VPN spojeni

Zdenek SUTR Kaminski sutr na nms12.prago.net
Pátek Prosinec 5 17:39:25 CET 2003


On Fri, 5 Dec 2003, Jan Nováček wrote:

> 
> PC1                                                  PC3
> |                                                     |
> |                                                     |
> router1 -----internet-----router2-----internet-----router3
>                              |
>                              |
>                             PC2
>  
> mezi router1 a router2 VPN pomoci freeswan
> mezi router2 a router3 VPN pomoci GRE
> 
> PC1 projde ping na PC2
> PC2 projde ping na PC1
> 
> PC2 projde ping na PC3
> PC3 projde ping na PC2
> 
> PC1 se NEpingne na PC3
> PC3 se NEpingne na PC1
> 
> Z PC3 ping na PC1, a na router2 spusten tcpdump na rozhrani ipsec
> - sem jeste pakety dorazi
> Na router1 tcpdump spustit nemuzu
> 
> Z PC1 ping na PC3,a na router2 spusten tcpdump na rozhrani ipsec
> - nic se neobjevi
> 

Jiste. Viz. nize.

> 
> Kde vsude mam hledat chybu?
> 

Zalezi na tom, jak mate nadefinovany ten ipsec a jake mate site, ze
kterych pochazi pc1, pc2, pc3. Protoze kdyz mate tunel
mezi sitemi pro pc1 a pc2 skrze freeswan, tak ten propusti skutecne jen
tyto dve site mezi sebou a to i presto, ze na pc2 mate spravne routovani.

Ukazi situaci, kterou nekde pouzivam:

pobocka1 - 192.168.0.0/24
pobocka2 - 192.168.1.0/24
pobocka3 - 192.168.2.0/24
pobocka4 - 192.168.3.0/24
pobocka5 - 172.16.2.0/24 

centralou je pobocka2 a pres ni jdou vsechny pakety ze vsech pobocek do
ostatnich pobocek. FreeSWAN mam takto:

mezi pobocka1 a pobocka2 mam dva tunely:
192.168.0.0/24 <---> 192.168.0.0/16
192.168.0.0/24 <---> 172.16.2.0/24 

mezi pobocka3 a pobocka2 mam dva tunely:
192.168.3.0/24 <---> 192.168.0.0/16
192.168.3.0/24 <---> 172.16.2.0/24 

mezi pobocka4 a pobocka2 mam dva tunely:
192.168.4.0/24 <---> 192.168.0.0/16
192.168.4.0/24 <---> 172.16.2.0/24 

a mezi pobocka5 a pobocka2 mam jeden tunel:
172.16.2.0/24 <---> 192.168.0.0/16

Routovani zaridi skripty ipsecu. Je tam jeste hack, kdy s definicemi
techto tunelu dokazi pingnout z routeru na router po jejich vnitrnich
adresach, ale to naleznete v archivu, uz jsem to tu jednou ukazoval. 

Je to jasne? S mirnou modifikaci to budete muset udelat take, jinak to ten
freeswan nepropusti.

--------------------------------------------------------------------------
Zdenek Kaminski
Valasske Laboratore





Další informace o konferenci Linux