FreeS/WAN v tunelovem modu

Jan Kasprzak kas na informatics.muni.cz
Pondělí Prosinec 3 09:02:35 CET 2001 

	Zdravim,

	mam takovy problem s FreeS/WAN v tunelovem modu. Zapojeni je
zhruba nasledujici:

[eastnet]-----[sunrise]--[sunrisegw]--....--[sunsetgw]--[sunset]--[westnet]
10.0.0.0/24   10.0.0.1    1.2.3.2             4.5.6.2   10.0.1.1  10.0.1.0/24
              1.2.3.1                                   4.5.6.1

	Potrebuji udelat IPsec tunel mezi sunrise a sunset, a to tak,
aby zapouzdroval provoz mezi eastnet a westnet, ale i mezi samotnymi
sunset a sunrise. Pokud si v /etc/ipsec.conf zadefinuju spojeni
pomoci left=, right=, leftnexthop= a rightnexthop= (a verejnych klicu),
jsem schopen na sunrise dat "ping 4.5.6.1" a na sunrisegw vidim zasifrovany
provoz.

	Pokud pridam leftsubnet=10.0.0.0/24 a rightsubnet=10.0.1.0/24,
jsem schopen se dostat sifrovanym provozem z pocitace v eastnetu
na pocitac ve westnetu a naopak. Ovsem "ping 4.5.6.1" ze sunrise
jde nesifrovane (na sunrisegw lze videt) a "ping 10.0.1.1" ze sunrise
neprojde vubec. Tcpdump na sunrise na ipsec0 vidi odchozi packety,
ale na zadnem jinem interface sunrise videt nejsou.

	Nakonec jsem si pomohl tak, ze jsem v ipsec.conf zadefinoval
dve spojeni, jedno bez leftsubnet= a rightsubnet=, druhe s temito
parametry. Takto jsem schopen mit zasifrovany provoz mezi sunrise
a sunset, i mezi eastnet a westnet.

	Ovsem stale nefunguje "ping 10.0.1.1" ze sunrise. Po nekolika
hodinach experimentovani jsem nakonec zjistil, ze to zacne fungovat, kdyz
na sunrise zadam

ip route del 10.0.1.0/24
ip route add 10.0.1.0/24 src 10.0.0.1 dev ipsec0 via 1.2.3.2

(symetricky pokud budu chtit na sunset dosahnout funkcniho "ping 10.0.0.1",
budu tam muset spustit podobne prikazy).

	No a ted dotazy: 1. Uvedene reseni je ponekud krkolomne. Existuje
nejake jednodussi a systemovejsi? 2. Umi FreeS/WAN spoustet nejake
skripty po nahozeni rozhrani, abych tam mohl umistit prislusne
prikazy "ip route ..."?

	Diky,

-Y.

-- 
| Jan "Yenya" Kasprzak  <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839      Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/   Czech Linux Homepage: http://www.linux.cz/ |
Having your own personal custom language dialect might be tempting but it is
normally something only the lisp community do.                    (Alan Cox)

Další informace o konferenci Linux