Организация VPN тунеля

На доскональное знание данной темы, не может претендовать, пожалуй ни один спец, из ныне живущих на земле. ;-)
Так поможем друг другу.

Модераторы: Trinity admin`s, Free-lance moderator`s

Ответить
yar
Junior member
Сообщения: 8
Зарегистрирован: 11 янв 2005, 13:32

Организация VPN тунеля

Сообщение yar » 20 май 2005, 12:14

Привет All.

Такой вопрос.
Есть две ЛВС, которые соединяются туннелем. Здесь проблем нет. Но я хочу дать ЛВС1 не только доступ к ЛВС2, но и через ЛВС2 доступ в инет. Т.е. схема такая:

ЛВС1---VPNшлюз1----IPSEC----VPNшлюз2---ЛВС2---Интернет

Проблема в маршрутизации трафика ЛВС1 в Инет через ЛВС2.
Когда я делаю пинг из ЛВС1 в ЛВС2 - все нормально, он через тунель идет в ЛВС2.
Но когда я делаю пинг из ЛВС1 в Инет ...пинга нет.
Где рыть, подскажите и такая схема вообще работоспособна ?

Заранее спасибо.

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Re: Организация VPN тунеля

Сообщение Stranger03 » 20 май 2005, 12:19

yar писал(а):Но когда я делаю пинг из ЛВС1 в Инет ...пинга нет.
Где рыть, подскажите и такая схема вообще работоспособна ?

Заранее спасибо.
Было бы нелишним указать на чем и как сделан канал. А так, медиумы в отпусках, :twisted:.
Единсвенное - смотрите на таблицы маршрутизации.

yar
Junior member
Сообщения: 8
Зарегистрирован: 11 янв 2005, 13:32

Сообщение yar » 20 май 2005, 12:43

Канал из ЛВС1 в ЛВС2 идет через частную сеть.
ЛВС2 связана с ЛВС1 через VPN (ipsec) и другим каналом (обычный DSL) связана с провайдером.

Связка ЛВС1---VPN---ЛВС2 работает. Т.е. я делаю пинг из ЛВС1 в ЛВС2 - он проходит и есть ответ. При этом если я запускаю tcpdump на vpn-интерфейсах я вижу ipsec-пакеты (ESP), если tcpdump в любой из ЛВС - то обычные icmp запросы и ответы. Так и должно быть.

Но вот если я делаю пинг из ЛВС1 в инет (например, пинг rambler.ru), то ответа нет.

Дело в том, что в конфигах ipsec (FreeS/WAN) на обоих vpn-шлюзах указываються подсеть своя и та куда надо пробросить трафик. Т.е. логически связываються две ЛВС.
И если в пакете sourceЛВС1 и destinationЛВС2 (или обратно), то пакет проходит.
Но вот если sourceЛВС1, а destinationИнтернет - то облом.

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Сообщение Stranger03 » 20 май 2005, 12:53

yar писал(а):Канал из ЛВС1 в ЛВС2 идет через частную сеть.
ЛВС2 связана с ЛВС1 через VPN (ipsec) и другим каналом (обычный DSL) связана с провайдером.
Мать, ну речь то ведь не об этом, речь о том, что за железки, адресация в сети, маршрутизация, гетвеи какие. А это просто общие слова, как бы безотносительная теория что ли.

yar
Junior member
Сообщения: 8
Зарегистрирован: 11 янв 2005, 13:32

Сообщение yar » 20 май 2005, 13:36

ЛВС1---VPNшлюз1---192.168.20.0/30---VPNшлюз2-----ЛВС2--------Инет

ЛВС1: сеть 192.168.10.0/24  gw 192.168.10.1
VPNшлюз1:  ethЛВС1 192.168.10.1   (Linux)
                  ethVPN1 192.168.20.2
VPNшлюз2:  ethVPN2 192.168.20.1    (Linux)
                  ethЛВС2 192.168.30.1
ЛВС2: сеть 192.168.30.0/24 gw 192.168.30.100

Инет:   ethЛВС1 192.168.30.100
          ethИнет x.x.x.x  gw x.x.x.y

Еще подробней ?
Таблицы маршрутизации и конфиги FreeS/WAN ?
Может проще по мылу ?

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Сообщение Stranger03 » 20 май 2005, 14:49

yar писал(а):Может проще по мылу ?
Можно по асе, она в профиле.

Аватара пользователя
Stranger03
Сотрудник Тринити
Сотрудник Тринити
Сообщения: 12979
Зарегистрирован: 14 ноя 2003, 16:25
Откуда: СПб, Екатеринбург
Контактная информация:

Сообщение Stranger03 » 20 май 2005, 14:53

yar писал(а):ЛВС1---VPNшлюз1---192.168.20.0/30---VPNшлюз2-----ЛВС2--------Инет
Вот теперь все становится яснее.
Скорей всего на второй стороне не прописан маршрут, куда посылать пакеты для сети 10.0/24. Пропишите там статический маршрут. Либо как вариант, сделайте шлюз, принадлежащей одной из сети, например шлюз типа

Код: Выделить всё

10.110 -> 10.110
Линуха тогда сама разберется что и куда слать.

Аватара пользователя
corvax
free-lance moderator
Сообщения: 877
Зарегистрирован: 06 авг 2004, 17:21
Откуда: Kiev, Ukraine
Контактная информация:

Сообщение corvax » 20 май 2005, 15:14

yar писал(а):ЛВС1---VPNшлюз1---192.168.20.0/30---VPNшлюз2-----ЛВС2--------Инет

ЛВС1: сеть 192.168.10.0/24  gw 192.168.10.1
VPNшлюз1:  ethЛВС1 192.168.10.1   (Linux)
                  ethVPN1 192.168.20.2
VPNшлюз2:  ethVPN2 192.168.20.1    (Linux)
                  ethЛВС2 192.168.30.1
ЛВС2: сеть 192.168.30.0/24 gw 192.168.30.100

Инет:   ethЛВС1 192.168.30.100
          ethИнет x.x.x.x  gw x.x.x.y
безотносительно того, какая ОС с обеих сторон, какой софт использован для построения VPN и вообще, VPN ли это или просто ethernet или PPP:

1. на 192.168.10.1 надо прописать маршрут на 192.168.30.0/24 через 192.168.20.2
2. на 192.168.30.1 надо прописать маршрут на 192.168.10.0/24 через 192.168.20.1
3. на 192.168.30.100 надо прописать маршрут на 192.168.10.0/24 через 192.168.30.1

это для того, чтобы с любого хоста 192.168.30.0/24 был доступен любой хост 192.168.10.0/24 и наоборот

если для 192.168.10.0/24 другого внешнего канала нет, кроме как через 192.168.20.1 то можно в пункте 1 прописать на 192.168.10.1 в качестве маршрута по умолчанию 192.168.20.2

если нет необходимости давать доступ к 192.168.10.0/24 из 192.168.30.0/24, то можно на 192.168.10.1 настроить NAT всего внешнего трафика с использованием адреса 192.168.20.2. тогда пункты 2 и 3 можно заменить на прописывание на 192.168.30.100 маршрута на 192.168.20.0/30 через 192.168.30.1
--
/corvax

Ответить

Вернуться в «Серверы - ПО, Unix подобные системы»

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и 13 гостей