Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2007-09-27 23:09:25

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

IPsec/OpenVPN

Mam do rozwiązania problem z IPsec. Skonfigurowałem sobie połączenie net-to-net. Połączenie jest zestawione. Wygląda to mniej więcej  tak. Robiłem wg receptury jak w linku.
http://www.linuxhomenetworking.com/wiki/images/f/f3/Freeswan.gif

Po jednej stronie jest wszystko w porządku. Jak z prawej strony pinguję sieć po lewej stronie tunelu to jest ok. Na interfejsie zewnętrznym na lewym końcu tulnelu stwierdzam taki ruch:

Kod:

# tcpdump -v -i eth0 -n -p esp
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
22:46:36.087462 IP (tos 0x0, ttl  57, id 0, offset 0, flags [DF], length: 152) 89.79.xxx.xxx > 80.48.xxx.xxx: ESP(spi=0x16f8e3f7,seq=0x18c)
22:46:36.087734 IP (tos 0x0, ttl  64, id 51356, offset 0, flags [none], length: 152) 80.48.xxx.xxx > 89.79.xxx.xxx: ESP(spi=0xfc754b67,seq=0x504)

Kod:

# tcpdump -v -i eth0 -n -p icmp
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
22:46:22.091565 IP (tos 0x0, ttl  63, id 0, offset 0, flags [DF], length: 84) 192.168.22.127 > 192.168.0.10: icmp 64: echo request seq 6
22:46:23.088015 IP (tos 0x0, ttl  63, id 0, offset 0, flags [DF], length: 84) 192.168.22.127 > 192.168.0.10: icmp 64: echo request seq 7

Pakiety są dekodowane i dalej sobie idą tak jak powinny i pingi wracają. Natomiast kiedy pinguję z lewej strony prawą, to na zewnętrznym interfejsie na prawym końcu tunelu pojawiają się tylko pakiety esp, pakietów icmp już nie stwierdzam, no i pingi nie wracają.

Kod:

# tcpdump  -n -i dialog -p esp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on dialog, link-type EN10MB (Ethernet), capture size 96 bytes
22:56:45.139963 IP 80.48.xxx.xxx > 89.79.xxx.xxx: ESP(spi=0xfc75cf29,seq=0x7c3d0775), length 132
22:56:46.141805 IP 80.48.xxx.xxx > 89.79.xxx.xxx: ESP(spi=0xfc75cf29,seq=0x7c3d0776), length 132

Dodam, że politykę iptables na rozważanym interfejsie mam na ACCEPT.
Gdzie może leżeć błąd albo przyczyna?


http://www.debian.org/logos/openlogo-nd-50.png

Offline

 

#2  2007-09-27 23:15:01

  zlyZwierz - Moderator

zlyZwierz
Moderator
Zarejestrowany: 2005-02-18
Serwis

Re: IPsec/OpenVPN

U mnie to był lipny routing ... nawet nie tyle routing co lejm admin :)

-  urządzenia, które odpowiadały mi po jednej stronie miały wpisaną domyślną bramę , natomiest te które nie chciały w drugą stronę odpowadać (identyczna sytuacja jak u Ciebie) owej domyślnej bramy wpisanej nie miały :)

Offline

 

#3  2007-09-27 23:52:18

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

Re: IPsec/OpenVPN

Analizowałem routing parę razy. Może coś jest nie tak. Tak wygląda na tej bramce, po której stronie jest cisza:

Kod:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.22.0    0.0.0.0         255.255.255.0   U     0      0        0 do_mnie
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 duzy
192.168.0.0     89.79.xxx.1     255.255.255.0   UG    0      0        0 dialog
89.79.xxx.0      0.0.0.0         255.255.255.0   U     0      0        0 dialog
0.0.0.0         89.79.xxx.1      0.0.0.0         UG    0      0        0 dialog

a tak na maszynie docelowej:

Kod:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.22.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.22.1    0.0.0.0         UG    0      0        0 eth0

Wydaje mi się, że jest dobrze, ale  o tej porze mam już zlasowane fałdy pod przykryciem


http://www.debian.org/logos/openlogo-nd-50.png

Offline

 

#4  2007-10-01 13:04:58

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

Re: IPsec/OpenVPN

Ostatecznie skonfigurowałem dostęp do sieci przez IPsec/L2TP. Jednak jest jeszcze, ostatnio popularne, rozwiązanie OpenVPN, bazowane na SSL. Jakie są Wasze opinie na temat obu technologii, którą stosujecie i dlaczego?


http://www.debian.org/logos/openlogo-nd-50.png

Offline

 

#5  2007-10-01 14:13:53

  kayo - Członek DUG

kayo
Członek DUG
Zarejestrowany: 2007-05-20

Re: IPsec/OpenVPN

Ostatecznie skonfigurowałem dostęp do sieci przez IPsec/L2TP. Jednak jest jeszcze, ostatnio popularne, rozwiązanie OpenVPN, bazowane na SSL. Jakie są Wasze opinie na temat obu technologii, którą stosujecie i dlaczego?

Ja stosuje OpenVPN. Nie ma z nim żadnych problemów. Konfiguracja jest banalna.


Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com  gg #1046710

Offline

 

#6  2007-10-01 14:19:02

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

Re: IPsec/OpenVPN

To prawda. Tłukłem się sporo z konfiguracją openswan, ale za to sporo się nauczyłem. Teraz zabieram się za openvpn. Pewnie pójdzie mi dużo szybciej. Widzę, że nawet są dołączone skrypty do tworzenia certyfikatów.


http://www.debian.org/logos/openlogo-nd-50.png

Offline

 

#7  2007-10-01 14:41:51

  kayo - Członek DUG

kayo
Członek DUG
Zarejestrowany: 2007-05-20

Re: IPsec/OpenVPN

To prawda. Tłukłem się sporo z konfiguracją openswan, ale za to sporo się nauczyłem. Teraz zabieram się za openvpn. Pewnie pójdzie mi dużo szybciej. Widzę, że nawet są dołączone skrypty do tworzenia certyfikatów.

Jeszcze prosciej jest gdy zrobisz to przy pomocy webmina... musisz tylko modul OpenVPN doinstalowac bo jest on jako niestandartowy.


Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com  gg #1046710

Offline

 

#8  2007-10-02 12:14:35

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

Re: IPsec/OpenVPN

Czy masz może jakiś szybki sposób na konfigurację klienta openvpn na windows, jak to robisz?


http://www.debian.org/logos/openlogo-nd-50.png

Offline

 

#9  2007-10-02 13:01:07

  kayo - Członek DUG

kayo
Członek DUG
Zarejestrowany: 2007-05-20

Re: IPsec/OpenVPN

Czy masz może jakiś szybki sposób na konfigurację klienta openvpn na windows, jak to robisz?

Tutaj masz przyklady w architekturze klient-serwer. Ten dla klienta jest dostosowany do Windowsa. Dostosuj tego confa do swoich potrzeb. Później zmiany są naprawdę niewielkie. Czasami nawet ich brak (wystarczy dyrektywa 'duplicate-cn' w konfigu serwera).


Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com  gg #1046710

Offline

 

#10  2007-10-02 14:07:01

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

Re: IPsec/OpenVPN

Jeszcze jedno pytanko. W server.conf mam ustawione

server 10.8.0.0 255.255.255.0

jednak pod windowsem wyskakuje ip interfejsu z maską podsieci 255.255.255.252. Jak rozumiem klient tworzy swoją małą podsieć?


http://www.debian.org/logos/openlogo-nd-50.png

Offline

 

#11  2007-10-02 14:41:32

  kayo - Członek DUG

kayo
Członek DUG
Zarejestrowany: 2007-05-20

Re: IPsec/OpenVPN

Jeszcze jedno pytanko. W server.conf mam ustawione

server 10.8.0.0 255.255.255.0

jednak pod windowsem wyskakuje ip interfejsu z maską podsieci 255.255.255.252. Jak rozumiem klient tworzy swoją małą podsieć?

Niestety jest to bolesne ograniczenie interfejsu OpenVPN pod windowsem.
w konsoli win po wpisaniu polecenia

Kod:

openvpn --show-valid-subnets

pokażą sie dostępne adresy.


Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com  gg #1046710

Offline

 

#12  2007-10-05 07:27:13

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

Re: IPsec/OpenVPN

A jak to jest z klientem na windows vista? Dział na tym systemie? Ja na razie nie mam dostępu do visty.


http://www.debian.org/logos/openlogo-nd-50.png

Offline

 

#13  2007-10-05 08:06:23

  kayo - Członek DUG

kayo
Członek DUG
Zarejestrowany: 2007-05-20

Re: IPsec/OpenVPN

Ja na razie nie mam dostępu do visty.

Na szczeście ja też nie


Having a Windows 95 box hooked to the internet is akin to walking naked into a prison carrying a carton of cigarettes.
-----------------
jid: kayo77//gmail.com  gg #1046710

Offline

 

#14  2007-10-28 18:48:42

  HunteR - DUG

HunteR
DUG
Skąd: ?
Zarejestrowany: 2006-03-14

Re: IPsec/OpenVPN

zrobiłem VPN według opisu z współdzielonym kluczem
Mogę sie połączyć z nim bez problemu, mogę pingować koniec vpna na serwerze czyli u mnie 10.3.0.1(jak w opisie powyżej) mogę pingowac ip serwera na którym stoi vpn czyli 192.168.4.158, ale już NIE mogę pingować żądnego innego urządzenia w tej sieci. W konfigu na kliencie (WinXP) mam dodaną linię: route 192.168.4.0 255.255.255.0.
Konfigurował to ktoś i może mi pomóc z tym rutingiem.


...

Offline

 

#15  2007-10-28 20:40:46

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

Re: IPsec/OpenVPN

Należy postawić źródłowy nat na serwerze dla pakietów z sieci 10.3.0.0.
BTW. Fajne tytuły z tego howto: "generacja kluczy", "brigdowanie". :)


http://www.debian.org/logos/openlogo-nd-50.png

Offline

 

#16  2007-10-28 20:59:46

  BaB - Członek DUG

BaB
Członek DUG
Skąd: Krapkowice
Zarejestrowany: 2004-09-09

Re: IPsec/OpenVPN

zrobiłem VPN według opisu z współdzielonym kluczem
Mogę sie połączyć z nim bez problemu, mogę pingować koniec vpna na serwerze czyli u mnie 10.3.0.1(jak w opisie powyżej) mogę pingowac ip serwera na którym stoi vpn czyli 192.168.4.158, ale już NIE mogę pingować żądnego innego urządzenia w tej sieci. W konfigu na kliencie (WinXP) mam dodaną linię: route 192.168.4.0 255.255.255.0.
Konfigurował to ktoś i może mi pomóc z tym rutingiem.

powinieneś tutaj rzucić okiem


Zarejestrowany użytkownik Linuksa #361563

Offline

 

#17  2007-10-28 21:02:32

  cthulhu - Członek DUG

cthulhu
Członek DUG
Skąd: Wrocław
Zarejestrowany: 2005-09-04

Re: IPsec/OpenVPN

ehh ja przenosilem vpna z jednego serwera na drugi, configi klucze i certyfikaty. teoretycznie chodzi, trzeba tylko troche poprawic gdzieniegdzie :P
z tego co mi mowili, nie routuje pakietow


"Dlaczego zawsze wszyscy biegna w strone mrozacego krew w zylach krzyku?"
cthulhu@jid.dug.net.pl
i386@HPC6910p

Offline

 

#18  2007-10-31 14:11:37

  blink - Użytkownik

blink
Użytkownik
Zarejestrowany: 2007-01-10

Re: IPsec/OpenVPN

Ostatnio przyszło mi instalować OpenVPN na Viscie i muszę stwierdzić, że działa :) z openvpn'en jest tylko ten problem, że sieć z której wchodzisz nie może pokrywać się z siecią docelową np w pracy jako lan mamy 192.168.0.0/16 a w domu mam 192.168.0/28 i nie ma komunikacji :/ rozwiązaniem jest przejście którejś ze stron na inną klasę

Offline

 

#19  2007-10-31 15:38:22

  czadman - Bicycle repairman

czadman
Bicycle repairman
Skąd: Wrocław
Zarejestrowany: 2005-07-08

Re: IPsec/OpenVPN

openvpn'en jest tylko ten problem, że sieć z której wchodzisz nie może pokrywać się z siecią docelową np w pracy jako lan mamy 192.168.0.0/16 a w domu mam 192.168.0/28 i nie ma komunikacji :/ rozwiązaniem jest przejście którejś ze stron na inną klasę

To nie jest problem a logika. W manualu do openvpn o tym piszą. :)


http://www.debian.org/logos/openlogo-nd-50.png

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
To nie jest tylko forum, to nasza mała ojczyzna ;-)