lug-bg: VPN route problem
Здравейте,Ще се опитам да бъда максимално кратък и ясен с проблема:VPN установен с racoon и вградената подръжка на IPSec. От едната страна на тунела стои gateway Федора 5, от другата Линукс съвместимо устройство.Тунела се изгражда успешно. Пинг работи от произволна машина на едната мрежа към произволна машина на другата мрежа (и обратно). Проблема е, че:1. Пинг и всякакви заявки вървят успешно от Федората към машини на другата мрежа.2. ЕДИНСТВЕНО пинг работи от машини стоящи зад Федората към машини на другата мрежа.Според мен проблема е в настройките на на iptables и route, а не е свързан с MTU. Но не мога да разбера какво точно пропускам: Настройки на iptables:$LOCAL_GW - wuprosnata Fedora$REMOTE_GW - wuprosnoto Linux suwmestimo ustrojstwo192.168.x.0/23 - remote LAN192.168.y.0/24 - local LAN# Generated by iptables-save v1.3.5 on Thu Jul 27 18:11:01 2006*mangle:PREROUTING ACCEPT [953:662425]:INPUT ACCEPT [859:646970]:FORWARD ACCEPT [94:15455]:OUTPUT ACCEPT [920:161181]:POSTROUTING ACCEPT [1014:176636]-A PREROUTING -i eth0 -p ipv6-crypt -j MARK --set-mark 0x1 COMMIT# Completed on Thu Jul 27 18:11:01 2006# Generated by iptables-save v1.3.5 on Thu Jul 27 18:11:01 2006*nat:PREROUTING ACCEPT [69:5073]:POSTROUTING ACCEPT [66:4168]:OUTPUT ACCEPT [54:3554] -A PREROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT -A PREROUTING -s 192.168.x.0/255.255.254.0 -i eth0 -m mark --mark 0x1 -j ACCEPT -A POSTROUTING -s 192.168.y.0/255.255.255.0 -d ! 192.168.x.0/255.255.254.0 -o eth0 -j MASQUERADE COMMIT# Completed on Thu Jul 27 18:11:01 2006# Generated by iptables-save v1.3.5 on Thu Jul 27 18:11:01 2006*filter:INPUT ACCEPT [33:6591]:FORWARD DROP [0:0]:OUTPUT ACCEPT [841:137877]:RH-Firewall-1-INPUT - [0:0] -A INPUT -s $REMOTE_GW -d $LOCAL_GW -i eth0 -p udp -m udp --sport 500 --dport 500 -j ACCEPT -A INPUT -s $REMOTE_GW -d $LOCAL_GW -i eth0 -p tcp -m tcp --sport 500 --dport 500 -j ACCEPT -A INPUT -s $REMOTE_GW -d $LOCAL_GW -i eth0 -p ipv6-auth -j ACCEPT -A INPUT -s $REMOTE_GW -d $LOCAL_GW -i eth0 -p ipv6-crypt -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -i eth0 -p udp -m udp --dport 500 -j ACCEPT -A INPUT -i eth0 -m mark --mark 0x1 -j ACCEPT -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -o eth0 -j ACCEPT -A FORWARD -j LOG -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth0 -m mark --mark 0x1 -j ACCEPT -A FORWARD -i eth1 -j ACCEPT -A OUTPUT -s $LOCAL_GW -d $REMOTE_GW -o eth0 -p udp -m udp --sport 500 --dport 500 -j ACCEPT -A OUTPUT -s $LOCAL_GW -d $REMOTE_GW -o eth0 -p tcp -m tcp --sport 500 --dport 500 -j ACCEPT -A OUTPUT -s $LOCAL_GW -d $REMOTE_GW -o eth0 -p ipv6-auth -j ACCEPT -A OUTPUT -s $LOCAL_GW -d $REMOTE_GW -o eth0 -p ipv6-crypt -j ACCEPT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 145 -j ACCEPT -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT# Completed on Thu Jul 27 18:11:01 2006Пътища:r.e.m. - remote GWl.o.c. - local GWKernel IP routing table Destination Gateway Genmask Flags Metric Ref Use Ifacel.o.c.0 *255.255.255.0 U 0 00 eth0192.168.y.0 * 255.255.255.0 U 0 00 eth1192.168.x.0 localGW . 255.255.254.0 UG 0 00 eth0 169.254.0.0 * 255.255.0.0 U 0 00 eth1default localGW 0.0.0.0 UG 0 00 eth0Направих и следния опит, за да проверя къде е проблема: пуснах tcpdump в отделни конзоли за eth1 (локална мрежа 192.168.y.0/24) и за eth0 - връзката с кабелния модем и интернет. Резултата леко ме изненада:При опит за ssh към сървър от remote LAN-а заявката ми умира още на eth1, като получавам съобщение ICMP host unreachable. Същевременно изходящ трафик в дъмп-а на eth0 няма. Което ме навежда на мисълта, че наистина не е MTU проблем а глупава пропусната настройка на моя линукс gateway Предварително благодаря!
Re: lug-bg: VPN route problem
Stanimir Kabaivanov wrote: пуснах tcpdump в отделни конзоли за eth1 (локална мрежа 192.168.y.0/24) и за eth0 - връзката с кабелния модем и интернет. Резултата леко ме изненада: При опит за ssh към сървър от remote LAN-а заявката ми умира още на eth1, като получавам съобщение ICMP host unreachable. Същевременно изходящ трафик в дъмп-а на eth0 няма. Което ме навежда на мисълта, че наистина не е MTU проблем а глупава пропусната настройка на моя линукс gateway Предварително благодаря! Според мен нямаш проблем с рутиранете, а с това че Fedora-та не препраща пакети, тоест не е рутер. cat /proc/sys/net/ipv4/ip_forward Трябва да ти върне 1, инче е точно каквото предполагам. За да го оправиш, добави в /etc/sysctl.conf net.ipv4.ip_forward=1 и стартирай sysctl -w net.ipv4.ip_forward=1 -- Georgi Chorbadzhiyski http://georgi.unixsol.org/
Re: lug-bg: VPN route problem
Georgi Chorbadzhiyski wrote: Stanimir Kabaivanov wrote: пуснах tcpdump в отделни конзоли за eth1 (локална мрежа 192.168.y.0/24) и за eth0 - връзката с кабелния модем и интернет. Резултата леко ме изненада: При опит за ssh към сървър от remote LAN-а заявката ми умира още на eth1, като получавам съобщение ICMP host unreachable. Същевременно изходящ трафик в дъмп-а на eth0 няма. Което ме навежда на мисълта, че наистина не е MTU проблем а глупава пропусната настройка на моя линукс gateway Предварително благодаря! Според мен нямаш проблем с рутиранете, а с това че Fedora-та не препраща пакети, тоест не е рутер. cat /proc/sys/net/ipv4/ip_forward Трябва да ти върне 1, инче е точно каквото предполагам. За да го оправиш, добави в /etc/sysctl.conf net.ipv4.ip_forward=1 и стартирай sysctl -w net.ipv4.ip_forward=1 И извинения за неграмотното писмо, дано си ме разбрал (note to me, не пиши преди да си се събудил...) -- Georgi Chorbadzhiyski http://georgi.unixsol.org/
Re: lug-bg: VPN route problem
Здравейте,Stanimir Kabaivanov wrote: пуснах tcpdump в отделни конзоли за eth1 (локална мрежа 192.168.y.0/24) и за eth0 - връзката с кабелния модем и интернет. Резултата леко ме изненада: При опит за ssh към сървър от remote LAN-а заявката ми умира още на eth1, като получавам съобщение ICMP host unreachable. Същевременно изходящ трафик в дъмп-а на eth0 няма. Което ме навежда на мисълта, че наистина не е MTU проблем а глупава пропусната настройка на моя линукс gateway Предварително благодаря!Според мен нямаш проблем с рутиранете, а с това че Fedora-та не препраща пакети, тоест не е рутер.cat /proc/sys/net/ipv4/ip_forwardТрябва да ти върне 1, инче е точно каквото предполагам.За да го оправиш, добави в /etc/sysctl.confnet.ipv4.ip_forward=1 и стартирай sysctl -w net.ipv4.ip_forward=1ip_forward-а ми е включен (т.е. on / 1). В /etc/sysctl.conf си е установен на 1-ца. Опитах да го ресет-на като го изключа и включва отново но резултата е без промяна - нямам достъп до отдалечения лан, освен пинг и трейсруут (ВинХП машина от моя лан).
Re: lug-bg: VPN route problem
И извинения за неграмотното писмо, дано си ме разбрал (note to me, не пиши предида си се събудил...) Няма проблеми :). Аз не съм спал от 1 седмица заради проклетия ВПН :). Засега го ползвам от gateway-а но все ме гризе отвътре :-)
Re: lug-bg: VPN route problem
Защо за всеки случай не пратиш и съдържанието на полиситата?
Re: lug-bg: VPN route problem
С удоволствие:/etc/racoon.conf# Racoon IKE daemon configuration file.# See 'man racoon.conf' for a description of the format and entries.path include /etc/racoon;path pre_shared_key /etc/racoon/psk.txt; path certificate /etc/racoon/certs;timer{ counter 5; # maximum trying count to send. interval 30 sec; # maximum interval to resend. persend 1; # the number of packets per a send. phase1 80 sec; phase2 85 sec;}#ZyWallremote q.w.e.r{ exchange_mode main,aggressive,base; lifetime time 24 hour; proposal_check=obey; nat_traversal on; esp_frag 552; proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key; dh_group 1; }}#net-to-netsainfo address 192.168.y.0 /24 any address 192.168.x.0/23 any{ lifetime time 1 hour; encryption_algorithm 3des; authentication_algorithm hmac_sha1,hmac_md5; compression_algorithm deflate;}sainfo anonymous { lifetime time 1 hour ; encryption_algorithm 3des, blowfish 448, rijndael ; authentication_algorithm hmac_sha1,hmac_md5 ; compression_algorithm deflate ;}и съответно setkey.sh :#/sbin/setkey -f#flushsetkey -FPsetkey -F#LOCAL_EXT_IP - Internet IP of eth0 - my gatewayLOCAL_EXT_IP=a.b.c.d#REMOTE_EXT_IP - Internet IP of remote VPN gatewayREMOTE_EXT_IP=q.w.e.r LOCAL_LAN=192.168.y.0LOCAL_SUBNET_MASK=24REMOTE_LAN=192.168.x.0REMOTE_SUBNET_MASK=23#Linux-racoon - MyZwall and MyZwall - Linux-racoonsetkey -c ENDspdadd $REMOTE_EXT_IP $LOCAL_EXT_IP any -P in ipsec esp/tunnel/$REMOTE_EXT_IP-$LOCAL_EXT_IP/unique; spdadd $REMOTE_LAN/$REMOTE_SUBNET_MASK $LOCAL_LAN/$LOCAL_SUBNET_MASK any -P in ipsec esp/tunnel/$REMOTE_EXT_IP-$LOCAL_EXT_IP/unique;spdadd $LOCAL_EXT_IP $REMOTE_EXT_IP any -P out ipsec esp/tunnel/$LOCAL_EXT_IP-$REMOTE_EXT_IP/unique; spdadd $LOCAL_LAN/$LOCAL_SUBNET_MASK $REMOTE_LAN/$REMOTE_SUBNET_MASK any -P out ipsec esp/tunnel/$LOCAL_EXT_IP-$REMOTE_EXT_IP/unique;END#here comes the shitty part with iptablesiptables -A INPUT -p udp -s $REMOTE_EXT_IP -d $LOCAL_EXT_IP --dport 500 --j ACCEPT iptables -A INPUT -p udp -s $REMOTE_EXT_IP -d $LOCAL_EXT_IP --dport 4500 --j ACCEPTiptables -A INPUT -p esp -s $REMOTE_EXT_IP -d $LOCAL_EXT_IP -j ACCEPTiptables -A INPUT -p ah -s $REMOTE_EXT_IP -d $LOCAL_EXT_IP -j ACCEPT iptables -A INPUT -p udp -s $REMOTE_EXT_IP -d $LOCAL_EXT_IP --dport 50 --j ACCEPTiptables -A INPUT -p tcp -s $REMOTE_EXT_IP -d $LOCAL_EXT_IP --dport 50 --j ACCEPTiptables -A INPUT -p tcp -s $REMOTE_EXT_IP -d $LOCAL_EXT_IP --dport 80 --j ACCEPT #now the same with outputiptables -A OUTPUT -p udp -d $REMOTE_EXT_IP -s $LOCAL_EXT_IP --sport 500 --j ACCEPTiptables -A OUTPUT -p udp -d $REMOTE_EXT_IP -s $LOCAL_EXT_IP --sport 4500 --j ACCEPTiptables -A OUTPUT -p esp -d $REMOTE_EXT_IP -s $LOCAL_EXT_IP -j ACCEPT iptables -A OUTPUT -p ah -d $REMOTE_EXT_IP -s $LOCAL_EXT_IP -j ACCEPTiptables -A OUTPUT -p udp -d $REMOTE_EXT_IP -s $LOCAL_EXT_IP --sport 50 --j ACCEPTiptables -A OUTPUT -p tcp -d $REMOTE_EXT_IP -s $LOCAL_EXT_IP --sport 50 --j ACCEPT iptables -A OUTPUT -p tcp -d $REMOVE_EXT_IP -s $LOCAL_EXT_IP --sport 80 --j ACCEPT#if we use masqueradeiptables -t nat -I POSTROUTING 1 -p 50 -j ACCEPTip route add 192.168.x.0/23 via $LOCAL_EXT_IP src 192.168.y.1Този последния скрипт, за момента го пускам ръчно (все пак съм в период на тестване) преди да пусна самия ракуун с racoon -F -v.T.e. пълната последователност за установяване на тунела е: $/etc/racoon/setkey.sh$racoon -F -vOn 7/31/06, Kamen Medarski [EMAIL PROTECTED] wrote: Защо за всеки случай не пратиш и съдържанието на полиситата?
Re: lug-bg: VPN route problem
Малко е много информацията която си пратил и ще трябва време за да се прегледа .. но да попитам на двете машини командата setkey -D i stekey -DP дали съвпадат със зададените от теб правила?
Re: lug-bg: VPN route problem
Здравейте,Гледах да е възможно по-пълна :). Дано не е много и страничния боклук, покрай ценната информация.Проблема е, че отсрещната страна е IPSec съвместимо устройство на ZyWall и не мога директно да лист-на setkey -D(P). Но от това което се вижда от уеб базираните му настройки правилата са идентични. А всъщност цялата работа не опира ли до липсващ път? Поне от tcpdump-a оставам с впечатление, че умирам още на вътрешната eth1 и не стигам до тунела изобщоOn 7/31/06, Kamen Medarski [EMAIL PROTECTED] wrote: Малко е много информацията която си пратил и ще трябва време за да се прегледа .. но да попитам на двете машини командата setkey -D i stekey -DP дали съвпадат със зададените от теб правила?
Re: lug-bg: Как да видя ин формация за паметта?
Ivan Petrushev wrote: Как да видя информация за паметта на линукс машината - модел и производител на платката, брой слотове, честота? много добра туулка е : dmidecode може да се види може модела на дъното което си е голям е плюс хМТНПЛЮЖХЪ НР NOD32 рНБЮ ЯЗНАЫЕМХЕ Е ОПНБЕПЕМН ГЮ БХПСЯ Я NOD32 Antivirus System for mail Server. part000.txt - is OK http://www.nod32.com
Re: lug-bg: VPN route problem
On 7/31/06, Stanimir Kabaivanov [EMAIL PROTECTED] wrote: Здравейте,Гледах да е възможно по-пълна :). Дано не е много и страничния боклук, покрай ценната информация.Проблема е, че отсрещната страна е IPSec съвместимо устройство на ZyWall и не мога директно да лист-на setkey -D(P). Но от това което се вижда от уеб базираните му настройки правилата са идентични. А всъщност цялата работа не опира ли до липсващ път? Поне от tcpdump-a оставам с впечатление, че умирам още на вътрешната eth1 и не стигам до тунела изобщо On 7/31/06, Kamen Medarski [EMAIL PROTECTED] wrote: Малко е много информацията която си пратил и ще трябва време за да се прегледа .. но да попитам на двете машини командата setkey -D i stekey -DP дали съвпадат със зададените от теб правила? Ами липсващия път може да се получи при неправилно описани полици на тунела. А нещо необичайно из логовете да има? Питам защото си мисля че тунела не се инициализира коректно, ти се опитваш да пуснеш конфигурация road-worrior обаче до колкото си спомням там в конфигурационния файл би трябвало да има само anonymous police в sa database и клауза generate police=on, обаче при теб виждам описан и отаделчен хост зададен статично. Така, че те съветвам да попрегедаш МАНУЕЛА :-) на това устройство отностно конфигурацията, или още един източник на примери може да е /usr/share/racoon там, мисля че има примерни конфигурационни файлове които може да ти бъдат от полза.
Re: lug-bg: VPN route problem
Здравей, On Mon, 31 Jul 2006 11:21:26 +0300 Stanimir Kabaivanov [EMAIL PROTECTED] wrote: [ кръц ] #Linux-racoon - MyZwall and MyZwall - Linux-racoon setkey -c END spdadd $REMOTE_EXT_IP $LOCAL_EXT_IP any -P in ipsec esp/tunnel/$REMOTE_EXT_IP-$LOCAL_EXT_IP/unique; spdadd $REMOTE_LAN/$REMOTE_SUBNET_MASK $LOCAL_LAN/$LOCAL_SUBNET_MASK any -P in ipsec esp/tunnel/$REMOTE_EXT_IP-$LOCAL_EXT_IP/unique; spdadd $LOCAL_EXT_IP $REMOTE_EXT_IP any -P out ipsec esp/tunnel/$LOCAL_EXT_IP-$REMOTE_EXT_IP/unique; spdadd $LOCAL_LAN/$LOCAL_SUBNET_MASK $REMOTE_LAN/$REMOTE_SUBNET_MASK any -P out ipsec esp/tunnel/$LOCAL_EXT_IP-$REMOTE_EXT_IP/unique; END [ кръц ] Тук би ли могъл да добавиш нещо от сорта на: spdadd $LOCAL_LAN/$LOCAL_SUBNET_MASK $REMOTE_LAN/$REMOTE_SUBNET_MASK any -P fwd ipsec esp/tunnel/$LOCAL_EXT_IP-$REMOTE_EXT_IP/require; [ кръц ] iptables -t nat -I POSTROUTING 1 -p 50 -j ACCEPT ip route add 192.168.x.0/23 via $LOCAL_EXT_IP src 192.168.y.1 [ кръц ] Тук наистина ли искаш да маскираш всичко, което минава през тунела, с локален IP адрес? -- Поздрави, Никола pgpEzZXCFY3di.pgp Description: PGP signature
Re: lug-bg: VPN route problem
Здравей,Тук би ли могъл да добавиш нещо от сорта на:spdadd $LOCAL_LAN/$LOCAL_SUBNET_MASK $REMOTE_LAN/$REMOTE_SUBNET_MASK any -P fwd ipsec esp/tunnel/$LOCAL_EXT_IP-$REMOTE_EXT_IP/require;След като го добавя това губя всякаква връзка между ПС-тата от локалната ЛАН и отдалечената ЛАН. Дори пинг и трейс спряха да работят. Аналогична е сигуацията когато горното правило е:а) добавено към останалитеб) out в ЛАН/ЛАН правилото е заменено с fwd [ кръц ] iptables -t nat -I POSTROUTING 1 -p 50 -j ACCEPT ip route add 192.168.x.0/23 via $LOCAL_EXT_IP src 192.168.y.1[ кръц ]Тук наистина ли искаш да маскираш всичко, което минава през тунела, с локален IP адрес?Ами ако не го направя няма как да изпращам по тунела.
lug-bg: Re: lug-bg: Как да видя информация за паметта?
Това показва интересни неща, но доста от информацията която дава е неточна ;)On 7/31/06, Илия Дюлгеров [EMAIL PROTECTED] wrote:Ivan Petrushev wrote: Как да видя информация за паметта на линукс машината - модел и производител на платката, брой слотове, честота?много добра туулка е : dmidecodeможе да се види може модела на дъното коетоси е голям е плюс хМТНПЛЮЖХЪ НР NOD32 рНБЮ ЯЗНАЫЕМХЕ Е ОПНБЕПЕМН ГЮ БХПСЯ Я NOD32 Antivirus System for mail Server. part000.txt - is OKhttp://www.nod32.com