IPsec a routovani
Michal Dobes
dobes na tesnet.cz
Středa Listopad 9 23:14:14 CET 2005
linux na edoras.cz napsal(a):
>
> (192.168.111.0/24) - 212.65.25.1 <----------> 193.179.44.25 -
> (192.168.1.0/24)
>
> Jde mi o to, aby se pocitace ze site 192.168.111.0/24 dostali do site
> 192.168.1.0/24 a opacne.
> Pingy z routeru z jedne strany a ipcko v druhe siti nejdou do tohoto
> tunelu (pochopitelne, kdyz nemaji routu) a padaji na default gw.
Ten ping neprojde pravdepodobne proto, protoze ping z routeru
212.65.25.1 bude mit jako odchozi adresu tu verejnou adresu
a tim padem nespada takovy paket do vaseho pravidla:
spdadd 192.168.111.0/24 192.168.1.0/24 any -P out ipsec
esp/tunnel/212.65.25.1-193.179.44.25/require;
Mozna zkusit neco jako:
ip route add 192.168.1.0/24 src 192.168.111.XXX dev ethY
a patricne modifikovano i na druhe strane.
Apropo, taktez komunikace primo mezi verejnymi adresami nepujde
pres IPsec, takze opet asi pridat neco jako:
spdadd 212.65.25.1 193.179.44.25 any -P out ipsec
esp/transport//require
;
spdadd 193.179.44.25 212.65.25.1 any -P in ipsec
esp/transport//require
;
Taktez nezapomenout na druhou stranu v obracenem poradi.
Hraji si s necim podobnym, akorat nektere koncove body jsou HW
routery a snazim se rozchodit nad tim zebru pro dynamicke routovani,
ale zatim se nedari a na hlaseni v zebre "packet comes from unknown
interface" zacinam byt alergicky. :-)
M.
Další informace o konferenci Linux