Forum Debian Users Gang

czadman · 2007-09-27 23:09:25

Mam do rozwiązania problem z IPsec. Skonfigurowałem sobie połączenie net-to-net. Połączenie jest zestawione. Wygląda to mniej więcej tak. Robiłem wg receptury jak w linku.

Po jednej stronie jest wszystko w porządku. Jak z prawej strony pinguję sieć po lewej stronie tunelu to jest ok. Na interfejsie zewnętrznym na lewym końcu tulnelu stwierdzam taki ruch:

Kod:

# tcpdump -v -i eth0 -n -p esp
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
22:46:36.087462 IP (tos 0x0, ttl  57, id 0, offset 0, flags [DF], length: 152) 89.79.xxx.xxx > 80.48.xxx.xxx: ESP(spi=0x16f8e3f7,seq=0x18c)
22:46:36.087734 IP (tos 0x0, ttl  64, id 51356, offset 0, flags [none], length: 152) 80.48.xxx.xxx > 89.79.xxx.xxx: ESP(spi=0xfc754b67,seq=0x504)

Kod:

# tcpdump -v -i eth0 -n -p icmp
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
22:46:22.091565 IP (tos 0x0, ttl  63, id 0, offset 0, flags [DF], length: 84) 192.168.22.127 > 192.168.0.10: icmp 64: echo request seq 6
22:46:23.088015 IP (tos 0x0, ttl  63, id 0, offset 0, flags [DF], length: 84) 192.168.22.127 > 192.168.0.10: icmp 64: echo request seq 7

Pakiety są dekodowane i dalej sobie idą tak jak powinny i pingi wracają. Natomiast kiedy pinguję z lewej strony prawą, to na zewnętrznym interfejsie na prawym końcu tunelu pojawiają się tylko pakiety esp, pakietów icmp już nie stwierdzam, no i pingi nie wracają.

Kod:

# tcpdump  -n -i dialog -p esp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on dialog, link-type EN10MB (Ethernet), capture size 96 bytes
22:56:45.139963 IP 80.48.xxx.xxx > 89.79.xxx.xxx: ESP(spi=0xfc75cf29,seq=0x7c3d0775), length 132
22:56:46.141805 IP 80.48.xxx.xxx > 89.79.xxx.xxx: ESP(spi=0xfc75cf29,seq=0x7c3d0776), length 132

Dodam, że politykę iptables na rozważanym interfejsie mam na ACCEPT.
Gdzie może leżeć błąd albo przyczyna?

zlyZwierz · 2007-09-27 23:15:01

U mnie to był lipny routing ... nawet nie tyle routing co lejm admin :)

- urządzenia, które odpowiadały mi po jednej stronie miały wpisaną domyślną bramę , natomiest te które nie chciały w drugą stronę odpowadać (identyczna sytuacja jak u Ciebie) owej domyślnej bramy wpisanej nie miały :)

czadman · 2007-09-27 23:52:18

Analizowałem routing parę razy. Może coś jest nie tak. Tak wygląda na tej bramce, po której stronie jest cisza:

Kod:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.22.0    0.0.0.0         255.255.255.0   U     0      0        0 do_mnie
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 duzy
192.168.0.0     89.79.xxx.1     255.255.255.0   UG    0      0        0 dialog
89.79.xxx.0      0.0.0.0         255.255.255.0   U     0      0        0 dialog
0.0.0.0         89.79.xxx.1      0.0.0.0         UG    0      0        0 dialog

a tak na maszynie docelowej:

Kod:

Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.22.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.22.1    0.0.0.0         UG    0      0        0 eth0

Wydaje mi się, że jest dobrze, ale o tej porze mam już zlasowane fałdy pod przykryciem

czadman · 2007-10-01 13:04:58

Ostatecznie skonfigurowałem dostęp do sieci przez IPsec/L2TP. Jednak jest jeszcze, ostatnio popularne, rozwiązanie OpenVPN, bazowane na SSL. Jakie są Wasze opinie na temat obu technologii, którą stosujecie i dlaczego?

kayo · 2007-10-01 14:13:53

Ostatecznie skonfigurowałem dostęp do sieci przez IPsec/L2TP. Jednak jest jeszcze, ostatnio popularne, rozwiązanie OpenVPN, bazowane na SSL. Jakie są Wasze opinie na temat obu technologii, którą stosujecie i dlaczego?

Ja stosuje OpenVPN. Nie ma z nim żadnych problemów. Konfiguracja jest banalna.

czadman · 2007-10-01 14:19:02

To prawda. Tłukłem się sporo z konfiguracją openswan, ale za to sporo się nauczyłem. Teraz zabieram się za openvpn. Pewnie pójdzie mi dużo szybciej. Widzę, że nawet są dołączone skrypty do tworzenia certyfikatów.

kayo · 2007-10-01 14:41:51

To prawda. Tłukłem się sporo z konfiguracją openswan, ale za to sporo się nauczyłem. Teraz zabieram się za openvpn. Pewnie pójdzie mi dużo szybciej. Widzę, że nawet są dołączone skrypty do tworzenia certyfikatów.

Jeszcze prosciej jest gdy zrobisz to przy pomocy webmina... musisz tylko modul OpenVPN doinstalowac bo jest on jako niestandartowy.

czadman · 2007-10-02 12:14:35

Czy masz może jakiś szybki sposób na konfigurację klienta openvpn na windows, jak to robisz?

kayo · 2007-10-02 13:01:07

Czy masz może jakiś szybki sposób na konfigurację klienta openvpn na windows, jak to robisz?

Tutaj masz przyklady w architekturze klient-serwer. Ten dla klienta jest dostosowany do Windowsa. Dostosuj tego confa do swoich potrzeb. Później zmiany są naprawdę niewielkie. Czasami nawet ich brak (wystarczy dyrektywa 'duplicate-cn' w konfigu serwera).

czadman · 2007-10-02 14:07:01

Jeszcze jedno pytanko. W server.conf mam ustawione

server 10.8.0.0 255.255.255.0

jednak pod windowsem wyskakuje ip interfejsu z maską podsieci 255.255.255.252. Jak rozumiem klient tworzy swoją małą podsieć?

kayo · 2007-10-02 14:41:32

Jeszcze jedno pytanko. W server.conf mam ustawione
server 10.8.0.0 255.255.255.0
jednak pod windowsem wyskakuje ip interfejsu z maską podsieci 255.255.255.252. Jak rozumiem klient tworzy swoją małą podsieć?

Niestety jest to bolesne ograniczenie interfejsu OpenVPN pod windowsem.
w konsoli win po wpisaniu polecenia

Kod:

openvpn --show-valid-subnets

pokażą sie dostępne adresy.

czadman · 2007-10-05 07:27:13

A jak to jest z klientem na windows vista? Dział na tym systemie? Ja na razie nie mam dostępu do visty.

kayo · 2007-10-05 08:06:23

Ja na razie nie mam dostępu do visty.

Na szczeście ja też nie

HunteR · 2007-10-28 18:48:42

zrobiłem VPN według opisu z współdzielonym kluczem
Mogę sie połączyć z nim bez problemu, mogę pingować koniec vpna na serwerze czyli u mnie 10.3.0.1(jak w opisie powyżej) mogę pingowac ip serwera na którym stoi vpn czyli 192.168.4.158, ale już NIE mogę pingować żądnego innego urządzenia w tej sieci. W konfigu na kliencie (WinXP) mam dodaną linię: route 192.168.4.0 255.255.255.0.
Konfigurował to ktoś i może mi pomóc z tym rutingiem.

czadman · 2007-10-28 20:40:46

Należy postawić źródłowy nat na serwerze dla pakietów z sieci 10.3.0.0.
BTW. Fajne tytuły z tego howto: "generacja kluczy", "brigdowanie". :)

BaB · 2007-10-28 20:59:46

zrobiłem VPN według opisu z współdzielonym kluczem
Mogę sie połączyć z nim bez problemu, mogę pingować koniec vpna na serwerze czyli u mnie 10.3.0.1(jak w opisie powyżej) mogę pingowac ip serwera na którym stoi vpn czyli 192.168.4.158, ale już NIE mogę pingować żądnego innego urządzenia w tej sieci. W konfigu na kliencie (WinXP) mam dodaną linię: route 192.168.4.0 255.255.255.0.
Konfigurował to ktoś i może mi pomóc z tym rutingiem.

powinieneś tutaj rzucić okiem

cthulhu · 2007-10-28 21:02:32

ehh ja przenosilem vpna z jednego serwera na drugi, configi klucze i certyfikaty. teoretycznie chodzi, trzeba tylko troche poprawic gdzieniegdzie :P
z tego co mi mowili, nie routuje pakietow

blink · 2007-10-31 14:11:37

Ostatnio przyszło mi instalować OpenVPN na Viscie i muszę stwierdzić, że działa :) z openvpn'en jest tylko ten problem, że sieć z której wchodzisz nie może pokrywać się z siecią docelową np w pracy jako lan mamy 192.168.0.0/16 a w domu mam 192.168.0/28 i nie ma komunikacji :/ rozwiązaniem jest przejście którejś ze stron na inną klasę

czadman · 2007-10-31 15:38:22

openvpn'en jest tylko ten problem, że sieć z której wchodzisz nie może pokrywać się z siecią docelową np w pracy jako lan mamy 192.168.0.0/16 a w domu mam 192.168.0/28 i nie ma komunikacji :/ rozwiązaniem jest przejście którejś ze stron na inną klasę

To nie jest problem a logika. W manualu do openvpn o tym piszą. :)

Forum Debian Users Gang

Ogłoszenie

#1 2007-09-27 23:09:25

czadman - Bicycle repairman

IPsec/OpenVPN

Kod:

Kod:

Kod:

#2 2007-09-27 23:15:01

zlyZwierz - Moderator

Re: IPsec/OpenVPN

#3 2007-09-27 23:52:18

czadman - Bicycle repairman

Re: IPsec/OpenVPN

Kod:

Kod:

#4 2007-10-01 13:04:58

czadman - Bicycle repairman

Re: IPsec/OpenVPN

#5 2007-10-01 14:13:53

kayo - Członek DUG

Re: IPsec/OpenVPN

#6 2007-10-01 14:19:02

czadman - Bicycle repairman

Re: IPsec/OpenVPN

#7 2007-10-01 14:41:51

kayo - Członek DUG

Re: IPsec/OpenVPN

#8 2007-10-02 12:14:35

czadman - Bicycle repairman

Re: IPsec/OpenVPN

#9 2007-10-02 13:01:07

kayo - Członek DUG

Re: IPsec/OpenVPN

#10 2007-10-02 14:07:01

czadman - Bicycle repairman

Re: IPsec/OpenVPN

#11 2007-10-02 14:41:32

kayo - Członek DUG

Re: IPsec/OpenVPN

Kod:

#12 2007-10-05 07:27:13

czadman - Bicycle repairman

Re: IPsec/OpenVPN

#13 2007-10-05 08:06:23

kayo - Członek DUG

Re: IPsec/OpenVPN

#14 2007-10-28 18:48:42

HunteR - DUG

Re: IPsec/OpenVPN

#15 2007-10-28 20:40:46

czadman - Bicycle repairman

Re: IPsec/OpenVPN

#16 2007-10-28 20:59:46

BaB - Członek DUG

Re: IPsec/OpenVPN

#17 2007-10-28 21:02:32

cthulhu - Członek DUG

Re: IPsec/OpenVPN

#18 2007-10-31 14:11:37

blink - Użytkownik

Re: IPsec/OpenVPN

#19 2007-10-31 15:38:22

czadman - Bicycle repairman

Re: IPsec/OpenVPN

Stopka forum