IPSEC

Vladimir Naprstek vladimir.naprstek na scplyn.cz
Úterý Leden 27 09:46:28 CET 2004 

Zdenek Prchal wrote:
>>smazim se rozchodit ipsec, ale mam asi nekde botu. spojeni se mi 
>>vytvori,
> 
> 
> Tj. mate v logu IPsec SA establised?
> 
ano. Ve vypise ipsec auto --status je (mimo jine) radek:
STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 25162s; 
newest IPSEC; eroute owner...
> 
>>paket (ping) z jedne site (centrala) na pobocku projde, ale 
> 
> 
> Odkud kam pingate? Mate tunel subnet-subnet a delate ping ze stanice
> _uvnitr_ jednoho subnetu na stanici _uvnitr_ druheho subnetu (tj.
> nikoliv z routeru nebo na router)? Pokud byste z nejakeho duvodu
> potreboval, aby byla mozna komunikace z libovolneho subnetu na
> remote router nebo mezi obema routeru musite si ty dalsi tri tunely
> (oba subnet-remote router a router-router) do ipsec dokonfigurovat ...
>  
z hosta uvnitr site centraly na hosta uvnitr site pobocky. Pakety 
sleduji na routeru (tcpdump -i ipsec0 a tcpdump -i eth1).

>>nedojde. Tj. dam-li si (na routeru pobocky) tcpdump na 
>>zarizeni ipsec0, 
>>pakety vidim, ale na zarizeni eth1 (do lokalni site), tam uz nejsou.
>>- forwardovani mam zapnute (cat  /proc/sys/net/ipv4/ip_forward je 1),
> 
> 
> a mate vypnuty rp_filter?
> 
myslim ze ano. Alespon soubory:
/proc/sys/net/ipv4/conf/ipsec0/rp_filter
/proc/sys/net/ipv4/conf/eth1/rp_filter
/proc/sys/net/ipv4/conf/default/rp_filter

obsahuji 0.

> 
>>- iptables je docasne vypnuty (policy je accept),
>>- routovaci tabulka se zda byt dobre,
> 
> 
> na obou stranach router (i stanice) vi, kudy posilat pakety do remote
> subnetu a _taky_ kam odpovedi?
>

route na fw pobocky:
Směrovací tabulka v jádru pro IP
Adresát         Brána           Maska           Přízn Metrik Odkaz  Užt 
Rozhraní
<IP eth0>       *               255.255.255.240 U     0      0        0 eth0
<IP eth0>       *               255.255.255.240 U     0      0        0 
ipsec0
192.168.2.0     *               255.255.255.0   U     0      0        0 eth1
default         <ip ISP>        0.0.0.0         UG    0      0        0 eth0

z toho usuzuji, ze vi, ze pakety 192.168.2.0/24 ma poslat na eth1. Jenze 
pokud sleduji ipsec0, pakety se tam objevi (icmp req z centraly a source 
je host v centrale), ale na eth1 je ticho...
Ale pokud dam na fw pobocky ping 192.168.2.xx, tak mi pakety chodi.

-- 
Vladimír Náprstek

Další informace o konferenci Linux