Jak smerovat veskery provoz pobocky do IPsec tunelu?

Martin Vancl tux.martin na gmail.com
Středa Únor 6 14:12:58 CET 2013 

Dobry den,
nevim ja u IPsec, ale ja to u OpenVPN resim jednoduse nastavenim
routovaci tabulky.

Pred pripojenim:
martin na martin:~$ route -n
Směrovací tabulka v jádru pro IP
Adresát         Brána           Maska           Přízn Metrik Odkaz  Užt Rozhraní
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 wlan0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlan0
192.168.1.0     0.0.0.0         255.255.255.0   U     9      0        0 wlan0
martin na martin:~$

po pripojeni k OpenVPN:
martin na martin:~$ route -n
Směrovací tabulka v jádru pro IP
Adresát         Brána           Maska           Přízn Metrik Odkaz  Užt Rozhraní
0.0.0.0         192.168.2.1     0.0.0.0         UG    0      0        0 tap0
169.254.0.0     0.0.0.0         255.255.0.0     U     1000   0        0 wlan0
192.168.1.0     192.168.2.1     255.255.255.0   UG    0      0        0 tap0
192.168.1.0     0.0.0.0         255.255.255.0   U     9      0        0 wlan0
192.168.1.1     0.0.0.0         255.255.255.255 UH    0      0        0 wlan0
192.168.2.0     0.0.0.0         255.255.255.0   U     0      0        0 tap0
192.168.3.0     192.168.2.1     255.255.255.0   UG    0      0        0 tap0
martin na martin:~$

Dne 6. února 2013 10:50 Roman Beitl <beitlr na gw.krasno.cz> napsal(a):
> Dobry den,
> mame projeny pobocky s centralou pomoci IPsec tunelu, je vzdy vytvoren tunel
> a policy mezi LAN pobocka a LAN centrala. Toto funguje, a do tunelu je
> smerovan provoz LAN-LAN, ostatni provoz je na routeru poslan pres WAN port
> na Internet, je-li povoleno.
>
> Dotaz: Jak zajistit, aby se veskery provoz z pobocky smeroval do tunelu? Mr.
> google pise ze se jedna o route based VPN, a veskere odkazy smerovaly pouze
> navody pro Cisco resp Juniper.
> IPsec na linuxu je tedy dostupny pouze jako policy based ? Jestli ano, je
> potom jedine reseni jak smerovat veskery provoz do tunelu je udelat policy
> "LAN centrala  <-> 0.0.0.0/0"?
>
> tedy asi takto(racoon-tools.conf):
>
> connection(centrala-to-pobocka-1):
>         src_ip: wan_IP_centrala
>         dst_ip: wan_IP_pobocka
>         src_range: 0.0.0.0/0
>         dst_range: 10.10.30.0/24 - LAN pobocky
>         compression: no
>         lifetime: time 86400 sec
>         authentication_algorithm: hmac_sha1
>         encryption_algorithm: 3des
>         pfs_group: 2
>
> Je toto ciste reseni, nebo exituje jiny, lepsi zpusob jak toto vyresit?
>
> --
>
> S pozdravem
>
> Roman Beitl
> _______________________________________________
> Linux mailing list
> Linux na linux.cz
> http://www.linux.cz/mailman/listinfo/linux



-- 
S pozdravem
Martin Vancl

e-mail:  tux.martin na gmail.com
jabber:  tux.martin na gmail.com
www:    http://martin.vancl.eu/
twitter:  http://twitter.com/tuxmartin

Další informace o konferenci Linux