The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"CentOS racoon ipsec nat"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Открытые системы на сервере (VPN / Linux)
Изначальное сообщение [ Отслеживать ]

"CentOS racoon ipsec nat"  +/
Сообщение от McLeod095 (??) on 09-Фев-10, 15:14 
Всем доброго времени суток!

Взываю к всемогущему All.
Нужна помощь.

Необходимо поднять ipsec (желательно в режиме транспорта) между двумя CentOS находящимися за NAT (Знаю что совсем по извращенски, но все же).

Имеем два шлюза

gw1
Ext_ip: 81.81.81.1/24
Int_ip: 192.168.1.1/24

gw2
Ext_ip: 82.82.82.2/24
Int_ip: 192.168.2.2/24

Здесь я думаю все понятно т.к. они у нас смотрят в интернет.
За каждым из них находится по серверу
server1
IP: 192.168.1.100/24

server2
IP: 192.168.2.200/24

Которые имеют доступ через NAT в интернет.

Вот между server1 и server2 надо поднять ipsec.
Сейчас это два линуха в дальнейшем один из них будет заменен на Cisco, поэтому выбран ipsec.

Сейчас у меня не получается даже связать server1 и gw2 по ipsec.
конфиги gw2.

cat racoon.conf

# Racoon IKE daemon configuration file.
# See 'man racoon.conf' for a description of the format and entries.

path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

padding {
    maximum_length 20;
    randomize off;
    strict_check off;
    exclusive_tail off;
}

listen {
    isakmp_natt 82.82.82.2 [4500];
    isakmp 82.82.82.2 [500];
}

timer {
    counter 5;
    interval 20 sec;
    persend 1;
    phase1 90 sec;
    phase2 90 sec;
}

sainfo anonymous
{
    pfs_group 2;
    lifetime time 3600 sec ;
    encryption_algorithm 3des;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate ;
}
include "/etc/racoon/81.81.81.1.conf";

cat 81.81.81.1.conf
remote 81.81.81.1
{
    exchange_mode aggressive, main;
    my_identifier address;
    nat_traversal on;
    proposal {
            encryption_algorithm 3des;
        hash_algorithm sha1;
        authentication_method pre_shared_key;
        dh_group 2;
    }
}

cat ifcfg-ipsec0
TYPE=IPSEC
DST=81.81.81.1
IKE_METHOD=PSK
AH_PROTO=none

на gw1 (81.81.81.1) весь трафик от gw2 перенаправляется на server1

Конфиги server1 аналогичные только естественно заменены адрес назначения на 82.82.82.2 и слушать isakmp и isakmp_natt на адресе 192.168.1.100

Я читал что racoon не может работать через нат в режиме transport а только в режиме tunnel, но не могу понять тогда как поднять туннель между двумя этими узлами, а в дальнейшем между server1 и server2.

ЗЫ. В довесок, данный канал поднимается как резервный основному каналу связи офисов. Данный канал будет работать через интернет, основной же канал точка-точка как раз между server1 и server2. Ну и в дальнейшем планируется поставить и настроить работу ospf на этих двух каналах. Поэтому и получается такая вот схема.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "CentOS racoon ipsec nat"  +/
Сообщение от strike1984 on 10-Фев-10, 08:48 
Добрый день. Возможно ты еще один конфиг файл потерял.
В debian это /etc/ipsec-tools.conf вроде.
#####################
flush;
spdflush;
#для исходящего трафика
spdadd 192.168.22.0/24 192.168.11.0/24 any -P out ipsec     esp/tunnel/x.x.x.x-y.y.y.y/require;
#для входящего трафика
spdadd 192.168.11.0/24 192.168.22.0/24 any -P in ipsec      esp/tunnel/y.y.y.y-x.x.x.x/require;
#####################3
вместо #esp/transport//require;

В centos не знаю, где этот файл, но можешь просто создать файл с любым именем и подгрузить его в setkey. Порты не забываем пробросить.
Если получится скинь конфиги, мне тоже когда-то надо было похожее сделать, но руки не дошли, потому что проброс порта бизнес-процесс устроил.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

2. "CentOS racoon ipsec nat"  +/
Сообщение от McLeod095 (??) on 10-Фев-10, 15:12 
>[оверквотинг удален]
>spdadd 192.168.11.0/24 192.168.22.0/24 any -P in ipsec      
>esp/tunnel/y.y.y.y-x.x.x.x/require;
>#####################3
>вместо #esp/transport//require;
>
>В centos не знаю, где этот файл, но можешь просто создать файл
>с любым именем и подгрузить его в setkey. Порты не забываем
>пробросить.
>Если получится скинь конфиги, мне тоже когда-то надо было похожее сделать, но
>руки не дошли, потому что проброс порта бизнес-процесс устроил.

Спасибо!
В CentOS правила создаются автоматом в зависимости от прописанных переменных в файлах настройки ifcfg-ipsec.
Ну и самое большое отличие это то что в приведенном Вами примере используется туннельный режим, который к сожалению мне не походит.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "CentOS racoon ipsec nat"  +/
Сообщение от strike1984 on 11-Фев-10, 06:04 

>Ну и самое большое отличие это то что в приведенном Вами примере
>используется туннельный режим, который к сожалению мне не походит.

Пожалуйста, странно одно, выше вы пишите:

>>Я читал что racoon не может работать через нат в режиме transport а только в режиме >>tunnel, но не могу понять тогда как поднять туннель между двумя этими узлами, а в >>дальнейшем между server1 и server2.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "CentOS racoon ipsec nat"  +/
Сообщение от McLeod095 (??) on 11-Фев-10, 12:29 
>
>>Ну и самое большое отличие это то что в приведенном Вами примере
>>используется туннельный режим, который к сожалению мне не походит.
>
>Пожалуйста, странно одно, выше вы пишите:
>
>>>Я читал что racoon не может работать через нат в режиме transport а только в режиме >>tunnel, но не могу понять тогда как поднять туннель между двумя этими узлами, а в >>дальнейшем между server1 и server2.

Ну во всяком случае здесь http://www.ipsec-howto.org/x304.html
говорится что не работает nat-traversal в транспортном режиме, но копаясь дальше в инете нашел в рассылках еще от 2004 года упоминания что на базе racoon сделали какой то софт который позволяет делать nat-traversal именно для транспортного режима.
Ну и т.к. необходимо что бы работал поверх всего этого еще и ospf то получается что имеено на server1 и server2 должны быть подняты каналы шифрования и т.п. то есть gw1 и gw2 вообщем не должны знать ни про какой ipsec и т.п.
К сожалению вчера не дали времени попробовать все сначала, сегодня если дойдут руки то попробую сделать все заново, т.к. все таки у меня получилось в понедельник заставить ходить пинги между server1 и gw2 на чем и остановился, а после того как решил возобновить работы то уже ничего не работало.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру