LINUX.ORG.RU

Проблема с VPN, не маршрутизируются пакеты, CheckPoint

 , ,


0

1

Вот и меня коснулась проблема с VPN. Вводная - есть сервер, который шлюз из офиса в сеть. Есть контейнер на lxc, на котором развёрнута относительно древняя версия дебиана (7), под которым запщен сервер ike. В пакетах он так и зовётся - ike. Этот ike соединяется к другому серваку (CheckPoint) и получает интерфейс tap0, IP и маршруты до той сети. В общем, с самой виртуалки всё ОК. Всё пингуется. Теперь на сервере, который шлюз, хотим маршрутизоваться в нужные нам сети через эту виртуалку. Делаем на виртуалке ip_forward и маскарад при прохождении на tap0. На маршрутизаторе прописываем маршрут до IP (который на tap0 на виртуалке) через виртуалку. Пробуем пинговать. И не работает. :( Если я создают какой-нибудь br0 в виртуалке, задаю ему какой-нибудь адрес и на маршрутизаторе задаю маршрут на этот адрес через виртуалку, то всё пингуется и работает. А с чекпоинтом - нет. Ещё на tap0 получается MTU 1380, но, я так понимаю, именно для данного тестового случая роли не играет. Хотя пробовал и iptables'ами сгладить различия MTU. Кто сталкивался с подобной проблемой? Те же действия с OpenVPN я проделывал и не раз и всё ок. А тут хз что.

Сходу, не очень понял, зачем тебе это:

Теперь на сервере, который шлюз, хотим маршрутизоваться в нужные нам сети через эту виртуалку.

Ну и маршрутизируйся. Зачем тебе NAT? У тебя нет возможности на другом конце прописать маршруты чтоль?

Но вообще, в целом, есть мнение, что в lxc, такие довольно низкоуровневые вещи как ipsec гонять не стоит.

DALDON ★★★★★ ()
Последнее исправление: DALDON (всего исправлений: 1)
Ответ на: комментарий от DALDON

У меня на том конце контроля нет. Поэтому. Ну так через lxc openvpn то гонится нормально. Проблема только с ipsec. Или он ещё более низкоуровневый?

turtle_bazon ★★★ ()
Ответ на: комментарий от turtle_bazon

По идее, да. Он вполне вероятно более низкоуровневый. Ну и вообще tap... А всякие /proc/sys/net/ipv4/conf/all/rp_filter - не могут тебе мешать? Посмотри на всякий случай.

DALDON ★★★★★ ()

Если это Check Point, то вероятнее всего твои сети, которые ты хочешь маршрутизировать в туннель до Check Point-a должны быть описаны в топологии твоего шлюза, который другой админ завёл на СР как Externally Managed Gateway, т.е. надо чтобы тот админ сделал следующее:In the Topology page, define the Topology and the VPN Domain using the VPN Domain information obtained from the peer administrator. If the VPN Domain does not contain all the IP addresses behind the Security Gateway, define the VPN domain manually by defining a group or network of machines and setting them as the VPN Domain.

Ну и попроси у него логи с SmartView Tracker-a.

hoggor ()
Ответ на: комментарий от DALDON

tap точно не мешает. Потому что таким же макаром созданный openvpn вполне себе работает. Впрочем, попробую на реальной железке.

turtle_bazon ★★★ ()
Последнее исправление: turtle_bazon (всего исправлений: 1)
Ответ на: комментарий от hoggor

Дык я не хочу соединить сети. Я хочу в одну сторону шлюзоваться посредством NAT. А он у меня даже не хочет локальный IP пинговать, который на этом компе клиентом получен.

turtle_bazon ★★★ ()
Ответ на: комментарий от turtle_bazon

ipsec это не udp/tcp, a protocol 50 если мне память не изменяет, загугли.

sdio ★★★★★ ()
Ответ на: комментарий от turtle_bazon

А ты не гадай, включи логирование.

echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

DALDON ★★★★★ ()
Ответ на: комментарий от DALDON

В логах пусто. Буду подымать на реальной железке. О результатах отпишусь.

turtle_bazon ★★★ ()
Ответ на: комментарий от sdio

С некоторых пор пользуюсь duckduckgo, но не суть. Почитал. Протокол 50 такой же отдельный, как tcp/udp и icmp. Но у меня даже icmp не ходит. Причём не ходит он на ту же машину на интерфейс, который поднят и IP, который локально имеется. Т.е. localhost и этот IP в данном случае это одна и та же сущность. Только разные интерфейсы.

turtle_bazon ★★★ ()

Что у вас за демон ike такой? В debian-пакетах не нашел. Это racoon? IPsec работает несколько иначе, нежели привычный вам OpenVPN. Я не знаю про racoon, и, вероятно, KLIPS, который предположительно у вас используется, но с обычным ядровым IPsec (netkey) новых интерфейсов не создается, и маршрутизация вся идет через тот интерфейс, который смотрит в другую сторону, только сразу шифруется.

Используйте ip xfrm для просмотра установленных соединений.

ValdikSS ★★★★ ()
Ответ на: комментарий от ValdikSS

В 8-ке дебиана есть. Это shrew soft. Так создаётся tap0. За hint спасибо. Гляну.

turtle_bazon ★★★ ()
Последнее исправление: turtle_bazon (всего исправлений: 1)
Ответ на: комментарий от DALDON

Не работает на реальной железке. Вообще, у ipsec с nat проблемы, как я почитал. Как при использовании ipsec over nat, так и при использовании nat over ipsec.

turtle_bazon ★★★ ()
Ответ на: комментарий от turtle_bazon

Да, ipsec делали тогда, когда NAT не был так широко распространён.

DALDON ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.