|
| Re: Маршрутизация + IPSEC |
Птн, 14 Август 2009 19:49   |
|
|
traceroute пробовали запускать? На каком узле спотыкается? Что при этом показывает tcpdump на каждом из шлюзов? Если вывода получается сильно много (больше 2х экранов), то разместите его где-нибудь (dpaste.com иили аналогах), а здесь дайте ссылку.
|
|
|
|
| Re: Маршрутизация + IPSEC |
Пнд, 17 Август 2009 11:01 |
 yans 
Сообщений: 26
Зарегистрирован: Декабрь 2007
Географическое положение: Russia |
Освоившийся |
|
|
Добавил в setkey GW1 инфу о 211 сети.
/sbin/setkey -c >/dev/null 2>&1 << EOF
spdadd 192.168.211.0/24 192.168.99.0/24 any
-P in ipsec esp/tunnel/213.208.182.173-194.6.223.212/require
ah/tunnel/213.208.182.173-194.6.223.212/require;
spdadd 192.168.99.0/24 192.168.211.0/24 any
-P out ipsec esp/tunnel/194.6.223.212-213.208.182.173/require
ah/tunnel/194.6.223.212-213.208.182.173/require;
EOF
Теперь на GW2 на внешнем интерфейсе ловятся пакеты:
tcpdump -n -i eth1 host 192.168.99.9
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
10:54:19.742624 IP 192.168.99.9 > 192.168.211.253: ICMP echo request, id 2327, seq 9, length 64
10:54:20.745917 IP 192.168.99.9 > 192.168.211.253: ICMP echo request, id 2327, seq 10, length 64
10:54:21.741500 IP 192.168.99.9 > 192.168.211.253: ICMP echo request, id 2327, seq 11, length 64
но пинг всеравно не проходит
|
|
|
| Re: Маршрутизация + IPSEC |
Пнд, 17 Август 2009 11:24 |
|
|
Раз есть request, но нет reply, то стоит убедиться в том, что целевая система знает куда слать ответ или у неё есть возможность это сделать.
|
|
|
|
| Re: Маршрутизация + IPSEC |
Пнд, 17 Август 2009 12:09 |
|
Смотрите tcpdump'ом на ней, чтобы знать наверняка.
Кстати, GW3 у вас обозначен как "*.254, а tcpdump показывает пинг на "*.253". Тут всё правильно?
|
|
|
|
| Re: Маршрутизация + IPSEC |
Пнд, 17 Август 2009 13:42 |
|
|
То есть на интерфейсе GW2, направленном в сторону GW3, пакеты, адресованные GW3, появляются, но до GW3 не доходят? Как вы себе это представляете? Системамы связаны "воздушкой" и дует сильный ветер? :)
|
|
|
| Re: Маршрутизация + IPSEC |
Пнд, 17 Август 2009 13:50 |
yans
Сообщений: 26
Зарегистрирован: Декабрь 2007
Географическое положение: Russia |
Освоившийся |
|
|
| San АНДРЕЕВ писал(а) Пнд, 17 Август 2009 13:42 |
То есть на интерфейсе GW2, направленном в сторону GW3, пакеты, адресованные GW3, появляются, но до GW3 не доходят? Как вы себе это представляете? Системамы связаны "воздушкой" и дует сильный ветер? :)
|
На GW2 есть интерфейс eth0 c адресом 192.168.200.254
и eth1 c внешним адресом.
так вот когда я делаю ping на 192.168.200.254 с gw1, то я ловлю tcpdump'ом и на eth1 и на eth0, а когда на 192.168.211.254 то ловлю только на eth1.
На GW2 маршрут до 211 сети прописан, и с него вся 211 сеть пингуется.
|
|
|
| Re: Маршрутизация + IPSEC |
Пнд, 17 Август 2009 14:59 |
|
| yans писал(а) Пнд, 17 Август 2009 13:50 |
... то я ловлю tcpdump'ом и на eth1 и на eth0 ...
|
Как это?.. 8-0 Это как-то неправильно, так не должно быть.
|
|
|
|
| Re: Маршрутизация + IPSEC |
Птн, 21 Август 2009 12:03 |
yans
Сообщений: 26
Зарегистрирован: Декабрь 2007
Географическое положение: Russia |
Освоившийся |
|
|
Всетаки какая то фигня происходит, тестовая сеть которую я сделал немного не такая, там был один тунель.
Сейчас сделал сеть из 3х шлюзов, между ними интернет.
Схема такая
GW1 ---|тунель IPSEC через инет|--- GW2 ---|тунель IPSEC через инет| --- GW3
создавал так: http://www.linuxnotes.ru/ipsec-centos/
Внутренние IP:
GW1 192.168.99.9
GW2 192.168.0.115
GW3 192.168.212.244
После поднятия туннелей сразу пингуются:
с GW1 - GW2,
c GW2 - оба,
с GW3 - GW2
На GW1 прописываю маршрут:
route add 192.168.0.115 gw 192.168.99.9
route add -net 192.168.212.0/24 gw 192.168.0.115
На GW3:
route add 192.168.0.115 gw 192.168.212.244
route add -net 192.168.99.0/24 gw 192.168.0.115
На GW2 маршруты прописаны автоматически на 99.х и 212.х сети после поднятия туннеля.
После этого пробую с GW1 запустить пинг на GW3:
ping 192.168.212.244
PING 192.168.212.244 (192.168.212.244) 56(84) bytes of data.
From 192.168.0.115: icmp_seq=2 Redirect Host(New nexthop: 192.168.212.244)
From 192.168.0.115: icmp_seq=3 Redirect Host(New nexthop: 192.168.212.244)
From 192.168.0.115 icmp_seq=1 Destination Host Unreachable
From 192.168.0.115 icmp_seq=2 Destination Host Unreachable
From 192.168.0.115 icmp_seq=3 Destination Host Unreachable
From 192.168.0.115: icmp_seq=4 Redirect Host(New nexthop: 192.168.212.244)
From 192.168.0.115: icmp_seq=5 Redirect Host(New nexthop: 192.168.212.244)
в это время на GW2(eth1 внутренний интерфейс):
tcpdump -i eth1 host 192.168.99.9
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
19:09:41.785833 IP 192.168.99.9 > 192.168.212.244: ICMP echo request, id 38922, seq 9, length 64
19:09:42.785768 IP 192.168.99.9 > 192.168.212.244: ICMP echo request, id 38922, seq 10, length 64
19:09:43.786743 IP 192.168.99.9 > 192.168.212.244: ICMP echo request, id 38922, seq 11, length 64
и с GW3 на GW1:
ping 192.168.99.9
PING 192.168.99.9 (192.168.99.9) 56(84) bytes of data.
From 192.168.212.244 icmp_seq=2 Destination Host Unreachable
From 192.168.212.244 icmp_seq=3 Destination Host Unreachable
From 192.168.212.244 icmp_seq=4 Destination Host Unreachable
From 192.168.212.244 icmp_seq=5 Destination Host Unreachable
From 192.168.212.244 icmp_seq=6 Destination Host Unreachable
From 192.168.212.244 icmp_seq=7 Destination Host Unreachable
В это время на GW2 tcpdump молчит
|
|
|
| Re: Маршрутизация + IPSEC |
Пнд, 24 Август 2009 10:31 |
|
|
tcpdump имеет смысл запускать на промежуточном шлюзе, который, как я понял, GW2. Кроме того, хорошо бы увидеть таблицы маршрутизации (route -n) с каждого шлюза (реальные адреса при этом стоит забить всякими xxx.xxx.xxx.xxx).
|
|
|
|
|
ФОРУМЫ |
БИБЛИОТЕКА |
ССЫЛКИ |
НОВОСТИ |
БЛОГИ АДМИНОВ
Отправить по e-mail 
] 
Участники
Поиск
F.A.Q.
Регистрация
Вход
Начало
