Forum Debian Users Gang

hipis666 · 2013-12-29 16:36:30

Witam, mam mały problem dla szanownego grona, lecz duży do przeskoczenia dla mnie
ale od początku
szefowi zachciało się połączenie dwóch odległych sieci
i niby wszystko ok tunel się zestawia, ale nie ma żadnego ruchu, pingi nie odpowiadają

Kod:

debian (eth1 192.168.100.0/24 eth0 217.x.x.x )<-> (eth0 195.x.x.x 77.252.1.9/32) cisco 3000

wziąłem na warsztat openswan
/etc/ipsec.conf

Kod:

config setup
        nat_traversal=yes
        virtual_private=%v4:192.168.100.0/24,%v4:77.252.1.9/32
        oe=off
        protostack=netkey
        syslog=syslog.debug
        dumpdir=/var/run/pluto/

conn tunel
        pfs     =       yes
        authby  =       secret
        left    =       217.x.x.x
        leftsubnet=     192.168.100.0/24

        right   =       195.x.x.x
        rightsubnets=   77.252.1.9/32

        auto    =       start
        ike     =       aes128-sha1;modp1024
        phase2alg=      aes128-sha1;modp1024

tunel zestawiony ;)

Kod:

pluto[16841]: "tunel/0x1" #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0xe8a3d428 <0xa6deae77 xfrm=AES_128-HMAC_SHA1 NATOA=none NATD=none DPD=none}

route -n

Kod:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
0.0.0.0         217.x.x.x 0.0.0.0         UG    0      0        0 eth0
192.168.0.0     0.0.0.0         255.255.254.0   U     0      0        0 eth2
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth1
217.x.x.x 0.0.0.0         255.255.255.252 U     0      0        0 eth0

i o ile się nie myle nie ma ustawionego rutingu między serwerami przez tunel

pingi nie idą, brak jakiegokolwiek ruchu

mógłby mi ktoś podpowiedzieć jak ruszyć dalej ?

z góry dzięki i pozdrawiam
K.

hello_world · 2013-12-29 17:09:52

Czy na firewallu masz przepuszczone porty:

Protocol: UDP, port 500 (for IKE, to manage encryption keys)
Protocol: UDP, port 4500 (for IPSEC NAT-Traversal mode)
Protocol: ESP, value 50 (for IPSEC)
Protocol: AH, value 51 (for IPSEC)

right = 195.x.x.x
rightsubnets= 77.252.1.9/32

Czy aby na pewno masz poprawną prawą stronę?

hipis666 · 2013-12-29 17:16:22

Witam,
firewall czysty po stronie debiana
a prawa strona ... mam do dyspozycji 5 adresów od .9-.13

i niby jest całość zestawiona ale ruchu nie ma ;(

Kod:

 iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
ACCEPT     all  --  192.168.100.0/24     anywhere

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

 iptables -L -t nat
Chain PREROUTING (policy ACCEPT)
target     prot opt source               destination

Chain INPUT (policy ACCEPT)
target     prot opt source               destination

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

Chain POSTROUTING (policy ACCEPT)
target     prot opt source               destination
MASQUERADE  all  --  192.168.100.0/24     anywhere

Ostatnio edytowany przez hipis666 (2013-12-29 17:23:22)

hello_world · 2013-12-29 17:24:16

Ale raczej powinienes podać zdalny adres routera Cisco (tu masz poprawnie) i podsieć prywatną do jakiej chcesz sie dostać. U ciebie widzę adres 77.252.1.9/32

hipis666 · 2013-12-29 17:40:33

z mojej strony jest cała podsieć z ich zostały przydzielone poszczególne hosty 77.252.1.9-13, inaczej tego w sumie zapisać nie idzie

Kod:

rightsubnets={77.252.1.9/32 77.252.1.10/32 77.252.1.11/32 77.252.1.12/32 77.252.1.13/32}

masz może chwilkę czasu i gg z chęcią bym to Ci opisał

hello_world · 2013-12-29 18:04:30

No rzeczywiście najbliżej do maski 29
Możesz spróbować dać 77.252.1.9/29

hipis666 · 2013-12-29 18:29:34

tak jak mam to opisane wyżej to działa
5 tuneli zestawionych do mojej podsieci
tylko nie wiem jak z tym rutingiem wykminić aby całość zaczęła gadać ze soba

Time (s)	Query
0.00010	SET CHARSET latin2
0.00004	SET NAMES latin2
0.00110	SELECT u., g., o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.149.214.223' WHERE u.id=1
0.00096	REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.149.214.223', 1732855833)
0.00053	SELECT * FROM punbb_online WHERE logged<1732855533
0.00074	SELECT topic_id FROM punbb_posts WHERE id=249769
0.00004	SELECT id FROM punbb_posts WHERE topic_id=24907 ORDER BY posted
0.00093	SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=24907 AND t.moved_to IS NULL
0.00005	SELECT search_for, replace_with FROM punbb_censoring
0.00252	SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=24907 ORDER BY p.id LIMIT 0,25
0.00082	UPDATE punbb_topics SET num_views=num_views+1 WHERE id=24907
Total query time: 0.00783 s

Forum Debian Users Gang

Ogłoszenie

#1 2013-12-29 16:36:30

hipis666 - Nowy użytkownik

openswan s2s

Kod:

Kod:

Kod:

Kod:

#2 2013-12-29 17:09:52

hello_world - Członek DUG

Re: openswan s2s

#3 2013-12-29 17:16:22

hipis666 - Nowy użytkownik

Re: openswan s2s

Kod:

#4 2013-12-29 17:24:16

hello_world - Członek DUG

Re: openswan s2s

#5 2013-12-29 17:40:33

hipis666 - Nowy użytkownik

Re: openswan s2s

Kod:

#6 2013-12-29 18:04:30

hello_world - Członek DUG

Re: openswan s2s

#7 2013-12-29 18:29:34

hipis666 - Nowy użytkownik

Re: openswan s2s

Stopka forum

Informacje debugowania