Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Mam do rozwiązania problem z IPsec. Skonfigurowałem sobie połączenie net-to-net. Połączenie jest zestawione. Wygląda to mniej więcej tak. Robiłem wg receptury jak w linku.
[url=http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch35_:_Configuring_Linux_VPNs#How_to_get_Openswan_Started][img]http://www.linuxhomenetworking.com/wiki/images/f/f3/Freeswan.gif[/img][/url]
Po jednej stronie jest wszystko w porządku. Jak z prawej strony pinguję sieć po lewej stronie tunelu to jest ok. Na interfejsie zewnętrznym na lewym końcu tulnelu stwierdzam taki ruch:
# tcpdump -v -i eth0 -n -p esp tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 22:46:36.087462 IP (tos 0x0, ttl 57, id 0, offset 0, flags [DF], length: 152) 89.79.xxx.xxx > 80.48.xxx.xxx: ESP(spi=0x16f8e3f7,seq=0x18c) 22:46:36.087734 IP (tos 0x0, ttl 64, id 51356, offset 0, flags [none], length: 152) 80.48.xxx.xxx > 89.79.xxx.xxx: ESP(spi=0xfc754b67,seq=0x504)
# tcpdump -v -i eth0 -n -p icmp tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes 22:46:22.091565 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], length: 84) 192.168.22.127 > 192.168.0.10: icmp 64: echo request seq 6 22:46:23.088015 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], length: 84) 192.168.22.127 > 192.168.0.10: icmp 64: echo request seq 7
Pakiety są dekodowane i dalej sobie idą tak jak powinny i pingi wracają. Natomiast kiedy pinguję z lewej strony prawą, to na zewnętrznym interfejsie na prawym końcu tunelu pojawiają się tylko pakiety esp, pakietów icmp już nie stwierdzam, no i pingi nie wracają.
# tcpdump -n -i dialog -p esp tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on dialog, link-type EN10MB (Ethernet), capture size 96 bytes 22:56:45.139963 IP 80.48.xxx.xxx > 89.79.xxx.xxx: ESP(spi=0xfc75cf29,seq=0x7c3d0775), length 132 22:56:46.141805 IP 80.48.xxx.xxx > 89.79.xxx.xxx: ESP(spi=0xfc75cf29,seq=0x7c3d0776), length 132
Dodam, że politykę iptables na rozważanym interfejsie mam na ACCEPT.
Gdzie może leżeć błąd albo przyczyna?
Offline
U mnie to był lipny routing ... nawet nie tyle routing co lejm admin :)
- urządzenia, które odpowiadały mi po jednej stronie miały wpisaną domyślną bramę , natomiest te które nie chciały w drugą stronę odpowadać (identyczna sytuacja jak u Ciebie) owej domyślnej bramy wpisanej nie miały :)
Offline
Analizowałem routing parę razy. Może coś jest nie tak. Tak wygląda na tej bramce, po której stronie jest cisza:
Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.22.0 0.0.0.0 255.255.255.0 U 0 0 0 do_mnie 192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 duzy 192.168.0.0 89.79.xxx.1 255.255.255.0 UG 0 0 0 dialog 89.79.xxx.0 0.0.0.0 255.255.255.0 U 0 0 0 dialog 0.0.0.0 89.79.xxx.1 0.0.0.0 UG 0 0 0 dialog
a tak na maszynie docelowej:
Destination Gateway Genmask Flags Metric Ref Use Iface 192.168.22.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0 0.0.0.0 192.168.22.1 0.0.0.0 UG 0 0 0 eth0
Wydaje mi się, że jest dobrze, ale o tej porze mam już zlasowane fałdy pod przykryciem
Offline
Ostatecznie skonfigurowałem dostęp do sieci przez IPsec/L2TP. Jednak jest jeszcze, ostatnio popularne, rozwiązanie OpenVPN, bazowane na SSL. Jakie są Wasze opinie na temat obu technologii, którą stosujecie i dlaczego?
Offline
Ostatecznie skonfigurowałem dostęp do sieci przez IPsec/L2TP. Jednak jest jeszcze, ostatnio popularne, rozwiązanie OpenVPN, bazowane na SSL. Jakie są Wasze opinie na temat obu technologii, którą stosujecie i dlaczego?[/quote]
Ja stosuje OpenVPN. Nie ma z nim żadnych problemów. Konfiguracja jest banalna.
Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com gg #1046710
Offline
To prawda. Tłukłem się sporo z konfiguracją openswan, ale za to sporo się nauczyłem. Teraz zabieram się za openvpn. Pewnie pójdzie mi dużo szybciej. Widzę, że nawet są dołączone skrypty do tworzenia certyfikatów.
Offline
To prawda. Tłukłem się sporo z konfiguracją openswan, ale za to sporo się nauczyłem. Teraz zabieram się za openvpn. Pewnie pójdzie mi dużo szybciej. Widzę, że nawet są dołączone skrypty do tworzenia certyfikatów.[/quote]
Jeszcze prosciej jest gdy zrobisz to przy pomocy webmina... musisz tylko modul OpenVPN doinstalowac bo jest on jako niestandartowy.
Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com gg #1046710
Offline
Czy masz może jakiś szybki sposób na konfigurację klienta openvpn na windows, jak to robisz?
Offline
Czy masz może jakiś szybki sposób na konfigurację klienta openvpn na windows, jak to robisz?[/quote]
[url=http://openvpn.net/howto.html#examples]Tutaj[/url] masz przyklady w architekturze klient-serwer. Ten dla klienta jest dostosowany do Windowsa. Dostosuj tego confa do swoich potrzeb. Później zmiany są naprawdę niewielkie. Czasami nawet ich brak (wystarczy dyrektywa 'duplicate-cn' w konfigu serwera).
Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com gg #1046710
Offline
Jeszcze jedno pytanko. W server.conf mam ustawione
server 10.8.0.0 255.255.255.0[/quote]
jednak pod windowsem wyskakuje ip interfejsu z maską podsieci 255.255.255.252. Jak rozumiem klient tworzy swoją małą podsieć?
[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]
Offline
Jeszcze jedno pytanko. W server.conf mam ustawione
server 10.8.0.0 255.255.255.0[/quote]
jednak pod windowsem wyskakuje ip interfejsu z maską podsieci 255.255.255.252. Jak rozumiem klient tworzy swoją małą podsieć?[/quote]
Niestety jest to bolesne ograniczenie interfejsu OpenVPN pod windowsem.
w konsoli win po wpisaniu poleceniaKod:
openvpn --show-valid-subnetspokażą sie dostępne adresy.
Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com gg #1046710Offline
A jak to jest z klientem na windows vista? Dział na tym systemie? Ja na razie nie mam dostępu do visty.
Offline
Ja na razie nie mam dostępu do visty.[/quote] Na szczeście ja też nie
Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com gg #1046710
Offline
zrobiłem VPN według [url=http://marek.helion.pl/install/vpn-howto.html]opisu[/url] z współdzielonym kluczem
Mogę sie połączyć z nim bez problemu, mogę pingować koniec vpna na serwerze czyli u mnie 10.3.0.1(jak w opisie powyżej) mogę pingowac ip serwera na którym stoi vpn czyli 192.168.4.158, ale już NIE mogę pingować żądnego innego urządzenia w tej sieci. W konfigu na kliencie (WinXP) mam dodaną linię: [i]route 192.168.4.0 255.255.255.0[/i].
Konfigurował to ktoś i może mi pomóc z tym rutingiem.
Offline
Należy postawić źródłowy nat na serwerze dla pakietów z sieci 10.3.0.0.
BTW. Fajne tytuły z tego howto: "generacja kluczy", "brigdowanie". :)
Offline
zrobiłem VPN według [url=http://marek.helion.pl/install/vpn-howto.html]opisu[/url] z współdzielonym kluczem
Mogę sie połączyć z nim bez problemu, mogę pingować koniec vpna na serwerze czyli u mnie 10.3.0.1(jak w opisie powyżej) mogę pingowac ip serwera na którym stoi vpn czyli 192.168.4.158, ale już NIE mogę pingować żądnego innego urządzenia w tej sieci. W konfigu na kliencie (WinXP) mam dodaną linię: [i]route 192.168.4.0 255.255.255.0[/i].
Konfigurował to ktoś i może mi pomóc z tym rutingiem.[/quote]
powinieneś [url=http://openvpn.net/howto.html#vpntype]tutaj [/url] rzucić okiem
Zarejestrowany użytkownik Linuksa #361563
Offline
ehh ja przenosilem vpna z jednego serwera na drugi, configi klucze i certyfikaty. teoretycznie chodzi, trzeba tylko troche poprawic gdzieniegdzie :P
z tego co mi mowili, nie routuje pakietow
Offline
Ostatnio przyszło mi instalować OpenVPN na Viscie i muszę stwierdzić, że działa :) z openvpn'en jest tylko ten problem, że sieć z której wchodzisz nie może pokrywać się z siecią docelową np w pracy jako lan mamy 192.168.0.0/16 a w domu mam 192.168.0/28 i nie ma komunikacji :/ rozwiązaniem jest przejście którejś ze stron na inną klasę
Offline
openvpn'en jest tylko ten problem, że sieć z której wchodzisz nie może pokrywać się z siecią docelową np w pracy jako lan mamy 192.168.0.0/16 a w domu mam 192.168.0/28 i nie ma komunikacji :/ rozwiązaniem jest przejście którejś ze stron na inną klasę[/quote]
To nie jest problem a logika. W manualu do openvpn o tym piszą. :)
[url=http://www.debian.org/][img]http://www.debian.org/logos/openlogo-nd-50.png[/img][/url]
Offline
Time (s) | Query |
---|---|
0.00018 | SET CHARSET latin2 |
0.00007 | SET NAMES latin2 |
0.00148 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.15.149.24' WHERE u.id=1 |
0.00089 | REPLACE INTO punbb_online (user_id, ident, logged) VALUES(1, '3.15.149.24', 1732850737) |
0.00056 | SELECT * FROM punbb_online WHERE logged<1732850437 |
0.00074 | SELECT topic_id FROM punbb_posts WHERE id=72119 |
0.00007 | SELECT id FROM punbb_posts WHERE topic_id=9222 ORDER BY posted |
0.00077 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=9222 AND t.moved_to IS NULL |
0.00008 | SELECT search_for, replace_with FROM punbb_censoring |
0.00312 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=9222 ORDER BY p.id LIMIT 0,25 |
0.00106 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=9222 |
Total query time: 0.00902 s |