IPsec a routovani

Středa Listopad 9 23:14:14 CET 2005

linux na edoras.cz napsal(a):
> 
> (192.168.111.0/24) - 212.65.25.1 <----------> 193.179.44.25 - 
> (192.168.1.0/24)
> 
> Jde mi o to, aby se pocitace ze site 192.168.111.0/24 dostali do site 
> 192.168.1.0/24 a opacne.

> Pingy z routeru z jedne strany a ipcko v druhe siti nejdou do tohoto 
> tunelu (pochopitelne, kdyz nemaji routu) a padaji na default gw.

Ten ping neprojde pravdepodobne proto, protoze ping z routeru 
212.65.25.1 bude mit jako odchozi adresu tu  verejnou adresu
a tim padem nespada takovy paket do vaseho pravidla:
spdadd 192.168.111.0/24 192.168.1.0/24 any -P out ipsec
           esp/tunnel/212.65.25.1-193.179.44.25/require;

Mozna zkusit neco jako:
ip route add 192.168.1.0/24 src 192.168.111.XXX dev ethY
a patricne modifikovano i na druhe strane.

Apropo, taktez komunikace primo mezi verejnymi adresami nepujde
pres IPsec, takze opet asi pridat neco jako:
spdadd 212.65.25.1 193.179.44.25 any -P out ipsec 
               	esp/transport//require 
                         	;

spdadd 193.179.44.25 212.65.25.1 any -P in ipsec 
               	esp/transport//require
	;

Taktez nezapomenout na druhou stranu v obracenem poradi.

Hraji si s necim podobnym, akorat nektere koncove body jsou HW
routery a snazim se rozchodit nad tim zebru pro dynamicke routovani,
ale zatim se nedari a na hlaseni v zebre "packet comes from unknown
interface" zacinam byt alergicky. :-)

	M.