FreeS/WAN v tunelovem modu
Jan Kasprzak
kas na informatics.muni.cz
Pondělí Prosinec 3 09:02:35 CET 2001
Zdravim,
mam takovy problem s FreeS/WAN v tunelovem modu. Zapojeni je
zhruba nasledujici:
[eastnet]-----[sunrise]--[sunrisegw]--....--[sunsetgw]--[sunset]--[westnet]
10.0.0.0/24 10.0.0.1 1.2.3.2 4.5.6.2 10.0.1.1 10.0.1.0/24
1.2.3.1 4.5.6.1
Potrebuji udelat IPsec tunel mezi sunrise a sunset, a to tak,
aby zapouzdroval provoz mezi eastnet a westnet, ale i mezi samotnymi
sunset a sunrise. Pokud si v /etc/ipsec.conf zadefinuju spojeni
pomoci left=, right=, leftnexthop= a rightnexthop= (a verejnych klicu),
jsem schopen na sunrise dat "ping 4.5.6.1" a na sunrisegw vidim zasifrovany
provoz.
Pokud pridam leftsubnet=10.0.0.0/24 a rightsubnet=10.0.1.0/24,
jsem schopen se dostat sifrovanym provozem z pocitace v eastnetu
na pocitac ve westnetu a naopak. Ovsem "ping 4.5.6.1" ze sunrise
jde nesifrovane (na sunrisegw lze videt) a "ping 10.0.1.1" ze sunrise
neprojde vubec. Tcpdump na sunrise na ipsec0 vidi odchozi packety,
ale na zadnem jinem interface sunrise videt nejsou.
Nakonec jsem si pomohl tak, ze jsem v ipsec.conf zadefinoval
dve spojeni, jedno bez leftsubnet= a rightsubnet=, druhe s temito
parametry. Takto jsem schopen mit zasifrovany provoz mezi sunrise
a sunset, i mezi eastnet a westnet.
Ovsem stale nefunguje "ping 10.0.1.1" ze sunrise. Po nekolika
hodinach experimentovani jsem nakonec zjistil, ze to zacne fungovat, kdyz
na sunrise zadam
ip route del 10.0.1.0/24
ip route add 10.0.1.0/24 src 10.0.0.1 dev ipsec0 via 1.2.3.2
(symetricky pokud budu chtit na sunset dosahnout funkcniho "ping 10.0.0.1",
budu tam muset spustit podobne prikazy).
No a ted dotazy: 1. Uvedene reseni je ponekud krkolomne. Existuje
nejake jednodussi a systemovejsi? 2. Umi FreeS/WAN spoustet nejake
skripty po nahozeni rozhrani, abych tam mohl umistit prislusne
prikazy "ip route ..."?
Diky,
-Y.
--
| Jan "Yenya" Kasprzak <kas at {fi.muni.cz - work | yenya.net - private}> |
| GPG: ID 1024/D3498839 Fingerprint 0D99A7FB206605D7 8B35FCDE05B18A5E |
| http://www.fi.muni.cz/~kas/ Czech Linux Homepage: http://www.linux.cz/ |
Having your own personal custom language dialect might be tempting but it is
normally something only the lisp community do. (Alan Cox)
Další informace o konferenci Linux