Re: [Lug-bg] IPSec между Linksys BEFVP41 и линукс
- Subject: Re: [Lug-bg] IPSec между Linksys BEFVP41 и линукс
- From: Kamen Medarski <kamedarski@xxxxxxxxx>
- Date: Tue, 9 Mar 2010 13:28:43 +0200
Здрасти Ицо,
Преди години и на мен ми се наложи да изградя подобна на твоята
топология, с тази разлика че и от двете страни бяха линукси.
Проблемите които може да срещнеш не са един или два за жалост. Тъй
като беше доста отдавна спомените са малко избледнели, но да видим ...
Това което първо трябва да ти кажа, че на мен ми се наложи на всички
адсл модеми които бяха в тази топология да ми foward-нат порт 4500 и
500 (udp и/или tcp добавих и 22 и още един за всеки случай) към
машинките зад модемите. Нямах проблеми, отне ми време да ги убедя, но
в крайна сметка успях. Дори ако се поровя може да намря и телефона но
който звънях. Това защо, обаче ми се наложи да направя това действие е
отмито безвъзвратно от времето.
За да не гадая обаче, ако искаш позачисти си конфизите (racoon i
ipsectools.conf май че бяха) и ги прати да ги видим. Също се убеди
че iptables-a не ти пречи по никакъв начин на комуникацията. Прегледай
и рутингите.
Сетих се нещо което беше ме отвратило малко от racoon-a тогава, а
именно проблема с рутирането на мрежите. Единственият начин да насочиш
комуникация през тунела беше с рулове в ipsectools конфига. Не се
създаваше псевдо устройство което може да манипулираш, дано сега да са
го оправили.
Та това е което успях да изчета от тавана :)
Действай и успех!
2010/2/18 Ico <ico@xxxxxxxxxx>:
> Здравейте,
>
> Опитвам са за изградя IPSec VPN между устройството Linksys BEFVP41 и
> линукс.
> Първо да кажа, че при тестова установка Linksys => NAT Device =>
> Internet => VPN Server връзката се изгражда без проблем.
>
> Проблемът възникна, когато сложих Linksys устройството там където
> наистина трябва да работи, а именно зад ADSL на БТК (Виваком).
> Това което се случва е, че устройството и racoon-а на линукса се
> договарят успешно - устройството казва, че тунелът е изграден, racoon-а
> също си създава необходимите полици, но през тунела нищо не минава и в
> двете посоки.
> При опит за ping от линукса през тунела се наблюдава следното:
>
> #tcpdump -i any -vn host 79.100.153.16
> tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture
> size 96 bytes
> 11:02:00.081267 IP (tos 0x0, ttl 64, id 34697, offset 0, flags [none],
> proto ESP (50), length 168)
> 212.116.143.142 > 79.100.153.16: ESP(spi=0xc01a551e,seq=0x1e),
> length 148
> 11:02:00.114842 IP (tos 0xc0, ttl 57, id 10026, offset 0, flags [none],
> proto ICMP (1), length 196)
> 79.100.153.16 > 212.116.143.142: ICMP 79.100.153.16 protocol 50
> unreachable, length 176
> IP (tos 0x0, ttl 57, id 34697, offset 0, flags [none], proto
> ESP (50), length 168)
> 212.116.143.142 > 79.100.153.16: ESP(spi=0xc01a551e,seq=0x1e),
> length 148[|icmp]
> 11:02:05.246955 IP (tos 0x0, ttl 142, id 24296, offset 0, flags [none],
> proto UDP (17), length 320)
> 79.100.153.16.500 > 212.116.143.142.500: isakmp 1.0 msgid : phase 1
> I agg: [|sa]
> 11:02:05.344651 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto
> UDP (17), length 300)
> 212.116.143.142.500 > 79.100.153.16.500: isakmp 1.0 msgid : phase 1
> R agg: [|sa]
>
> Въпросите ме са два:
> 1. Някой има ли опит с подобно устройство, ако да открил ли е начин да
> го накара да ползва natt, защото аз не видях такова нещо в настройките
> му (в racoon.conf пише nat_traversal force, но това явно не е достатъчно) ?
> 2. Другата алтернатива, която виждам и да се убеди ADSL устройството да
> не спира ESP протокола, но при няколкото ми обаждания до съпорта не
> можах да попадна на човек с който да се разберем.
>
> Ще съм благодарен за коментари и насочвания.
>
> Поздрави,
> Ицо
>
> _______________________________________________
> Lug-bg mailing list
> Lug-bg@xxxxxxxxxxxxxxxxxx
> http://linux-bulgaria.org/mailman/listinfo/lug-bg
>
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
|