---- ---- ---- ----
|1 |-------|2 |__ipsec0___| 3|----| 4|
| | | | | | | |
---- ---- ---- ----
|
| ---- ----
| | 5| | 6|
|___ipsec1___| |----| |
---- ----
1 - linuxos gep
2 - linuxos tuzfal
3 - Cisco router
4 - valamilyen gep
5 - feltehetoen linuxos tuzfal
6 - valamilyen gep
Az 1-es gep a 192.168.0.0/16-os haloban van. A 4-es es a 6-os gep
nem ugyanabban a halozatban van, teljesen eltero C osztalyu
cimeik vannak, csakugy, mint a 3-as es az 5-os gepnek is. Tehat
nincs atfedes routing szempontbol egyik iranyba sem (a /24 miatt
ez eleg egyertelmuen latszik).
A 2-es gep SNAT-ot csinal mindket ipsec iranyaba. A 4-es gep fele
123.36.97.2 cimet "mutat", a 6-os gep fele pedig a 100.100.32.23
cimet. Az ipsec0 az eth1:4-re van felhuzva, az ipsec1 az
eth1:1-re.
Ha az 1-es geprol inditok egy pinget a 4-es gepre, akkor gond
nelkul mukodik, az 1-es gepen visszakapom a valaszt. Ha az 1-es
geprol a 6-os gepre inditok egy telnetet (csak az 1521-es port
valaszol azon a gepen, azert kell a telnet), akkor kimegy a
csomag az ipsec1 interfeszen, azonban a visszafele jovo
csomagokat az ipsec0 interfeszen latom, es nem is jutnak vissza
az 1-es gephez. A tcpdump-ban - amikor az ipsec0 interfeszen
mennek az ipsec1-ben visszaerkezo csomagok - azt a cimet latom,
amire a 2-es gep SNAT-olja az 1-es gepet a 6-s gep fele meno
forgalom eseten, tehat a 100.100.32.23 cimet.
A tcpdump a 2-es gepen fut, csak ehhez, es az 1-es gephez ferek
hozza.
Ha felcserelem a ket kapcsolatot, es a fenti ipsec1-bol csinalok
ipsec0-t a konfigban, akkor a telnet mukodik jol, es a visszajovo
icmp csomagokat latom rossz helyen.
Probaltam iptables-szel logoltatni a csomagokat, amelyek kimennek
az interfeszeken (siman igy:
-A FORWARD -o ipsec0 -j LOG --log-prefix "ipsec0 kimeno: " )
azonban a visszatero (es rossz iranyba meno) csomagokat nem
logolja az iptables. Ebbol ugy erzem, hogy mark-ot sem tudna ra
tenni, hogy az alapjan csinaljak routing dontest az ip parancs
segitsegevel.
A google-ben ezt talaltam, mint hasonlo problemat, de sajnos
megoldast nem leltem:
http://bugs.xelerance.com/view.php?id=540
A 2-es gepen Debian Etch van, jelenleg gyari kernellel es gyari
csomagokkal, tehat linux-image-2.6.18-6-686 es openswan
2.4.6+dfsg.2-1.1+etch1.
Mit kellene meg elolvasnom, hogy megoldhassam a problemat?
--
Udvozlettel
Zsiga
_______________________________________________
linux++ mailing list
lin...@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux++
probaltad ugy, hogy nem NAT-olsz ??
ugyanis:
http://wiki.openswan.org/index.php/Openswan/Configure
van benne egy olyan bejegyzes, hogy:
"Do not MASQ or NAT packets to be tunneled"
Misi
NAT nelkul hogyan csinaljam meg, hogy a 192.168.0.23-as IP cimu
geprol kimeno csomagok az ipsec0-n 123.36.97.2 cimmel, az
ipsec1-en 100.100.32.23 cimmel latszodjanak?
--
Udvozlettel
Zsiga
--
dp
_______________________________________________
Hasonlóval én is találkoztam már, ipsec1-en küldött csomagok válaszát a
tcpdumpban az ipsec0-on kaptam meg, ezzel együtt a kapcsolat működött.
Betudtam annak, hogy vagy a tcpdump vagy valaki más meghülyült.
--
--- Friczy ---
'Death is not a bug, it's a feature'
ha ez a feladat, akkor persze nem tudod elkerulni, de egy probat meger...
nekem regebben voltak ebbol gondjaim, de azota sokat valtozott a vilag :)
Misi
Yes-re van allitva az ipsec.conf fajlban a nat_traversal.
--
Udvozlettel
Zsiga
Meg probat sem tudok csinalni, mert a tuloldalon levo gepek csak
azokrol a cimekrol erkezo csomagokra valaszolnak, amik fentebb
lathatoak.
--
Udvozlettel
Zsiga
Esetleg kernel- es openswan verziot tudnal mondani? Ugyanis nekem
nem mukodik :(
--
Udvozlettel
Zsiga
> valaszol azon a gepen, azert kell a telnet), akkor kimegy a
> csomag az ipsec1 interfeszen, azonban a visszafele jovo
> csomagokat az ipsec0 interfeszen latom, es nem is jutnak vissza
> az 1-es gephez.
Jellegzetes linux tunet, keverednek a virtualis interface-ek forgalmai,
downgrade 2.4-re vagy ket halokartya, vagy migracio valami oprendszerre.
--
Gabor HALASZ <hala...@freemail.hu>
Majd utánanézek, ugyanis az a cucc benn van a munkahelyen. De majd
holnap megírom magánemailben.
--
--- Friczy ---
'Death is not a bug, it's a feature'
s/linux/openswan/g
nativ ipsec tamogatas nem opcio?
--
Bazsi
--
Gabor HALASZ <hala...@freemail.hu>
Nem zarkozom el semmitol, de nincs tapasztalatom vele, es nincs
sok lehetoseg a kiserletezesre. Van valami doksi, amit el kellene
olvasnom a temaval kapcsolatban?
--
Udvozlettel
Zsiga
--
Gabor HALASZ <hala...@freemail.hu>
Nagy koszonet Bazsinak a telefonos segitsegert! Meg finomitanom
kell a csomagszuro szabalyokon, de mukodik a dolog.