IPSEC роутинг не ходит.

0

0

Есть host с linux и racoon, интерфейсы:
eth1: 192.168.1.254
eth0: 195.122.245.xxx
Виртуальный eth1:1 192.168.5.1
Есть удалённый роутер, между ними проброшен ipsec тунель 
192.168.10.0/24<->192.168.5.0/24, тунель поднимается, всё нормально.
Со стороны роутера если пинговать 192.168.5.1 - пинг есть, если на
 linux машине пинговать любой хост из 192.168.10.0/24 то пакеты 
уходят через defaultroute к провайдеру.=(

Конфиг ipsec-tools:
spdadd 192.168.5.0/24 192.168.10.0/24 any -P out ipsec 
esp/tunnel/195.122.245.xxx-89.175.23.xxx/require;

spdadd 192.168.10.0/24 192.168.5.0/24 any -P in ipsec
esp/tunnel/89.175.23.xxx-195.122.245.xxx/require;

С той же linux машиной у меня есть соединение из дома, дома то же 
linux  - похожая фигня, из дома есть доступ до 192.168.1.0/24 с 
сервера же ping  уходит на defaultroute. 

В чём дело? Или где можно почитать о более правильной настройке 
которая позволит избежать вышеописанной проблемы.

Ссылка

←	политика безопасности фирмы

Антивирус

→

Всё, разобрался в чём дело.

Zi
(13.05.08 20:55:13 MSD) автор топика

Ответ на: комментарий от Zi 13.05.08 20:55:13 MSD

Нет, нифига не разобрался. =( Не посылает хост пакеты, хоть убейся. С одной стороны всё ok, а обратно ни в какую. Шлёт через defaultroute и всё.

Zi
(13.05.08 21:37:31 MSD) автор топика

Ссылка

Была похожая ситуация, с одной стороны железяка, с другой линуховый сервер, пробрасываемые сетки маскарадные (192.168.xx/24). С железяки всё нормально, с сервера же пакеты уходили на дефолтроут. Обнаружилось (с помощью ip xfrm monitor), что правила отрабатывали на входящий трафик, на исходящий - глухо.

Оказалось, маскарадился исходящий трафик на железяку (то есть, src менялся на ip сервера ДО того, как отрабатывали ipsec'овские правила, правила не триггерились). С ракуном не сталкивался, на сервере стоял strongswan.

anonymous
(16.05.08 05:04:46 MSD)

Ответ на: комментарий от anonymous 16.05.08 05:04:46 MSD

Самое интересное, что пока racoon не запущен, а прописаны только правила setkey - всё нормально, пакеты пытаются уйти через ipsec. Запускаю racoon, устанавливается соединение, и всё. Прёт через defaultroute

Zi
(16.05.08 11:46:26 MSD) автор топика

Ответ на: комментарий от Zi 16.05.08 11:46:26 MSD

Скорее всего пакеты NATятся и не подходят под правила setkey. Посмотри чтобы не было в racoon.conf nаt.

anonymous
(16.05.08 12:20:03 MSD)

Ответ на: комментарий от Zi 16.05.08 11:46:26 MSD

Блин, я сейчас что-то сделал и оно работает. Боюсь перезагрузить racoon вдруг упадёт.=)

Zi
(16.05.08 12:40:04 MSD) автор топика

Ссылка

Ответ на: комментарий от anonymous 16.05.08 12:20:03 MSD

В описании remote есть нат но он для другого соединения. Я сейчас добавил правило iptables -t nat -I POSTROUTING -d 192.168.10.024 -j ACCEPT перезапустил racoon попробовал - идёт по defaultroute, попробовал ещё раз - пошло по нормальному.

Zi
(16.05.08 12:41:26 MSD) автор топика

Ответ на: комментарий от Zi 16.05.08 12:41:26 MSD

В чеклисте ( http://ipsec-tools.sourceforge.net/checklist.html )есть такая хрень:
ESP/ AH/ IPComp traffic is not NATed/ Masqueraded at gateway
if you do SNAT/ DNAT/ MASQUERADE on gateway, insert rules which allow to pass through protocols you intend to use (esp=50, ah=51) before rules with -j SNAT/ DNAT/ MASQUERADE.
iptables -t nat -I POSTROUTING 1 -p 50 -j ACCEPT

anonymous
(21.05.08 11:37:10 MSD)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	политика безопасности фирмы

Security

Антивирус

→

Похожие темы