lug-bg: VPN route problem

2006-07-31 Thread Stanimir Kabaivanov 
Здравейте,Ще се опитам да бъда максимално кратък и ясен с проблема:VPN
установен с racoon и вградената подръжка на IPSec. От едната страна на
тунела стои gateway Федора 5, от другата Линукс съвместимо устройство.Тунела се изгражда успешно. Пинг работи от произволна машина на едната мрежа към произволна машина на другата мрежа (и обратно).
Проблема е, че:1. Пинг и всякакви заявки вървят успешно от Федората към машини на другата мрежа.2. ЕДИНСТВЕНО пинг работи от машини стоящи зад Федората към машини на другата мрежа.Според мен проблема е в настройките на на iptables и route, а не е свързан с MTU. Но не мога да разбера какво точно пропускам:
Настройки на iptables:$LOCAL_GW - wuprosnata Fedora$REMOTE_GW - wuprosnoto Linux suwmestimo ustrojstwo192.168.x.0/23 - remote LAN192.168.y.0/24 - local LAN# Generated by iptables-save v1.3.5
 on Thu Jul 27 18:11:01 2006*mangle:PREROUTING ACCEPT [953:662425]:INPUT ACCEPT [859:646970]:FORWARD ACCEPT [94:15455]:OUTPUT ACCEPT [920:161181]:POSTROUTING ACCEPT [1014:176636]-A PREROUTING -i eth0 -p ipv6-crypt -j MARK --set-mark 0x1 
COMMIT# Completed on Thu Jul 27 18:11:01 2006# Generated by iptables-save v1.3.5 on Thu Jul 27 18:11:01 2006*nat:PREROUTING ACCEPT [69:5073]:POSTROUTING ACCEPT [66:4168]:OUTPUT ACCEPT [54:3554]
-A PREROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT -A PREROUTING -s 192.168.x.0/255.255.254.0 -i eth0 -m mark --mark 0x1 -j ACCEPT -A POSTROUTING -s 192.168.y.0/255.255.255.0 -d ! 192.168.x.0/255.255.254.0 -o eth0 -j MASQUERADE 
COMMIT# Completed on Thu Jul 27 18:11:01 2006# Generated by iptables-save v1.3.5 on Thu Jul 27 18:11:01 2006*filter:INPUT ACCEPT [33:6591]:FORWARD DROP [0:0]:OUTPUT ACCEPT [841:137877]:RH-Firewall-1-INPUT - [0:0]
-A INPUT -s $REMOTE_GW -d $LOCAL_GW -i eth0 -p udp -m udp --sport 500 --dport 500 -j ACCEPT -A INPUT -s $REMOTE_GW -d $LOCAL_GW -i eth0 -p tcp -m tcp --sport 500 --dport 500 -j ACCEPT -A INPUT -s $REMOTE_GW -d $LOCAL_GW -i eth0 -p ipv6-auth -j ACCEPT 
-A INPUT -s $REMOTE_GW -d $LOCAL_GW -i eth0 -p ipv6-crypt -j ACCEPT -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A INPUT -p icmp -j ACCEPT -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT -A INPUT -i eth0 -p udp -m udp --dport 500 -j ACCEPT 
-A INPUT -i eth0 -m mark --mark 0x1 -j ACCEPT -A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT -A FORWARD -i eth1 -o eth0 -j ACCEPT -A FORWARD -j LOG -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT 
-A FORWARD -i eth0 -m mark --mark 0x1 -j ACCEPT -A FORWARD -i eth1 -j ACCEPT -A OUTPUT -s $LOCAL_GW -d $REMOTE_GW -o eth0 -p udp -m udp --sport 500 --dport 500 -j ACCEPT -A OUTPUT -s $LOCAL_GW -d $REMOTE_GW -o eth0 -p tcp -m tcp --sport 500 --dport 500 -j ACCEPT 
-A OUTPUT -s $LOCAL_GW -d $REMOTE_GW -o eth0 -p ipv6-auth -j ACCEPT -A OUTPUT -s $LOCAL_GW -d $REMOTE_GW -o eth0 -p ipv6-crypt -j ACCEPT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT 
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT 
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT 
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT 
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 145 -j ACCEPT 
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT# Completed on Thu Jul 27 18:11:01 2006Пътища:r.e.m. - remote GWl.o.c. - local GWKernel IP routing table
Destination   Gateway Genmask Flags Metric Ref  Use Ifacel.o.c.0  *255.255.255.0  U   0   00 eth0192.168.y.0  *  
255.255.255.0  U   0   00 eth1192.168.x.0   localGW . 255.255.254.0  UG  0   00 eth0
169.254.0.0   * 255.255.0.0   U   0   00 eth1default localGW  0.0.0.0 UG  0   00 eth0Направих и следния опит, за да проверя къде е проблема:
пуснах tcpdump в отделни конзоли за eth1 (локална мрежа 192.168.y.0/24) и за eth0 - връзката с кабелния модем и интернет. Резултата леко ме изненада:При опит за ssh към сървър от remote LAN-а заявката ми умира още на eth1, като получавам съобщение ICMP host unreachable. Същевременно изходящ трафик в дъмп-а на eth0 няма. Което ме навежда на мисълта, че наистина не е MTU проблем а глупава пропусната настройка на моя линукс gateway
Предварително благодаря!

Re: lug-bg: VPN route problem

2006-07-31 Thread Georgi Chorbadzhiyski 
Stanimir Kabaivanov wrote:
 пуснах tcpdump в отделни конзоли за eth1 (локална мрежа 192.168.y.0/24) и за
 eth0 - връзката с кабелния модем и интернет. Резултата леко ме изненада:
 
 При опит за ssh към сървър от remote LAN-а заявката ми умира още на eth1,
 като получавам съобщение ICMP host unreachable. Същевременно изходящ трафик
 в дъмп-а на eth0 няма. Което ме навежда на мисълта, че наистина не е MTU
 проблем а глупава пропусната настройка на моя линукс gateway
 
 Предварително благодаря!

Според мен нямаш проблем с рутиранете, а с това че Fedora-та не препраща пакети,
тоест не е рутер.

cat /proc/sys/net/ipv4/ip_forward

Трябва да ти върне 1, инче е точно каквото предполагам.

За да го оправиш, добави в /etc/sysctl.conf

net.ipv4.ip_forward=1

и стартирай sysctl -w net.ipv4.ip_forward=1

-- 
Georgi Chorbadzhiyski
http://georgi.unixsol.org/

Re: lug-bg: VPN route problem

2006-07-31 Thread Georgi Chorbadzhiyski 
Georgi Chorbadzhiyski wrote:
 Stanimir Kabaivanov wrote:
 пуснах tcpdump в отделни конзоли за eth1 (локална мрежа 192.168.y.0/24) и за
 eth0 - връзката с кабелния модем и интернет. Резултата леко ме изненада:

 При опит за ssh към сървър от remote LAN-а заявката ми умира още на eth1,
 като получавам съобщение ICMP host unreachable. Същевременно изходящ трафик
 в дъмп-а на eth0 няма. Което ме навежда на мисълта, че наистина не е MTU
 проблем а глупава пропусната настройка на моя линукс gateway

 Предварително благодаря!
 
 Според мен нямаш проблем с рутиранете, а с това че Fedora-та не препраща 
 пакети,
 тоест не е рутер.
 
 cat /proc/sys/net/ipv4/ip_forward
 
 Трябва да ти върне 1, инче е точно каквото предполагам.
 
 За да го оправиш, добави в /etc/sysctl.conf
 
 net.ipv4.ip_forward=1
 
 и стартирай sysctl -w net.ipv4.ip_forward=1

И извинения за неграмотното писмо, дано си ме разбрал (note to me, не пиши преди
да си се събудил...)

-- 
Georgi Chorbadzhiyski
http://georgi.unixsol.org/

Re: lug-bg: VPN route problem

2006-07-31 Thread Stanimir Kabaivanov 
Здравейте,Stanimir Kabaivanov wrote: пуснах tcpdump в отделни конзоли за eth1 (локална мрежа 
192.168.y.0/24) и за eth0 - връзката с кабелния модем и интернет. Резултата леко ме изненада: При опит за ssh към сървър от remote LAN-а заявката ми умира още на eth1, като получавам съобщение ICMP host unreachable. Същевременно изходящ трафик
 в дъмп-а на eth0 няма. Което ме навежда на мисълта, че наистина не е MTU проблем а глупава пропусната настройка на моя линукс gateway Предварително благодаря!Според мен нямаш проблем с рутиранете, а с това че Fedora-та не препраща пакети,
тоест не е рутер.cat /proc/sys/net/ipv4/ip_forwardТрябва да ти върне 1, инче е точно каквото предполагам.За да го оправиш, добави в /etc/sysctl.confnet.ipv4.ip_forward=1
и стартирай sysctl -w net.ipv4.ip_forward=1ip_forward-а ми е включен (т.е. on / 1). В /etc/sysctl.conf си е установен на 1-ца. Опитах да го ресет-на като го изключа и включва отново но резултата е без промяна - нямам достъп до отдалечения лан, освен пинг и трейсруут (ВинХП машина от моя лан).

Re: lug-bg: VPN route problem

2006-07-31 Thread Stanimir Kabaivanov 
И извинения за неграмотното писмо, дано си ме разбрал (note to me, не пиши предида си се събудил...)
Няма проблеми :). Аз не съм спал от 1 седмица  заради проклетия ВПН :). Засега го ползвам от gateway-а но все ме гризе отвътре :-)

Re: lug-bg: VPN route problem

2006-07-31 Thread Kamen Medarski 
Защо за всеки случай не пратиш и съдържанието на полиситата?

Re: lug-bg: VPN route problem

2006-07-31 Thread Stanimir Kabaivanov 
С удоволствие:/etc/racoon.conf# Racoon IKE daemon configuration file.# See 'man racoon.conf' for a description of the format and entries.path include /etc/racoon;path pre_shared_key /etc/racoon/psk.txt;
path certificate /etc/racoon/certs;timer{ counter 5; # maximum trying count to send. interval 30 sec; # maximum interval to resend. persend 1; # the number of packets per a send.
 phase1 80 sec; phase2 85 sec;}#ZyWallremote q.w.e.r{ exchange_mode main,aggressive,base; lifetime time 24 hour; proposal_check=obey; nat_traversal on;
 esp_frag 552; proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key; dh_group 1; }}#net-to-netsainfo address 192.168.y.0
/24 any address 192.168.x.0/23 any{ lifetime time 1 hour; encryption_algorithm 3des; authentication_algorithm hmac_sha1,hmac_md5; compression_algorithm deflate;}sainfo anonymous
{ lifetime time 1 hour ; encryption_algorithm 3des, blowfish 448, rijndael ; authentication_algorithm hmac_sha1,hmac_md5 ; compression_algorithm deflate ;}и съответно setkey.sh
:#/sbin/setkey -f#flushsetkey -FPsetkey -F#LOCAL_EXT_IP - Internet IP of eth0 - my gatewayLOCAL_EXT_IP=a.b.c.d#REMOTE_EXT_IP - Internet IP of remote VPN gatewayREMOTE_EXT_IP=q.w.e.r
LOCAL_LAN=192.168.y.0LOCAL_SUBNET_MASK=24REMOTE_LAN=192.168.x.0REMOTE_SUBNET_MASK=23#Linux-racoon - MyZwall and MyZwall - Linux-racoonsetkey -c  ENDspdadd $REMOTE_EXT_IP $LOCAL_EXT_IP any -P in ipsec esp/tunnel/$REMOTE_EXT_IP-$LOCAL_EXT_IP/unique;
spdadd $REMOTE_LAN/$REMOTE_SUBNET_MASK $LOCAL_LAN/$LOCAL_SUBNET_MASK any -P in ipsec esp/tunnel/$REMOTE_EXT_IP-$LOCAL_EXT_IP/unique;spdadd $LOCAL_EXT_IP $REMOTE_EXT_IP any -P out ipsec esp/tunnel/$LOCAL_EXT_IP-$REMOTE_EXT_IP/unique;
spdadd $LOCAL_LAN/$LOCAL_SUBNET_MASK $REMOTE_LAN/$REMOTE_SUBNET_MASK any -P out ipsec esp/tunnel/$LOCAL_EXT_IP-$REMOTE_EXT_IP/unique;END#here comes the shitty part with iptablesiptables -A INPUT -p udp -s $REMOTE_EXT_IP -d $LOCAL_EXT_IP --dport 500 --j ACCEPT
iptables -A INPUT -p udp -s $REMOTE_EXT_IP -d $LOCAL_EXT_IP --dport 4500 --j ACCEPTiptables -A INPUT -p esp -s $REMOTE_EXT_IP -d $LOCAL_EXT_IP -j ACCEPTiptables -A INPUT -p ah -s $REMOTE_EXT_IP -d $LOCAL_EXT_IP -j ACCEPT
iptables -A INPUT -p udp -s $REMOTE_EXT_IP -d $LOCAL_EXT_IP --dport 50 --j ACCEPTiptables -A INPUT -p tcp -s $REMOTE_EXT_IP -d $LOCAL_EXT_IP --dport 50 --j ACCEPTiptables -A INPUT -p tcp -s $REMOTE_EXT_IP -d $LOCAL_EXT_IP --dport 80 --j ACCEPT
#now the same with outputiptables -A OUTPUT -p udp -d $REMOTE_EXT_IP -s $LOCAL_EXT_IP --sport 500 --j ACCEPTiptables -A OUTPUT -p udp -d $REMOTE_EXT_IP -s $LOCAL_EXT_IP --sport 4500 --j ACCEPTiptables -A OUTPUT -p esp -d $REMOTE_EXT_IP -s $LOCAL_EXT_IP -j ACCEPT
iptables -A OUTPUT -p ah -d $REMOTE_EXT_IP -s $LOCAL_EXT_IP -j ACCEPTiptables -A OUTPUT -p udp -d $REMOTE_EXT_IP -s $LOCAL_EXT_IP --sport 50 --j ACCEPTiptables -A OUTPUT -p tcp -d $REMOTE_EXT_IP -s $LOCAL_EXT_IP --sport 50 --j ACCEPT
iptables -A OUTPUT -p tcp -d $REMOVE_EXT_IP -s $LOCAL_EXT_IP --sport 80 --j ACCEPT#if we use masqueradeiptables -t nat -I POSTROUTING 1 -p 50 -j ACCEPTip route add 192.168.x.0/23 via $LOCAL_EXT_IP src 
192.168.y.1Този последния скрипт, за момента го пускам ръчно (все пак съм в период на тестване) преди да пусна самия ракуун с racoon -F -v.T.e. пълната последователност за установяване на тунела е:
$/etc/racoon/setkey.sh$racoon -F -vOn 7/31/06, Kamen Medarski [EMAIL PROTECTED] wrote:
Защо за всеки случай не пратиш и съдържанието на полиситата?

Re: lug-bg: VPN route problem

2006-07-31 Thread Kamen Medarski 
Малко е много информацията която си пратил и ще трябва време за да се прегледа .. но да попитам на двете машини командата setkey -D i stekey -DP дали съвпадат със зададените от теб правила?

Re: lug-bg: VPN route problem

2006-07-31 Thread Stanimir Kabaivanov 
Здравейте,Гледах да е възможно по-пълна :). Дано не е много и страничния боклук, покрай ценната информация.Проблема е, че отсрещната страна е IPSec съвместимо устройство на ZyWall и не мога директно да лист-на setkey -D(P). Но от това което се вижда от уеб базираните му настройки правилата са идентични.
А всъщност цялата работа не опира ли до липсващ път? Поне от tcpdump-a оставам с впечатление, че умирам още на вътрешната eth1 и не стигам до тунела изобщоOn 7/31/06, 
Kamen Medarski [EMAIL PROTECTED] wrote:
Малко е много информацията която си пратил и ще трябва време за да се прегледа .. но да попитам на двете машини командата setkey -D i stekey -DP дали съвпадат със зададените от теб правила?

Re: lug-bg: Как да видя ин формация за паметта?

2006-07-31 Thread Илия Дюлгеров 
Ivan Petrushev wrote:

 Как да видя информация за паметта на линукс машината - модел и
 производител на платката, брой слотове, честота?

много добра туулка е : dmidecode
може да се види може модела на дъното което  си е голям е плюс


 хМТНПЛЮЖХЪ НР NOD32 
рНБЮ ЯЗНАЫЕМХЕ Е ОПНБЕПЕМН ГЮ БХПСЯ Я NOD32 Antivirus System for mail Server.

  part000.txt - is OK
http://www.nod32.com

Re: lug-bg: VPN route problem

2006-07-31 Thread Kamen Medarski 
On 7/31/06, Stanimir Kabaivanov [EMAIL PROTECTED] wrote:
Здравейте,Гледах да е възможно по-пълна :). Дано не е много и страничния боклук, покрай ценната информация.Проблема е, че отсрещната страна е IPSec съвместимо устройство на ZyWall и не мога директно да лист-на setkey -D(P). Но от това което се вижда от уеб базираните му настройки правилата са идентични.
А всъщност цялата работа не опира ли до липсващ път? Поне от tcpdump-a оставам с впечатление, че умирам още на вътрешната eth1 и не стигам до тунела изобщо
On 7/31/06, 
Kamen Medarski [EMAIL PROTECTED] wrote:

Малко е много информацията която си пратил и ще трябва време за да се прегледа .. но да попитам на двете машини командата setkey -D i stekey -DP дали съвпадат със зададените от теб правила?

Ами липсващия път може да се получи при неправилно описани полици на тунела. А нещо необичайно из логовете да има? Питам защото си мисля че тунела не се инициализира коректно, ти се опитваш да пуснеш конфигурация road-worrior обаче до колкото си спомням там в конфигурационния файл би трябвало да има само anonymous police в sa database и клауза generate police=on, обаче при теб виждам описан и отаделчен хост зададен статично. Така, че те съветвам да попрегедаш МАНУЕЛА :-) на това устройство отностно конфигурацията, или още един източник на примери може да е /usr/share/racoon там, мисля че има примерни конфигурационни файлове които може да ти бъдат от полза.

Re: lug-bg: VPN route problem

2006-07-31 Thread Nickola Kolev 
Здравей,

On Mon, 31 Jul 2006 11:21:26 +0300
Stanimir Kabaivanov [EMAIL PROTECTED] wrote:

[ кръц ]
 #Linux-racoon - MyZwall and MyZwall - Linux-racoon
 setkey -c  END
 spdadd $REMOTE_EXT_IP $LOCAL_EXT_IP any -P in ipsec
 esp/tunnel/$REMOTE_EXT_IP-$LOCAL_EXT_IP/unique;
 spdadd $REMOTE_LAN/$REMOTE_SUBNET_MASK $LOCAL_LAN/$LOCAL_SUBNET_MASK
 any -P in ipsec esp/tunnel/$REMOTE_EXT_IP-$LOCAL_EXT_IP/unique;
 spdadd $LOCAL_EXT_IP $REMOTE_EXT_IP any -P out ipsec
 esp/tunnel/$LOCAL_EXT_IP-$REMOTE_EXT_IP/unique;
 spdadd $LOCAL_LAN/$LOCAL_SUBNET_MASK $REMOTE_LAN/$REMOTE_SUBNET_MASK
 any -P out ipsec esp/tunnel/$LOCAL_EXT_IP-$REMOTE_EXT_IP/unique;
 END
[ кръц ]

Тук би ли могъл да добавиш нещо от сорта на:

spdadd $LOCAL_LAN/$LOCAL_SUBNET_MASK $REMOTE_LAN/$REMOTE_SUBNET_MASK
any -P fwd ipsec esp/tunnel/$LOCAL_EXT_IP-$REMOTE_EXT_IP/require;


[ кръц ]
 iptables -t nat -I POSTROUTING 1 -p 50 -j ACCEPT
 ip route add 192.168.x.0/23 via $LOCAL_EXT_IP src 192.168.y.1
[ кръц ]

Тук наистина ли искаш да маскираш всичко, което минава през тунела, с
локален IP адрес?

-- 
Поздрави,
Никола


pgpEzZXCFY3di.pgp
Description: PGP signature

Re: lug-bg: VPN route problem

2006-07-31 Thread Stanimir Kabaivanov 
Здравей,Тук би ли могъл да добавиш нещо от сорта на:spdadd $LOCAL_LAN/$LOCAL_SUBNET_MASK $REMOTE_LAN/$REMOTE_SUBNET_MASK
any -P fwd ipsec esp/tunnel/$LOCAL_EXT_IP-$REMOTE_EXT_IP/require;След като го добавя това губя всякаква връзка между ПС-тата от локалната ЛАН и отдалечената ЛАН. Дори пинг и трейс спряха да работят.
Аналогична е сигуацията когато горното правило е:а) добавено към останалитеб) out в ЛАН/ЛАН правилото е заменено с fwd
[ кръц ] iptables -t nat -I POSTROUTING 1 -p 50 -j ACCEPT ip route add 192.168.x.0/23 via $LOCAL_EXT_IP src 192.168.y.1[ кръц ]Тук наистина ли искаш да маскираш всичко, което минава през тунела, с
локален IP адрес?Ами ако не го направя няма как да изпращам по тунела.

lug-bg: Re: lug-bg: Как да видя информация за паметта?

2006-07-31 Thread Ivan Petrushev 
Това показва интересни неща, но доста от информацията която дава е неточна ;)On 7/31/06, Илия Дюлгеров [EMAIL PROTECTED]
 wrote:Ivan Petrushev wrote: Как да видя информация за паметта на линукс машината - модел и
 производител на платката, брой слотове, честота?много добра туулка е : dmidecodeможе да се види може модела на дъното коетоси е голям е плюс хМТНПЛЮЖХЪ НР NOD32 рНБЮ ЯЗНАЫЕМХЕ Е ОПНБЕПЕМН ГЮ БХПСЯ Я NOD32 Antivirus System for mail Server.
part000.txt - is OKhttp://www.nod32.com