Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Ogłoszenie
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
#1 2007-09-27 23:09:25
czadman - 
Bicycle repairman
- czadman
- Bicycle repairman
- Skąd: Wrocław
- Zarejestrowany: 2005-07-08
IPsec/OpenVPN
Mam do rozwiązania problem z IPsec. Skonfigurowałem sobie połączenie net-to-net. Połączenie jest zestawione. Wygląda to mniej więcej tak. Robiłem wg receptury jak w linku.
[url=http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch35_:_Configuring_Linux_VPNs#How_to_get_Openswan_Started][img]http://www.linuxhomenetworking.com/wiki/images/f/f3/Freeswan.gif[/img][/url]
Po jednej stronie jest wszystko w porządku. Jak z prawej strony pinguję sieć po lewej stronie tunelu to jest ok. Na interfejsie zewnętrznym na lewym końcu tulnelu stwierdzam taki ruch:
Kod:
# tcpdump -v -i eth0 -n -p esp tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 22:46:36.087462 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], length: 152) 89.79.xxx.xxx > 80.48.xxx.xxx: ESP(spi=0x16f8e3f7,seq=0x18c) 22:46:36.087734 IP (tos 0x0, ttl 64, id 51356, offset 0, flags [none], length: 152) 80.48.xxx.xxx > 89.79.xxx.xxx: ESP(spi=0xfc754b67,seq=0x504)
Kod:
# tcpdump -v -i eth0 -n -p icmp tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 22:46:22.091565 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], length: 84) 192.168.22.127 > 192.168.0.10: icmp 64: echo request seq 6 22:46:23.088015 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], length: 84) 192.168.22.127 > 192.168.0.10: icmp 64: echo request seq 7
Pakiety są dekodowane i dalej sobie idą tak jak powinny i pingi wracają. Natomiast kiedy pinguję z lewej strony prawą, to na zewnętrznym interfejsie na prawym końcu tunelu pojawiają się tylko pakiety esp, pakietów icmp już nie stwierdzam, no i pingi nie wracają.
Kod:
# tcpdump -n -i dialog -p esp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on dialog, link-type EN10MB (Ethernet), capture size 96 bytes 22:56:45.139963 IP 80.48.xxx.xxx > 89.79.xxx.xxx: ESP(spi=0xfc75cf29,seq=0x7c3d0775), length 132 22:56:46.141805 IP 80.48.xxx.xxx > 89.79.xxx.xxx: ESP(spi=0xfc75cf29,seq=0x7c3d0776), length 132
Dodam, że politykę iptables na rozważanym interfejsie mam na ACCEPT.
Gdzie może leżeć błąd albo przyczyna?
[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]
Offline
#2 2007-09-27 23:15:01
zlyZwierz - Moderator
Re: IPsec/OpenVPN
U mnie to był lipny routing ... nawet nie tyle routing co lejm admin :)
- urządzenia, które odpowiadały mi po jednej stronie miały wpisaną domyślną bramę , natomiest te które nie chciały w drugą stronę odpowadać (identyczna sytuacja jak u Ciebie) owej domyślnej bramy wpisanej nie miały :)
[url=http://www.netfix.pro]www.netfix.pro[/url]
Offline
#3 2007-09-27 23:52:18
czadman - Bicycle repairman
- czadman
- Bicycle repairman
- Skąd: Wrocław
- Zarejestrowany: 2005-07-08
Re: IPsec/OpenVPN
Analizowałem routing parę razy. Może coś jest nie tak. Tak wygląda na tej bramce, po której stronie jest cisza:
Kod:
Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.22.0 0.0.0.0 255.255.255.0 U 0 0 0 do_mnie 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 duzy 192.168.0.0 89.79.xxx.1 255.255.255.0 UG 0 0 0 dialog 89.79.xxx.0 0.0.0.0 255.255.255.0 U 0 0 0 dialog 0.0.0.0 89.79.xxx.1 0.0.0.0 UG 0 0 0 dialog
a tak na maszynie docelowej:
Kod:
Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.22.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 192.168.22.1 0.0.0.0 UG 0 0 0 eth0
Wydaje mi się, że jest dobrze, ale o tej porze mam już zlasowane fałdy pod przykryciem
[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]
Offline
#4 2007-10-01 13:04:58
czadman - Bicycle repairman
- czadman
- Bicycle repairman
- Skąd: Wrocław
- Zarejestrowany: 2005-07-08
Re: IPsec/OpenVPN
Ostatecznie skonfigurowałem dostęp do sieci przez IPsec/L2TP. Jednak jest jeszcze, ostatnio popularne, rozwiązanie OpenVPN, bazowane na SSL. Jakie są Wasze opinie na temat obu technologii, którą stosujecie i dlaczego?
[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]
Offline
#5 2007-10-01 14:13:53
kayo - Członek DUG
- kayo
- Członek DUG
- Zarejestrowany: 2007-05-20
Re: IPsec/OpenVPN
Ostatecznie skonfigurowałem dostęp do sieci przez IPsec/L2TP. Jednak jest jeszcze, ostatnio popularne, rozwiązanie OpenVPN, bazowane na SSL. Jakie są Wasze opinie na temat obu technologii, którą stosujecie i dlaczego?[/quote]
Ja stosuje OpenVPN. Nie ma z nim żadnych problemów. Konfiguracja jest banalna.
Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com gg #1046710
Offline
#6 2007-10-01 14:19:02
czadman - Bicycle repairman
- czadman
- Bicycle repairman
- Skąd: Wrocław
- Zarejestrowany: 2005-07-08
Re: IPsec/OpenVPN
To prawda. Tłukłem się sporo z konfiguracją openswan, ale za to sporo się nauczyłem. Teraz zabieram się za openvpn. Pewnie pójdzie mi dużo szybciej. Widzę, że nawet są dołączone skrypty do tworzenia certyfikatów.
[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]
Offline
#7 2007-10-01 14:41:51
kayo - Członek DUG
- kayo
- Członek DUG
- Zarejestrowany: 2007-05-20
Re: IPsec/OpenVPN
To prawda. Tłukłem się sporo z konfiguracją openswan, ale za to sporo się nauczyłem. Teraz zabieram się za openvpn. Pewnie pójdzie mi dużo szybciej. Widzę, że nawet są dołączone skrypty do tworzenia certyfikatów.[/quote]
Jeszcze prosciej jest gdy zrobisz to przy pomocy webmina... musisz tylko modul OpenVPN doinstalowac bo jest on jako niestandartowy.
Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com gg #1046710
Offline
#8 2007-10-02 12:14:35
czadman - Bicycle repairman
- czadman
- Bicycle repairman
- Skąd: Wrocław
- Zarejestrowany: 2005-07-08
Re: IPsec/OpenVPN
Czy masz może jakiś szybki sposób na konfigurację klienta openvpn na windows, jak to robisz?
[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]
Offline
#9 2007-10-02 13:01:07
kayo - Członek DUG
- kayo
- Członek DUG
- Zarejestrowany: 2007-05-20
Re: IPsec/OpenVPN
Czy masz może jakiś szybki sposób na konfigurację klienta openvpn na windows, jak to robisz?[/quote]
[url=http://openvpn.net/howto.html#examples]Tutaj[/url] masz przyklady w architekturze klient-serwer. Ten dla klienta jest dostosowany do Windowsa. Dostosuj tego confa do swoich potrzeb. Później zmiany są naprawdę niewielkie. Czasami nawet ich brak (wystarczy dyrektywa 'duplicate-cn' w konfigu serwera).
Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com gg #1046710
Offline
#10 2007-10-02 14:07:01
czadman - Bicycle repairman
- czadman
- Bicycle repairman
- Skąd: Wrocław
- Zarejestrowany: 2005-07-08
Re: IPsec/OpenVPN
Jeszcze jedno pytanko. W server.conf mam ustawione
server 10.8.0.0 255.255.255.0[/quote]
jednak pod windowsem wyskakuje ip interfejsu z maską podsieci 255.255.255.252. Jak rozumiem klient tworzy swoją małą podsieć?
[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]
Offline
#11 2007-10-02 14:41:32
kayo - Członek DUG
- kayo
- Członek DUG
- Zarejestrowany: 2007-05-20
Re: IPsec/OpenVPN
Jeszcze jedno pytanko. W server.conf mam ustawione
server 10.8.0.0 255.255.255.0[/quote]
jednak pod windowsem wyskakuje ip interfejsu z maską podsieci 255.255.255.252. Jak rozumiem klient tworzy swoją małą podsieć?[/quote]
Niestety jest to bolesne ograniczenie interfejsu OpenVPN pod windowsem.
w konsoli win po wpisaniu poleceniaKod:
openvpn --show-valid-subnetspokażą sie dostępne adresy.
Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com gg #1046710Offline
#12 2007-10-05 07:27:13
czadman - Bicycle repairman
- czadman
- Bicycle repairman
- Skąd: Wrocław
- Zarejestrowany: 2005-07-08
Re: IPsec/OpenVPN
A jak to jest z klientem na windows vista? Dział na tym systemie? Ja na razie nie mam dostępu do visty.
[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]
Offline
#13 2007-10-05 08:06:23
kayo - Członek DUG
- kayo
- Członek DUG
- Zarejestrowany: 2007-05-20
Re: IPsec/OpenVPN
Ja na razie nie mam dostępu do visty.[/quote] Na szczeście ja też nie
Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com gg #1046710
Offline
#14 2007-10-28 18:48:42
HunteR - DUG
- HunteR
- DUG
- Skąd: ?
- Zarejestrowany: 2006-03-14
Re: IPsec/OpenVPN
zrobiłem VPN według [url=http://marek.helion.pl/install/vpn-howto.html]opisu[/url] z współdzielonym kluczem
Mogę sie połączyć z nim bez problemu, mogę pingować koniec vpna na serwerze czyli u mnie 10.3.0.1(jak w opisie powyżej) mogę pingowac ip serwera na którym stoi vpn czyli 192.168.4.158, ale już NIE mogę pingować żądnego innego urządzenia w tej sieci. W konfigu na kliencie (WinXP) mam dodaną linię: [i]route 192.168.4.0 255.255.255.0[/i].
Konfigurował to ktoś i może mi pomóc z tym rutingiem.
...
Offline
#15 2007-10-28 20:40:46
czadman - Bicycle repairman
- czadman
- Bicycle repairman
- Skąd: Wrocław
- Zarejestrowany: 2005-07-08
Re: IPsec/OpenVPN
Należy postawić źródłowy nat na serwerze dla pakietów z sieci 10.3.0.0.
BTW. Fajne tytuły z tego howto: "generacja kluczy", "brigdowanie". :)
[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]
Offline
#16 2007-10-28 20:59:46
BaB - Członek DUG
- BaB
- Członek DUG
- Skąd: Krapkowice
- Zarejestrowany: 2004-09-09
Re: IPsec/OpenVPN
zrobiłem VPN według [url=http://marek.helion.pl/install/vpn-howto.html]opisu[/url] z współdzielonym kluczem
Mogę sie połączyć z nim bez problemu, mogę pingować koniec vpna na serwerze czyli u mnie 10.3.0.1(jak w opisie powyżej) mogę pingowac ip serwera na którym stoi vpn czyli 192.168.4.158, ale już NIE mogę pingować żądnego innego urządzenia w tej sieci. W konfigu na kliencie (WinXP) mam dodaną linię: [i]route 192.168.4.0 255.255.255.0[/i].
Konfigurował to ktoś i może mi pomóc z tym rutingiem.[/quote]
powinieneś [url=http://openvpn.net/howto.html#vpntype]tutaj [/url] rzucić okiem
Zarejestrowany użytkownik Linuksa #361563
Offline
#17 2007-10-28 21:02:32
cthulhu - Członek DUG
- cthulhu
- Członek DUG
- Skąd: Wrocław
- Zarejestrowany: 2005-09-04
Re: IPsec/OpenVPN
ehh ja przenosilem vpna z jednego serwera na drugi, configi klucze i certyfikaty. teoretycznie chodzi, trzeba tylko troche poprawic gdzieniegdzie :P
z tego co mi mowili, nie routuje pakietow
[i][b][color=darkred]"Dlaczego zawsze wszyscy biegna w strone mrozacego krew w zylach krzyku?"[/color][/b][/i]
cthulhu@jid.dug.net.pl
i386@HPC6910p
Offline
#18 2007-10-31 14:11:37
blink - Użytkownik
- blink
- Użytkownik
- Zarejestrowany: 2007-01-10
Re: IPsec/OpenVPN
Ostatnio przyszło mi instalować OpenVPN na Viscie i muszę stwierdzić, że działa :) z openvpn'en jest tylko ten problem, że sieć z której wchodzisz nie może pokrywać się z siecią docelową np w pracy jako lan mamy 192.168.0.0/16 a w domu mam 192.168.0/28 i nie ma komunikacji :/ rozwiązaniem jest przejście którejś ze stron na inną klasę
Offline
#19 2007-10-31 15:38:22
czadman - Bicycle repairman
- czadman
- Bicycle repairman
- Skąd: Wrocław
- Zarejestrowany: 2005-07-08
Re: IPsec/OpenVPN
openvpn'en jest tylko ten problem, że sieć z której wchodzisz nie może pokrywać się z siecią docelową np w pracy jako lan mamy 192.168.0.0/16 a w domu mam 192.168.0/28 i nie ma komunikacji :/ rozwiązaniem jest przejście którejś ze stron na inną klasę[/quote]
To nie jest problem a logika. W manualu do openvpn o tym piszą. :)
[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]
Offline
Informacje debugowania
| Time (s) | Query |
|---|---|
| 0.00011 | SET CHARSET latin2 |
| 0.00004 | SET NAMES latin2 |
| 0.00110 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='18.221.239.148' WHERE u.id=1 |
| 0.00085 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '18.221.239.148', 1714642127) |
| 0.00053 | SELECT * FROM punbb_online WHERE logged<1714641827 |
| 0.00090 | DELETE FROM punbb_online WHERE ident='3.144.36.141' |
| 0.00089 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=9222 AND t.moved_to IS NULL |
| 0.00008 | SELECT search_for, replace_with FROM punbb_censoring |
| 0.00329 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=9222 ORDER BY p.id LIMIT 0,25 |
| 0.00084 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=9222 |
| Total query time: 0.00863 s | |