Georgi Chorbadzhiyski wrote: > Alexander Iliev wrote: >> Добър вечер. >> >> Първо искам да се извиня за дългото писмо. >> >> Сега за проблема - опитвам се да пусна ESP тунел между Fedora Core 4 >> и OpenBSD 3.9. >> >> Ситуацията е следната - Linux-а е зад SNAT, OpenBSD-то е с публичен >> адрес. Адреса на Linux-а от NAT-натата мрежа е 10.0.0.89. От другата >> страна също има вътрешна мрежа - 192.168.1/24. Имам малко притеснение, >> понеже се опитвам да пусна тунела м/у именно тези две мрежи - 10.0/16 >> и 192.168.1/24. Притеснението ми е, че от страната на Fedora-та адреса >> е част от мрежата, която се опитвам да прекарам през самия тунел. Не >> знам дали изобщо се прави така, ако може някой да ме осветли? :) >> >> Проблемът с тунела е, че от машините от 192.168.1/24 няма достъп до >> 10.0/16 мрежата, с изключение на IPsec gateway-а (OpenBSD-то). Т.е. > > Без да съм спец по IPSEC ми се струва, че проблема е че нямаш рутиране > на OpenBSD машината за мрежата "от другата страна". На OpenBSD -то (или > може би някъде в настройките на racoon-а) укажи да добави рутинг за > 10.0/16 през тунела.
Еми това беше първото нещо, което ми хрумна, но нищо не намерих по въпроса в google, в смисъл как точно става добавянето на route. От нещата, които четох, останах с впечатление, че OpenBSD-то трябва само да се "усети", че даден трафик е за през тунела, и че това става на базата на security policy-тата, които са му настроени, а именно: # netstat -rnf encap Routing tables Encap: Source Port Destination Port Proto SA(Address/Proto/Type/Direction) 10.0/16 0 192.168.1/24 0 0 P.Q.R.S/50/use/in 192.168.1/24 0 10.0/16 0 0 P.Q.R.S/50/require/out Тези маршрути се добавят след като се изгради тунела, и ако се не лъжа би трябвало да указват при трафик от 192.168.1/24 към 10.0/16 да използва втория security association от горните. Поздрави, -- Александър Илиев