The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"IPSEC и несколько каналов доступа"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Открытые системы на сервере (VPN / Linux)
Изначальное сообщение [ Отслеживать ]

"IPSEC и несколько каналов доступа"  +/
Сообщение от McLeod095 (ok) on 02-Мрт-10, 18:26 
Всем здравствуйте!

Возвращаюсь к своим похождениям с ipsec.
Ситуация следующая.
имеется два сервера
GW1
inet1 85.85.85.1/24
inet2 86.86.86.1/24
lan 192.168.1.1/24

GW2
inet 101.1.1.2/24
lan 192.168.2.2/24

Вроде все нормально.
Делаю между ними два ipsec
с 85.85.85.1 на 101.1.1.2
с 86.86.86.1 на 101.1.1.2

за каждым из шлюзов стоят еще одни шлюзы которые разруливают сети по OSPF. И между теми шлюзами есть канал точка-точка (Основной). Поверх ipsec прокинуты gre туннели и там тоже все нормально.

Вообщем как только я поднимаю ipsec на gw1 и gw2, все работает (да и без ipsec работает т.к. сделан NAT). Но дело в том что после того как поднимается ipsec перестают ходить ping и остальные пакеты чежду GW1 и GW2 по любым из интернет каналов, хотя связь по gre и ospf не прерывается, и все работает нормально, и даже переключение между каналами работает.
Но вот почему пропадает связь между шлюзами не могу понять. Хотя если c GW1 пингую GW2 то вижу AH и ESP пакеты на интерфейсе а вот ответы не идут, также и в обратном направлении.
Может кончено я что то с iproute напутал, но без ipsec все нормально пингуется.

Может кто сталкивался с данной проблемой.
Заранее спасибо!

Ах да чуть не забыл
Все это пока крутится на стенде и эмулирует сущ. конфигурацию, на которой потом будет подниматься.
Стенд состоит из двух серваков Vmware ESXI и XenServer, между которыми свитч циско, ну а на них куча виртуалок. то что приведено это часть стенда.
И да в дополнение. Пакеты которые идут поверх ipsec норм не тока ходят но и по tcpdump их видно с теми же заголовками.
И пинги не всегда пропадают иногда они возращаются :-)

Опять в догонку.
Используется CentOS 5.4
И естественно что конфигурируется с помощью его же конфигов.
Только сейчас заметил что на стороне где два прова, после запуска ipsec конфиг только один. Но правил по setkey -DP как полагается 6. У меня такое ощущение что в этом загвоздка. И поэтому то есть пинги то их нет.

Высказать мнение | Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


2. "IPSEC и несколько каналов доступа"  +/
Сообщение от McLeod095 (ok) on 03-Мрт-10, 15:22 
>[оверквотинг удален]
>
>И пинги не всегда пропадают иногда они возращаются :-)
>
>Опять в догонку.
>Используется CentOS 5.4
>И естественно что конфигурируется с помощью его же конфигов.
>Только сейчас заметил что на стороне где два прова, после запуска ipsec
>конфиг только один. Но правил по setkey -DP как полагается 6.
>У меня такое ощущение что в этом загвоздка. И поэтому то
>есть пинги то их нет.

Ауууу. Люди!!!
Помогите! Второй день бьюсь не могу решить.
Осталась только вот эта проблема. И дальше уже буду все тестировать.

вот конфиги
ipsec0
TYPE=IPSEC
ONBOOT=yes
DST=101.1.1.2
SRC=85.85.85.1
IKE_METHOD=PSK

ipsec1
TYPE=IPSEC
ONBOOT=yes
DST=101.1.1.2
SRC=86.86.86.6
IKE_METHOD=PSK

Ключи у них одинаковые.

С другой стороны аналогично тока поменяны местами SRD - DST
В логах ошибок вообще нет.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

3. "IPSEC и несколько каналов доступа"  +/
Сообщение от McLeod095 (ok) on 12-Мрт-10, 15:11 
up.

Люди кто делал резервирование для ipsec, поделитесь конфигами.
Темы здесь проскакивали аналогичные что у людей по два прова с каждой стороны, и делали полное резервирование, то есть получается именно такая же ситуация происходила. Но только видимо авторы топиков настроив все это дело, просто отписали "спасибо, проблему решили сами" в последнем посте и даже не оставили конфигов.

Буду рад любой помощи.


Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

4. "IPSEC и несколько каналов доступа"  +/
Сообщение от McLeod095 (ok) on 12-Мрт-10, 17:00 
Ну и в дополнение попробую нарисовать схемку

    eth0 -----------------|          |
GW1                       | INTERNET |----------------- eth0 GW2
    eth1 -----------------|          |


GW1
eth0 - 1.1.1.1
eth1 - 2.2.2.2

GW2
eth0 - 3.3.3.3

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

5. "IPSEC и несколько каналов доступа"  +/
Сообщение от Koba LTD. email on 14-Мрт-10, 00:02 
>[оверквотинг удален]
>
>И пинги не всегда пропадают иногда они возращаются :-)
>
>Опять в догонку.
>Используется CentOS 5.4
>И естественно что конфигурируется с помощью его же конфигов.
>Только сейчас заметил что на стороне где два прова, после запуска ipsec
>конфиг только один. Но правил по setkey -DP как полагается 6.
>У меня такое ощущение что в этом загвоздка. И поэтому то
>есть пинги то их нет.

чем создаешь тунель? и в краце есть такое понятие как leftsource rigthsource - "граничные" точки - т.е. внутриние адреса роутеров из leftsubnet и rigthsubnet соответственно - без указание этих параметров в openswan допустим никакой трафик но внутреним адресам между самих роутеров не ходит, хотя подсетки видят себя нормально.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

6. "IPSEC и несколько каналов доступа"  +/
Сообщение от McLeod095 (ok) on 14-Мрт-10, 14:12 
>[оверквотинг удален]
>>Только сейчас заметил что на стороне где два прова, после запуска ipsec
>>конфиг только один. Но правил по setkey -DP как полагается 6.
>>У меня такое ощущение что в этом загвоздка. И поэтому то
>>есть пинги то их нет.
>
>чем создаешь тунель? и в краце есть такое понятие как leftsource rigthsource
>- "граничные" точки - т.е. внутриние адреса роутеров из leftsubnet и
>rigthsubnet соответственно - без указание этих параметров в openswan допустим никакой
>трафик но внутреним адресам между самих роутеров не ходит, хотя подсетки
>видят себя нормально.

leftsubnet и rightsubnet насколько я понял используются для туннельного режима.
Мне же необходим транспортный режим, потому как поверх всего этого дела поднимается gre и уже потом OSPF. Но ближе к делу.
Использую для поднятия ipsec, racoon из пакеты ipsec-tools. Выбор пал на него потому как в дистрибутивах от redhat и их клонов он используется по умолчанию, ну и самое главное что для настройки уже все готово, стоит только поставить пакет.
В этом видимо и загвоздка
т.к. после того как поднять один ipsec на шлюзе с двумя провами,то все нормально, т.к. происходит запуск racoon с конфигурационным файлом который создается при поднятии интерфейса. Имя файла вот такого вида DST.conf, он добавляется в файл racoon.conf директивой inlcude. Ну и все работает как полагается. пакеты между хостами ходят, и если они попадают под правила ipsec то все шифруется как полагается (забегая вперед даже скажу что и gre работает и OSPF). Но если поднять второй ipsec вместе с первым, вернее сказать сразу оба ipsec, то вот здесь начинаются проблемы. Пакеты то ходят, то нет. То ходят только по одному каналу, то вообще ни по подному. Хотя если смотреть tcpdump то видно что пакеты с удаленной стороны приходят и их видно на интерфейсе, но вот ответа на них нет. Такое ощущение что они попали под работающие правила ipsec, но то ли счетчик то ли еще чего не позволяют и пройти дальше.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

7. "IPSEC и несколько каналов доступа"  +/
Сообщение от Koba LTD email on 15-Мрт-10, 12:07 
>[оверквотинг удален]
>пакеты между хостами ходят, и если они попадают под правила ipsec
>то все шифруется как полагается (забегая вперед даже скажу что и
>gre работает и OSPF). Но если поднять второй ipsec вместе с
>первым, вернее сказать сразу оба ipsec, то вот здесь начинаются проблемы.
>Пакеты то ходят, то нет. То ходят только по одному каналу,
>то вообще ни по подному. Хотя если смотреть tcpdump то видно
>что пакеты с удаленной стороны приходят и их видно на интерфейсе,
>но вот ответа на них нет. Такое ощущение что они попали
>под работающие правила ipsec, но то ли счетчик то ли еще
>чего не позволяют и пройти дальше.

как настроенна балансировка между 2 провами на роутере?

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

8. "IPSEC и несколько каналов доступа"  +/
Сообщение от McLeod095 (ok) on 15-Мрт-10, 14:28 
>[оверквотинг удален]
>>gre работает и OSPF). Но если поднять второй ipsec вместе с
>>первым, вернее сказать сразу оба ipsec, то вот здесь начинаются проблемы.
>>Пакеты то ходят, то нет. То ходят только по одному каналу,
>>то вообще ни по подному. Хотя если смотреть tcpdump то видно
>>что пакеты с удаленной стороны приходят и их видно на интерфейсе,
>>но вот ответа на них нет. Такое ощущение что они попали
>>под работающие правила ipsec, но то ли счетчик то ли еще
>>чего не позволяют и пройти дальше.
>
>как настроенна балансировка между 2 провами на роутере?

У меня не используется балансировка канала. У меня работает в режиме резервирования. Но если уж на то пошло то при простой настройке OSPF на обоих концах без указания весов и приоритетов он автоматом начинает делать балансировку, даже, если не ошибаюсь, распределяет трафик в зависимости от скорости подключения.

Уууупс. Вы что имели ввиду?
Если балансировку от gw1 по двум провам??
то здесь тоже балансировка не используется. Настроен source route для каждого прова и все. И без ipsec если делать ping -I ethX YY.YY.YY.YY то все пашет нормально, также как и у с другой стороны.

Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2021 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру