблема решена.
очистил полностью iptables, особливо POSTROUTING и PREROUTING.
убрал при загрузке echo "1" > /proc/.../ip_forwad
появилась связь с 192.168.1.0/24, но пропал инет в офисе. тогда сделал
iptables -t nat -A POSTROUTING -s 192.168.0.0/24 -d ! 192.168.1.0/24 -j SNAT --to-source 1.2.3.4
появился интернет, свзяь с 192.168.1.0/24 осталась, причём route выдаёт ту же таблицу... вообщем я хз, научный тык блин.
Offline
