IPsec, FreesWan a Masquerade

Zdenek Kaminski xkaminsk na fi.muni.cz
Středa Červen 5 12:12:49 CEST 2002 

> > Michal Nosek wrote:
> >> conn usti
> >>         # Left security gateway, subnet behind it, next hop toward right.
> >>         type=tunnel
> >>         leftid=@ftp.dece.cz
> >>         leftrsasigkey=0x01039e........
> >>         left=194.108.41.196
> >>         leftsubnet=192.168.2.0/24
> >>         leftnexthop=194.108.41.193
> >>         # Right security gateway, subnet behind it, next hop toward left.
> >>         rightid=@serverul.dece.cz
> >>         rightrsasigkey=0sAQOZrABYa.........
> >>         right=194.212.56.198
> >>         rightsubnet=192.168.3.0/24
> >>         rightnexthop=194.212.56.197
> >>         # To authorize this connection, but not actually start it, at
> >>         # uncomment this.
> >>         auto=start
> > 

No, predpokladam, ze zkousite pingat ze "left" na "right", avsak na kterou
adresu? 194.212.56.198 nebo na 192.168.3.1 (ci jakou ma stroj right IP ve
vnitrni sit...)? Pokud na 194.212.56.198, tak to urcite nepujde
tunelem. Pokud na tu druhou, tj. pravdepodone 192.168.3.1, tak tipuji, ze
zdrojovou adresou toho paketu bude 194.108.41.196, 
nikoliv 192.168.2.1 (asi). Ale vy mate nadefinovany tunel pouze mezi
VNITRNIMI sitemi. Muzete poslat Vas vypis prikazu ip route na stroji
"left"? A taky vypis prikazu ipsec eroute?

Pravdepodobne v tom prvnim vypisu mate radek
192.168.3.0/24 via 194.108.41.193 dev ipsec0
ma tam vsak byt
192.168.3.0/24 via 194.108.41.193 dev ipsec0 src 192.168.2.1 (ci jaka je
vnitrni adresa toho stroje "left"...

A nebo zkousite pingat ze stroje "left" do stroje v rightsubnet a pak je
to tentyz pripad.

Pokud nejsem mimo misu, tak pri nahazovani tunelu musite toto zaridit,
tj. nadefinovat napr. vlastni updown skript, a to na obou stranach...

A nebo zkousite pinga ze stroje ve vnitrni siti na stroj v druhe vnitrni
siti a pak jsem s mimo misu...  Pak zkuste napsat dalsi podrobnosti. Z
ipsecem jsem si uzil. (Ze Yenyo?... :-)

---------------------------------------------------------------------------
Bc. Zdenek Kaminski <xkaminsk at fi.muni.cz>

homepage: http://www.fi.muni.cz/~xkaminsk/
IPv6 router homepage: http://merlot.ics.muni.cz/

Další informace o konferenci Linux