LINUX.ORG.RU
ФорумAdmin

routing traffic

 , , , ,


0

1

Всем привет. Помогите разобраться в маршрутизации трафика, а именно:

Есть сервер на нем поднять ipsec(Strongswan) в другой офис. С сервера видна сеть второго офиса. ipsec.conf

conn 1-to-2
        authby=secret
        left=%defaultroute
        leftid=212.42.76.154
        leftsubnet=10.10.1.2/24
        right=78.129.180.102
        rightsubnet=10.10.2.1/24
        ike=aes256-sha256-modp1024!
        esp=aes256-sha256!
        keyingtries=0
        ikelifetime=1h
        lifetime=8h
        dpddelay=30
        dpdtimeout=120
        dpdaction=restart
        auto=start
Поднял еще на этом сервере openvpn(10.10.3.0/24), все работает и сеть за сервером видна(10.10.1.0/24). А вот сеть во втором офисе нет. Собствено вопрос, как пробросить маршруты что бы с 10.10.3.0/24 ==> 10.10.2.0/24

Заранее спасибо.


leftsubnet=10.10.1.2/24
rightsubnet=10.10.2.1/24

Что-то странное вижу я в четвертом октете.

Используйте ikev2 keyexchange=ikev2 и сети в leftsubnet/rightsubnet через запятую типа

leftsubnet=10.10.1.0/24,10.10.3.0/24
И в openvpn не забудьте добавить пуш маршрутов

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

В openvpn пушнул, и маршнрут появился на сервере... но пингы с VPN клиентов не проходят на удаленный офис...

10.10.2.0      10.10.1.2     255.255.255.0   UG    0      0        0 eth2

Но если стать tcpdump то трафик приходит но не уходит...

Nolfik ()
Ответ на: комментарий от Nolfik

В openvpn пушнул

Сначала первое что я написал, ikev2 и прописать сети на двух сторонах.
Про ovpn это не более чем напоминание было.
ЗЫ
Если у вас strongswan не юзерспейсный (надеюсь что оно так), то забудьте про команды route, ip r s и т.п. ip xfrm покажет.

anc ★★★★★ ()
Ответ на: комментарий от anc

Поменял:

conn 1-to-2
        authby=secret
        left=%defaultroute
        leftid=212.42.76.154
        leftsubnet=10.10.1.0/24,10.10.3.0/24
        right=78.129.180.102
        rightsubnet=10.10.2.0/24,10.10.3.0/24
        ike=aes256-sha256-modp1024!
        esp=aes256-sha256!
        keyingtries=0
        keyexchange=ikev2
        ikelifetime=1h
        lifetime=8h
        dpddelay=30
        dpdtimeout=120
        dpdaction=restart
        auto=start

ip xfrm policy show

src 10.10.1.0/24 dst 10.10.2.0/24 
	dir out priority 375423 
	tmpl src 212.42.76.154 dst 78.129.180.102
		proto esp spi 0xc92caf7a reqid 1 mode tunnel
src 10.10.2.0/24 dst 10.10.1.0/24 
	dir fwd priority 375423 
	tmpl src 78.129.180.102 dst 212.42.76.154
		proto esp reqid 1 mode tunnel
src 10.10.2.0/24 dst 10.10.1.0/24
	dir in priority 375423 
	tmpl src 78.129.180.102 dst 212.42.76.154
		proto esp reqid 1 mode tunnel
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket out priority 0 
src ::/0 dst ::/0 
	socket in priority 0 
src ::/0 dst ::/0 
	socket out priority 0 
src ::/0 dst ::/0 
	socket in priority 0 
src ::/0 dst ::/0 
	socket out priority 0 

ip xfrm state show

src 212.42.76.154 dst 78.129.180.102
	proto esp spi 0xc92caf7a reqid 1 mode tunnel
	replay-window 0 flag af-unspec
	auth-trunc hmac(sha256) 0x9d50585770c274990eaa3b06be3c0cce2c36bb69fc8809e4826af581dd277111 128
	enc cbc(aes) 0x6311498830161c3962e69b3702dc3a8dbbec11e0458bd9bbaf87428fa2cc9aa3
	anti-replay context: seq 0x0, oseq 0x4, bitmap 0x00000000
src 78.129.180.102 dst 212.42.76.154
	proto esp spi 0xc64b79b4 reqid 1 mode tunnel
	replay-window 32 flag af-unspec
	auth-trunc hmac(sha256) 0xc06a1343de5b1164c3d21409c90db10c5d38f7e66923223e97b9564ba552c089 128
	enc cbc(aes) 0xbf253d0c363b01638c648bec86c4d0ec2a5e405683c0196e9eeb22927d1c08f8
	anti-replay context: seq 0x4, oseq 0x0, bitmap 0x0000000f

Nolfik ()
Ответ на: комментарий от Nolfik
        leftsubnet=10.10.1.0/24,10.10.3.0/24
        rightsubnet=10.10.2.0/24,10.10.3.0/24


Видимо не правильно пояснил. На обеих сторонах, это значит на сервере1 и на сервере2. А не как вы сделали и left/right на одном. :)
Смотрите, предположим на сервер1 есть две сети 10.10.1.0/24,10.10.3.0/24 и мы назвали его left. Тут важно понимать, для ipsec нет понятия удаленный или локальный. Так вот локальный мы посчитали left. Значит прописываем

leftsubnet=10.10.1.0/24,10.10.3.0/24
rightsubnet=10.10.2.0/24
тем самым мы указываем что с нашей стороны есть сети 10.10.1.0/24,10.10.3.0/24 а с другой стороны сеть 10.10.2.0/24
На сервер2 прописывает с точностью до наоборот. Опять обращаю внимание, нет понятие локальный/удаленный что посчитали на left или right то и будет. Что бы было понятнее, в вашем случае определение left/right это leftid/rightid

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Сглупил))) Все поправил, на обеих сторонах... С одной стороны 1 сеть, в другой добавил все что нужны... Но почему то не проходят пингы с сервера... Когда возвращаю только одну сеть, пингы проходят... Подскажите в какую сторону смотреть? P.s. Небольшое уточнение, с одной стороны PFsense, а с другой Ubuntu.

Nolfik ()
Ответ на: комментарий от Nolfik

К сожалению фряху давно не трогал. Но попробуем разобраться.
1. С обеих сторон strongswan одной версии?
2. Что говорит ip xfrm policy хотя бы на ubuntu?
3. И теперь самое тяжелое, что говорят логи при подключении? (Я в курсе что у *swan их разбор требует тяжелых веществ, так что закупайтесь заранее :) Однако базовые вещи можно увидеть достаточно легко)

anc ★★★★★ ()
Ответ на: комментарий от anc

1. ipsec version

Linux strongSwan U5.6.2/K4.15.0-47-generic
&
FreeBSD strongSwan U5.7.1/K11.2-RELEASE-p3

2. ip xfrm policy

src 10.10.4.0/24 dst 10.10.2.0/24 
	dir out priority 375423 
	tmpl src 212.42.76.154 dst 78.129.180.102
		proto esp spi 0xc1cefb64 reqid 1 mode tunnel
src 10.10.2.0/24 dst 10.10.4.0/24 
	dir fwd priority 375423 
	tmpl src 78.129.180.102 dst 212.42.76.154
		proto esp reqid 1 mode tunnel
src 10.10.2.0/24 dst 10.10.4.0/24 
	dir in priority 375423 
	tmpl src 78.129.180.102 dst 212.42.76.154
		proto esp reqid 1 mode tunnel
src 10.10.1.0/24 dst 10.10.2.0/24 
	dir out priority 375423 
	tmpl src 212.42.76.154 dst 78.129.180.102
		proto esp spi 0xc1cefb64 reqid 1 mode tunnel
src 10.10.2.0/24 dst 10.10.1.0/24 
	dir fwd priority 375423 
	tmpl src 78.129.180.102 dst 212.42.76.154
		proto esp reqid 1 mode tunnel
src 10.10.2.0/24 dst 10.10.1.0/24 
	dir in priority 375423 
	tmpl src 78.129.180.102 dst 212.42.76.154
		proto esp reqid 1 mode tunnel
src 10.10.3.0/24 dst 10.10.2.0/24 
	dir out priority 376447 
	tmpl src 212.42.76.154 dst 78.129.180.102
		proto esp spi 0xc1cefb64 reqid 1 mode tunnel
src 10.10.2.0/24 dst 10.10.3.0/24 
	dir fwd priority 376447 
	tmpl src 78.129.180.102 dst 212.42.76.154
		proto esp reqid 1 mode tunnel
src 10.10.2.0/24 dst 10.10.3.0/24 
	dir in priority 376447 
	tmpl src 78.129.180.102 dst 212.42.76.154
		proto esp reqid 1 mode tunnel
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket out priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket in priority 0 
src 0.0.0.0/0 dst 0.0.0.0/0 
	socket out priority 0 
src ::/0 dst ::/0 
	socket in priority 0 
src ::/0 dst ::/0 
	socket out priority 0 
src ::/0 dst ::/0 
	socket in priority 0 
src ::/0 dst ::/0 
	socket out priority 0

3. Да логи еще те, но все же соединения устанавливает и не рвет... с PFsense пингы проходят но на сервер только, в сеть за сервером нет. С Ububtu вообще не проходят пингы...

Nolfik ()
Ответ на: комментарий от Nolfik

с PFsense пингы проходят но на сервер только, в сеть за сервером нет. С Ububtu вообще не проходят пингы...

Пока быстрый ответ, ааа не в fw ли дело? Если как вы написали с одной стороны идет а с другой нет, обычно это первое на что стоит смотреть.

anc ★★★★★ ()
Ответ на: комментарий от anc

Проверял, там все ок... Меня другое смущает, почему когда одна локальная сеть, все ок... добавлю еще одну или 2 не важно... не работает...

Nolfik ()
Ответ на: комментарий от Nolfik

Исходящий и входящий ip может быть другим. Поэтому я бы еще раз посмотрел на fw. Точнее точно начал с него.
Простите это опять «быстрый ответ». Чуть позже подумаю что еще предположить возможно. strongswan мне самому за последнии месяцы несколько раз преподнес «обычные» для него сюрпризы. Но лучше исключить его «сюрпризы» до дальнейшей разборки.

anc ★★★★★ ()
Ответ на: комментарий от Nolfik

Давайте посмотрим tcpdump запущенный на двух сторонах при пинге, и два варианта:
1. с PFsense
2. с Ubuntu
Большей диагностики в голову не приходит.

anc ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.