lug-bg: VPN Routing

2006-01-18 Thread Kamen Medarski 
Здравийте група, имам една ситуация в която малко съм се оплел и немога да 
намеря подходящ метод за решаването й, така  че моля за малко помощ. Става 
въпрос за VPN tunnels изградени на базата на Racoon i IPSec. Полоситата които 
съм задал на на машините са например следните:
Тунел 1:
remote eth1 192.168.1.0/24-192.168.0.0/24  vlan_vpn
Тунел 2:
remote eth1 192.168.2.0/24-192.168.0.0/24 vlan_vpn
Тунел3:
remote eth1 192.168.3.0/24-192.168.0.0/24  vlan_vpn

Идеята е следната, на сървъра има още един интерфейс, например eth2 
10.0.0.1/24, от машина в тази локална за сървъра мрежа е необходимо да се 
рутира трафика през ВПН-а до машина от всяка една от отдалечените мрежи. т.е. 
машина с ip 10.0.0.2 да пинг-ва 192.168.1.2, 192.168.2.2 и 192.168.3.2, 
например. 

Пробвах следното нещо:

ip r a 192.168.1.0/24 via 192.168.0.1 dev vlan_vpn
също и:
echo 3 VPN /etc/iproute2/rt_tables
ip rule add from 10.0.0.2 table VPN

ip r a 192.168.1.0/24 via 192.168.0.1 dev vlan_vpn table VPN

резултата от тези няколко реда е, че от сървъра пинга достига до отдалечената 
машина, но от 10.0.0.2 не!

Моля Ви за предложение, а то се подразбира че ако проработи ще почерпя :)

Салют!

Re: lug-bg: VPN Routing

2006-01-18 Thread Nickola Kolev 
Здрасти,

Трябва да включиш в политиките си и мрежата 10.0.0.0/24. Нормално е през
ipsec тунелите да не минава нищо друго, освен мрежите, които си описал.

Поздрави,
Никола

Kamen Medarski wrote:
[ кръц ]

 
 Моля Ви за предложение, а то се подразбира че ако проработи ще почерпя :)
 
 Салют!

Re: lug-bg: VPN Routing

2006-01-18 Thread Nickola Kolev 
Здрасти,

Бих опитал, ако не бях толкова зле запознат с теорията зад IPSec като
цяло. Това с рутинга и липсата на създаване на интерфейси между другото,
е една от причините, които Весо Колев изтъкна като недостатъци на тази
имплементация (говоря за нативно включената в linux 2.6).
При strong/openswan си има ipsec0/1/2 и т.н. Там обаче също важи
политиката, че ако не си описал нещо, което искаш да минава през даден
тунел, то просто няма да мине от там, без значение какъв е рутинга. Ако
ти трябват интерфейси, CRL функционалности и още доста неща, май това е
пътят.

Поздрави,
Никола

На Wed, Jan 18, 2006 at 09:41:50PM +0200, Vasil Kolev писа:
[ кръц ]
 : Някой добър човек ще даде ли добро обяснение за тия ipsec тунели, че по
 : принцип с нормалните инструменти ни routing-а им се вижда, ни нищо, та е
 : ужасно объркващо..




signature.asc
Description: Digital signature