Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2007-09-27 23:09:25

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

IPsec/OpenVPN

Mam do rozwiązania problem z IPsec. Skonfigurowałem sobie połączenie net-to-net. Połączenie jest zestawione. Wygląda to mniej więcej  tak. Robiłem wg receptury jak w linku.
[url=http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch35_:_Configuring_Linux_VPNs#How_to_get_Openswan_Started][img]http://www.linuxhomenetworking.com/wiki/images/f/f3/Freeswan.gif[/img][/url]

Po jednej stronie jest wszystko w porządku. Jak z prawej strony pinguję sieć po lewej stronie tunelu to jest ok. Na interfejsie zewnętrznym na lewym końcu tulnelu stwierdzam taki ruch:

Kod:

# tcpdump -v -i eth0 -n -p esp
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
22:46:36.087462 IP (tos 0x0, ttl  57, id 0, offset 0, flags [DF], length: 152) 89.79.xxx.xxx > 80.48.xxx.xxx: ESP(spi=0x16f8e3f7,seq=0x18c)
22:46:36.087734 IP (tos 0x0, ttl  64, id 51356, offset 0, flags [none], length: 152) 80.48.xxx.xxx > 89.79.xxx.xxx: ESP(spi=0xfc754b67,seq=0x504)

Kod:

# tcpdump -v -i eth0 -n -p icmp
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
22:46:22.091565 IP (tos 0x0, ttl  63, id 0, offset 0, flags [DF], length: 84) 192.168.22.127 > 192.168.0.10: icmp 64: echo request seq 6
22:46:23.088015 IP (tos 0x0, ttl  63, id 0, offset 0, flags [DF], length: 84) 192.168.22.127 > 192.168.0.10: icmp 64: echo request seq 7

Pakiety są dekodowane i dalej sobie idą tak jak powinny i pingi wracają. Natomiast kiedy pinguję z lewej strony prawą, to na zewnętrznym interfejsie na prawym końcu tunelu pojawiają się tylko pakiety esp, pakietów icmp już nie stwierdzam, no i pingi nie wracają.

Kod:

# tcpdump  -n -i dialog -p esp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on dialog, link-type EN10MB (Ethernet), capture size 96 bytes
22:56:45.139963 IP 80.48.xxx.xxx > 89.79.xxx.xxx: ESP(spi=0xfc75cf29,seq=0x7c3d0775), length 132
22:56:46.141805 IP 80.48.xxx.xxx > 89.79.xxx.xxx: ESP(spi=0xfc75cf29,seq=0x7c3d0776), length 132

Dodam, że politykę iptables na rozważanym interfejsie mam na ACCEPT.
Gdzie może leżeć błąd albo przyczyna?


[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]

Offline

 

#2  2007-09-27 23:15:01

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: IPsec/OpenVPN

U mnie to był lipny routing ... nawet nie tyle routing co lejm admin :)

-  urządzenia, które odpowiadały mi po jednej stronie miały wpisaną domyślną bramę , natomiest te które nie chciały w drugą stronę odpowadać (identyczna sytuacja jak u Ciebie) owej domyślnej bramy wpisanej nie miały :)


[url=http://www.netfix.pro]www.netfix.pro[/url]

Offline

 

#3  2007-09-27 23:52:18

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

Re: IPsec/OpenVPN

Analizowałem routing parę razy. Może coś jest nie tak. Tak wygląda na tej bramce, po której stronie jest cisza:

Kod:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.22.0    0.0.0.0         255.255.255.0   U     0      0        0 do_mnie
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 duzy
192.168.0.0     89.79.xxx.1     255.255.255.0   UG    0      0        0 dialog
89.79.xxx.0      0.0.0.0         255.255.255.0   U     0      0        0 dialog
0.0.0.0         89.79.xxx.1      0.0.0.0         UG    0      0        0 dialog

a tak na maszynie docelowej:

Kod:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.22.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.22.1    0.0.0.0         UG    0      0        0 eth0

Wydaje mi się, że jest dobrze, ale  o tej porze mam już zlasowane fałdy pod przykryciem


[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]

Offline

 

#4  2007-10-01 13:04:58

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

Re: IPsec/OpenVPN

Ostatecznie skonfigurowałem dostęp do sieci przez IPsec/L2TP. Jednak jest jeszcze, ostatnio popularne, rozwiązanie OpenVPN, bazowane na SSL. Jakie są Wasze opinie na temat obu technologii, którą stosujecie i dlaczego?


[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]

Offline

 

#5  2007-10-01 14:13:53

  kayo - Członek DUG

kayo
Członek DUG
Zarejestrowany: 2007-05-20

Re: IPsec/OpenVPN

Ostatecznie skonfigurowałem dostęp do sieci przez IPsec/L2TP. Jednak jest jeszcze, ostatnio popularne, rozwiązanie OpenVPN, bazowane na SSL. Jakie są Wasze opinie na temat obu technologii, którą stosujecie i dlaczego?[/quote]
Ja stosuje OpenVPN. Nie ma z nim żadnych problemów. Konfiguracja jest banalna.


Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com  gg #1046710

Offline

 

#6  2007-10-01 14:19:02

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

Re: IPsec/OpenVPN

To prawda. Tłukłem się sporo z konfiguracją openswan, ale za to sporo się nauczyłem. Teraz zabieram się za openvpn. Pewnie pójdzie mi dużo szybciej. Widzę, że nawet są dołączone skrypty do tworzenia certyfikatów.


[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]

Offline

 

#7  2007-10-01 14:41:51

  kayo - Członek DUG

kayo
Członek DUG
Zarejestrowany: 2007-05-20

Re: IPsec/OpenVPN

To prawda. Tłukłem się sporo z konfiguracją openswan, ale za to sporo się nauczyłem. Teraz zabieram się za openvpn. Pewnie pójdzie mi dużo szybciej. Widzę, że nawet są dołączone skrypty do tworzenia certyfikatów.[/quote]
Jeszcze prosciej jest gdy zrobisz to przy pomocy webmina... musisz tylko modul OpenVPN doinstalowac bo jest on jako niestandartowy.


Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com  gg #1046710

Offline

 

#8  2007-10-02 12:14:35

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

Re: IPsec/OpenVPN

Czy masz może jakiś szybki sposób na konfigurację klienta openvpn na windows, jak to robisz?


[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]

Offline

 

#9  2007-10-02 13:01:07

  kayo - Członek DUG

kayo
Członek DUG
Zarejestrowany: 2007-05-20

Re: IPsec/OpenVPN

Czy masz może jakiś szybki sposób na konfigurację klienta openvpn na windows, jak to robisz?[/quote]
[url=http://openvpn.net/howto.html#examples]Tutaj[/url] masz przyklady w architekturze klient-serwer. Ten dla klienta jest dostosowany do Windowsa. Dostosuj tego confa do swoich potrzeb. Później zmiany są naprawdę niewielkie. Czasami nawet ich brak (wystarczy dyrektywa 'duplicate-cn' w konfigu serwera).


Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com  gg #1046710

Offline

 

#10  2007-10-02 14:07:01

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

Re: IPsec/OpenVPN

Jeszcze jedno pytanko. W server.conf mam ustawione

server 10.8.0.0 255.255.255.0[/quote]
jednak pod windowsem wyskakuje ip interfejsu z maską podsieci 255.255.255.252. Jak rozumiem klient tworzy swoją małą podsieć?


[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]

Offline

 

#11  2007-10-02 14:41:32

  kayo - Członek DUG

kayo
Członek DUG
Zarejestrowany: 2007-05-20

Re: IPsec/OpenVPN

Jeszcze jedno pytanko. W server.conf mam ustawione

server 10.8.0.0 255.255.255.0[/quote]
jednak pod windowsem wyskakuje ip interfejsu z maską podsieci 255.255.255.252. Jak rozumiem klient tworzy swoją małą podsieć?[/quote]
Niestety jest to bolesne ograniczenie interfejsu OpenVPN pod windowsem.
w konsoli win po wpisaniu polecenia

Kod:

openvpn --show-valid-subnets

pokażą sie dostępne adresy.


Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com  gg #1046710

Offline

 

#12  2007-10-05 07:27:13

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

Re: IPsec/OpenVPN

A jak to jest z klientem na windows vista? Dział na tym systemie? Ja na razie nie mam dostępu do visty.


[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]

Offline

 

#13  2007-10-05 08:06:23

  kayo - Członek DUG

kayo
Członek DUG
Zarejestrowany: 2007-05-20

Re: IPsec/OpenVPN

Ja na razie nie mam dostępu do visty.[/quote] Na szczeście ja też nie


Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com  gg #1046710

Offline

 

#14  2007-10-28 18:48:42

  HunteR - DUG

HunteR
DUG
Skąd: ?
Zarejestrowany: 2006-03-14

Re: IPsec/OpenVPN

zrobiłem VPN według [url=http://marek.helion.pl/install/vpn-howto.html]opisu[/url] z współdzielonym kluczem
Mogę sie połączyć z nim bez problemu, mogę pingować koniec vpna na serwerze czyli u mnie 10.3.0.1(jak w opisie powyżej) mogę pingowac ip serwera na którym stoi vpn czyli 192.168.4.158, ale już NIE mogę pingować żądnego innego urządzenia w tej sieci. W konfigu na kliencie (WinXP) mam dodaną linię: [i]route 192.168.4.0 255.255.255.0[/i].
Konfigurował to ktoś i może mi pomóc z tym rutingiem.


...

Offline

 

#15  2007-10-28 20:40:46

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

Re: IPsec/OpenVPN

Należy postawić źródłowy nat na serwerze dla pakietów z sieci 10.3.0.0.
BTW. Fajne tytuły z tego howto: "generacja kluczy", "brigdowanie". :)


[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]

Offline

 

#16  2007-10-28 20:59:46

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: IPsec/OpenVPN

zrobiłem VPN według [url=http://marek.helion.pl/install/vpn-howto.html]opisu[/url] z współdzielonym kluczem
Mogę sie połączyć z nim bez problemu, mogę pingować koniec vpna na serwerze czyli u mnie 10.3.0.1(jak w opisie powyżej) mogę pingowac ip serwera na którym stoi vpn czyli 192.168.4.158, ale już NIE mogę pingować żądnego innego urządzenia w tej sieci. W konfigu na kliencie (WinXP) mam dodaną linię: [i]route 192.168.4.0 255.255.255.0[/i].
Konfigurował to ktoś i może mi pomóc z tym rutingiem.[/quote]

powinieneś [url=http://openvpn.net/howto.html#vpntype]tutaj [/url] rzucić okiem


Zarejestrowany użytkownik Linuksa #361563

Offline

 

#17  2007-10-28 21:02:32

  cthulhu - Członek DUG

cthulhu
Członek DUG
Skąd: Wrocław
Zarejestrowany: 2005-09-04

Re: IPsec/OpenVPN

ehh ja przenosilem vpna z jednego serwera na drugi, configi klucze i certyfikaty. teoretycznie chodzi, trzeba tylko troche poprawic gdzieniegdzie :P
z tego co mi mowili, nie routuje pakietow


[i][b][color=darkred]"Dlaczego zawsze wszyscy biegna w strone mrozacego krew w zylach krzyku?"[/color][/b][/i]
cthulhu@jid.dug.net.pl
i386@HPC6910p

Offline

 

#18  2007-10-31 14:11:37

  blink - Użytkownik

blink
Użytkownik
Zarejestrowany: 2007-01-10

Re: IPsec/OpenVPN

Ostatnio przyszło mi instalować OpenVPN na Viscie i muszę stwierdzić, że działa :) z openvpn'en jest tylko ten problem, że sieć z której wchodzisz nie może pokrywać się z siecią docelową np w pracy jako lan mamy 192.168.0.0/16 a w domu mam 192.168.0/28 i nie ma komunikacji :/ rozwiązaniem jest przejście którejś ze stron na inną klasę

Offline

 

#19  2007-10-31 15:38:22

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

Re: IPsec/OpenVPN

openvpn'en jest tylko ten problem, że sieć z której wchodzisz nie może pokrywać się z siecią docelową np w pracy jako lan mamy 192.168.0.0/16 a w domu mam 192.168.0/28 i nie ma komunikacji :/ rozwiązaniem jest przejście którejś ze stron na inną klasę[/quote]
To nie jest problem a logika. W manualu do openvpn o tym piszą. :)


[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)

[ Generated in 0.015 seconds, 11 queries executed ]

Informacje debugowania

Time (s) Query
0.00018 SET CHARSET latin2
0.00007 SET NAMES latin2
0.00148 SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.15.149.24' WHERE u.id=1
0.00089 REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.15.149.24', 1732850737)
0.00056 SELECT * FROM punbb_online WHERE logged<1732850437
0.00074 SELECT topic_id FROM punbb_posts WHERE id=72119
0.00007 SELECT id FROM punbb_posts WHERE topic_id=9222 ORDER BY posted
0.00077 SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=9222 AND t.moved_to IS NULL
0.00008 SELECT search_for, replace_with FROM punbb_censoring
0.00312 SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=9222 ORDER BY p.id LIMIT 0,25
0.00106 UPDATE punbb_topics SET num_views=num_views+1 WHERE id=9222
Total query time: 0.00902 s