[Comm] VPN

[Comm] VPN

[Алексей]

Hello community,

  Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
  192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
  со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
  машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
  другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
  подскажите отцы.

-- 
Best regards,
 Алексей                          mailto:aleksey@ecolas.ru

Re: [Comm] VPN

[Andrew Nazarkin]

On Thu, 19 Dec 2002 15:33:12 +0300
Алексей <aleksey@ecolas.ru> wrote:

> Hello community,
> 
>   Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
>   192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
>   со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
>   машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
>   другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
>   подскажите отцы.

Может, route?
Добавьте дополнительные гейтвеи, авось, и заработает...

> 
> -- 
> Best regards,
>  Алексей                          mailto:aleksey@ecolas.ru
> 
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community

Re: [Comm] VPN

[andy Tatarinov]

>   Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
>   192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
>   со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
>   машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
>   другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
>   подскажите отцы.

как я понял там проблема в том, что pppd запрещает pppXX... то есть ping говорит что-то типа operation is not permitted

правда вот как разрулить это я не знаю. у нас в сети аналогичная ситуация.

-- 
...2b|!2b?

Re: [Comm] VPN

[Dmytro O. Redchuk]

On Thu, Dec 19, 2002 at 03:33:12PM +0300, Алексей wrote:
> Hello community,
> 
>   Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
А на чём?

>   192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
>   со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
>   машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
>   другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
>   подскажите отцы.
Для FreeSWAN нужно прописывать отдельные секции для gw1<->2gw, gw1<->LAN2,
LAN1<->gw2...

> 
> -- 
> Best regards,
>  Алексей                          mailto:aleksey@ecolas.ru
-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk

Re[2]: [Comm] VPN

[Алексей]

Hello andy,

Thursday, December 19, 2002, 3:53:49 PM, you wrote:

>>   Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
>>   192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
>>   со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
>>   машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
>>   другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
>>   подскажите отцы.

aT> как я понял там проблема в том, что pppd запрещает pppXX... то есть ping говорит что-то типа operation is not permitted

aT> правда вот как разрулить это я не знаю. у нас в сети аналогичная ситуация.


Vpn собирал с помощью IPSEC

-- 
Best regards,
 Алексей                            mailto:aleksey@ecolas.ru

Re[2]: [Comm] VPN

[Алексей]

Hello Dmytro,

Thursday, December 19, 2002, 3:57:57 PM, you wrote:

DOR> On Thu, Dec 19, 2002 at 03:33:12PM +0300, Алексей wrote:
>> Hello community,
>> 
>>   Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
DOR> А на чём?

>>   192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
>>   со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
>>   машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
>>   другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
>>   подскажите отцы.
DOR> Для FreeSWAN нужно прописывать отдельные секции для gw1<->2gw, gw1<->LAN2,
DOR> LAN1<->gw2...

>> 
>> -- 
>> Best regards,
>>  Алексей                          mailto:aleksey@ecolas.ru

А поподробней. Пример если бы показал было-бы ваще классно. )))

-- 
Best regards,
 Алексей                            mailto:aleksey@ecolas.ru

Re: [Comm] VPN

[Dmytro O. Redchuk]

On Thu, Dec 19, 2002 at 04:34:25PM +0300, Алексей wrote:
> Hello Dmytro,
> 
> Thursday, December 19, 2002, 3:57:57 PM, you wrote:
> 
> DOR> On Thu, Dec 19, 2002 at 03:33:12PM +0300, Алексей wrote:
> >> Hello community,
> >> 
> >>   Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
> DOR> А на чём?
> 
> >>   192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
> >>   со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
> >>   машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
> >>   другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
> >>   подскажите отцы.
> DOR> Для FreeSWAN нужно прописывать отдельные секции для gw1<->2gw, gw1<->LAN2,
> DOR> LAN1<->gw2...
> 
> А поподробней. Пример если бы показал было-бы ваще классно. )))
Да у меня нету под рукой...
Почти год, как делал,
 и осталось оно в прошлом :-)

Но там в доке всё есть, с примерами и объяснениями.

> 
> -- 
> Best regards,
>  Алексей                            mailto:aleksey@ecolas.ru
-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk


I just need enough to tide me over until I need more.
		-- Bill Hoest

Re[2]: [Comm] VPN

[Алексей]

Hello Dmytro,

Thursday, December 19, 2002, 4:42:10 PM, you wrote:

DOR> On Thu, Dec 19, 2002 at 04:34:25PM +0300, Алексей wrote:
>> Hello Dmytro,
>> 
>> Thursday, December 19, 2002, 3:57:57 PM, you wrote:
>> 
>> DOR> On Thu, Dec 19, 2002 at 03:33:12PM +0300, Алексей wrote:
>> >> Hello community,
>> >> 
>> >>   Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
>> DOR> А на чём?
>> 
>> >>   192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
>> >>   со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
>> >>   машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
>> >>   другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
>> >>   подскажите отцы.
>> DOR> Для FreeSWAN нужно прописывать отдельные секции для gw1<->2gw, gw1<->LAN2,
>> DOR> LAN1<->gw2...
>> 
>> А поподробней. Пример если бы показал было-бы ваще классно. )))
DOR> Да у меня нету под рукой...
DOR> Почти год, как делал,
DOR>  и осталось оно в прошлом :-)

DOR> Но там в доке всё есть, с примерами и объяснениями.

>> 
>> -- 
>> Best regards,
>>  Алексей                            mailto:aleksey@ecolas.ru

Ок спасибо. Посмотрю. Я только 2 дня как впн наладил, но вот подобных
тонкостей еще не разрулил

-- 
Best regards,
 Алексей                            mailto:aleksey@ecolas.ru

Re: [Comm] VPN

[Sergey V. Golovin]

Здравствуйте!

Так там все просто:
нужно только четко знать где лево, а где право :-)

Просто копируете ту секцию, которая у Вас уже есть для 
подсетей и убираете с той стороны, где просто роутер, строчку
(left|right)subnet=...
Да не забудьте дать уникальное имя подключению
conn newname

-- 
Sergey V. Golovin

Re[2]: [Comm] VPN

[Алексей]

Hello Sergey,

Friday, December 20, 2002, 10:10:22 AM, you wrote:

SVG> Здравствуйте!

SVG> Так там все просто:
SVG> нужно только четко знать где лево, а где право :-)

SVG> Просто копируете ту секцию, которая у Вас уже есть для 
SVG> подсетей и убираете с той стороны, где просто роутер, строчку
SVG> (left|right)subnet=...
SVG> Да не забудьте дать уникальное имя подключению
SVG> conn newname


т.е 1 секция вот такая
conn vpn
        type=tunnel
        compress=yes
        left=80.80.112.35
        leftsubnet=192.168.1.200/255.255.255.0
        leftnexthop=80.80.111.96
        right=80.80.199.123
        rightsubnet=192.168.2.0/255.255.255.0
        rightnexthop=80.80.111.96
        keyingtries=0
        leftrsasigkey=<тут ключ>
        rightrsasigkey=<тут ключ>
        auth=ah
        authby=rsasig
        auto=start


        а вторая должна быть вот такой


conn vpn
        type=tunnel
        compress=yes
        left=80.80.112.35
        leftsubnet=
        leftnexthop=80.80.111.96
        right=80.80.199.123
        rightsubnet=
        rightnexthop=80.80.111.96
        keyingtries=0
        leftrsasigkey=<тут ключ>
        rightrsasigkey=<тут ключ>
        auth=ah
        authby=rsasig
        auto=start

        Правильно ???
Заранее благодарен.
Ты единственный кто ответил вразумительно. Спасибо.

-- 
Best regards,
 Алексей                            mailto:aleksey@ecolas.ru

Re: [Comm] VPN

[Dmytro O. Redchuk]

On Fri, Dec 20, 2002 at 12:40:42PM +0300, Алексей wrote:
> т.е 1 секция вот такая
> conn vpn
>         type=tunnel
>         compress=yes
>         left=80.80.112.35
>         leftsubnet=192.168.1.200/255.255.255.0
>         leftnexthop=80.80.111.96
>         right=80.80.199.123
>         rightsubnet=192.168.2.0/255.255.255.0
>         rightnexthop=80.80.111.96
>         keyingtries=0
>         leftrsasigkey=<тут ключ>
>         rightrsasigkey=<тут ключ>
>         auth=ah
>         authby=rsasig
>         auto=start
> 
> 
>         а вторая должна быть вот такой
> 
> 
> conn vpn
       ^^^ тут другое имя. имена д.б. уникальные
       
>         type=tunnel
>         compress=yes
>         left=80.80.112.35
>         leftsubnet=
	-- эту строку убрать

>         leftnexthop=80.80.111.96
>         right=80.80.199.123
>         rightsubnet=
	-- эту строку убрать

>         rightnexthop=80.80.111.96
>         keyingtries=0
>         leftrsasigkey=<тут ключ>
>         rightrsasigkey=<тут ключ>
>         auth=ah
>         authby=rsasig
>         auto=start
> 
>         Правильно ???
> Заранее благодарен.
> Ты единственный кто ответил вразумительно. Спасибо.
Прошу прощения, что вмешался.
(Но в доке это всё ещё вразумительней, честное слово!-)

> 
> -- 
> Best regards,
>  Алексей                            mailto:aleksey@ecolas.ru
-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk

Re[2]: [Comm] VPN

[Алексей]

Hello Dmytro,

Friday, December 20, 2002, 12:51:49 PM, you wrote:

DOR> On Fri, Dec 20, 2002 at 12:40:42PM +0300, Алексей wrote:
>> т.е 1 секция вот такая
>> conn vpn
>>         type=tunnel
>>         compress=yes
>>         left=80.80.112.35
>>         leftsubnet=192.168.1.200/255.255.255.0
>>         leftnexthop=80.80.111.96
>>         right=80.80.199.123
>>         rightsubnet=192.168.2.0/255.255.255.0
>>         rightnexthop=80.80.111.96
>>         keyingtries=0
>>         leftrsasigkey=<тут ключ>
>>         rightrsasigkey=<тут ключ>
>>         auth=ah
>>         authby=rsasig
>>         auto=start
>> 
>> 
>>         а вторая должна быть вот такой
>> 
>> 
>> conn vpn
DOR>        ^^^ тут другое имя. имена д.б. уникальные
       
>>         type=tunnel
>>         compress=yes
>>         left=80.80.112.35
>>         leftsubnet=
DOR>         -- эту строку убрать

>>         leftnexthop=80.80.111.96
>>         right=80.80.199.123
>>         rightsubnet=
DOR>         -- эту строку убрать

>>         rightnexthop=80.80.111.96
>>         keyingtries=0
>>         leftrsasigkey=<тут ключ>
>>         rightrsasigkey=<тут ключ>
>>         auth=ah
>>         authby=rsasig
>>         auto=start
>> 
>>         Правильно ???
>> Заранее благодарен.
>> Ты единственный кто ответил вразумительно. Спасибо.
DOR> Прошу прощения, что вмешался.
DOR> (Но в доке это всё ещё вразумительней, честное слово!-)

>> 
>> -- 
>> Best regards,
>>  Алексей                            mailto:aleksey@ecolas.ru

Ну да в conn во втором у меня написано gateway это я забыл . Но вот
когда я так соорудил  не только впн даже ssh перестал отвечать на
запросы с удаленного хоста с которго я конфигурил это все)))).

-- 
Best regards,
 Алексей                            mailto:aleksey@ecolas.ru

Re: [Comm] VPN

[Dmytro O. Redchuk]

On Fri, Dec 20, 2002 at 02:29:46PM +0300, Алексей wrote:
> 
> Ну да в conn во втором у меня написано gateway это я забыл . Но вот
> когда я так соорудил  не только впн даже ssh перестал отвечать на
> запросы с удаленного хоста с которго я конфигурил это все)))).
ssh на внешний или на внутренний адрес?

> 
> -- 
> Best regards,
>  Алексей                            mailto:aleksey@ecolas.ru
-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk


Thousands of days of civilians ... have produced a ... feeling for the
aesthetic modules --

Re: [Comm] VPN

[Sergey V. Golovin]

On 20 Dec Fri 14:29, Алексей wrote:
> >> т.е 1 секция вот такая
> >> conn vpn
> >>         type=tunnel
> >>         compress=yes
> >>         left=80.80.112.35
> >>         leftsubnet=192.168.1.200/255.255.255.0
> >>         leftnexthop=80.80.111.96
> >>         right=80.80.199.123
> >>         rightsubnet=192.168.2.0/255.255.255.0
> >>         rightnexthop=80.80.111.96
> >>         keyingtries=0
> >>         leftrsasigkey=<тут ключ>
> >>         rightrsasigkey=<тут ключ>
> >>         auth=ah
> >>         authby=rsasig
> >>         auto=start
> >> conn gateway
так?
> >>         type=tunnel
> >>         compress=yes
> >>         left=80.80.112.35
> >>         leftsubnet=
> DOR>         -- эту строку убрать
убрали?
> 
> >>         leftnexthop=80.80.111.96
> >>         right=80.80.199.123
> >>         rightsubnet=
> DOR>         -- эту строку убрать
убрали?
> 
> >>         rightnexthop=80.80.111.96
у Вас leftnexthop == rightnexthop - да?
Они в прямой видимости находяться?
Тогда надо
leftnexthop=%direct
rightnexthop=%direct

> >>         keyingtries=0
> >>         leftrsasigkey=<тут ключ>
> >>         rightrsasigkey=<тут ключ>
> >>         auth=ah
> >>         authby=rsasig
> >>         auto=start
> Ну да в conn во втором у меня написано gateway это я забыл . Но вот
> когда я так соорудил  не только впн даже ssh перестал отвечать на
> запросы с удаленного хоста с которго я конфигурил это все)))).

если та подсеть пингуется и удачно :-) настроен sshd, то попробуйте зайти
на адрес того интерфейса, что смотрит в ту подсеть.

-- 
Sergey V. Golovin

Re[2]: [Comm] VPN

[Алексей]

Hello Dmytro,

Friday, December 20, 2002, 2:49:14 PM, you wrote:

DOR> On Fri, Dec 20, 2002 at 02:29:46PM +0300, Алексей wrote:
>> 
>> Ну да в conn во втором у меня написано gateway это я забыл . Но вот
>> когда я так соорудил  не только впн даже ssh перестал отвечать на
>> запросы с удаленного хоста с которго я конфигурил это все)))).
DOR> ssh на внешний или на внутренний адрес?

>> 
>> -- 
>> Best regards,
>>  Алексей                            mailto:aleksey@ecolas.ru

Внешний

-- 
Best regards,
 Алексей                            mailto:aleksey@ecolas.ru

Re: [Comm] VPN

[Dmytro O. Redchuk]

On Fri, Dec 20, 2002 at 03:22:38PM +0300, Алексей wrote:
> Hello Dmytro,
> 
> Friday, December 20, 2002, 2:49:14 PM, you wrote:
> 
> DOR> On Fri, Dec 20, 2002 at 02:29:46PM +0300, Алексей wrote:
> >> 
> >> Ну да в conn во втором у меня написано gateway это я забыл . Но вот
> >> когда я так соорудил  не только впн даже ssh перестал отвечать на
> >> запросы с удаленного хоста с которго я конфигурил это все)))).
> DOR> ssh на внешний или на внутренний адрес?
> 
> Внешний
пробуйте на внутренний

> 
> -- 
> Best regards,
>  Алексей                            mailto:aleksey@ecolas.ru
-- 
  _,-=._              /|_/|
  `-.}   `=._,.-=-._.,  @ @._,
     `._ _,-.   )      _,.-'
        `    G.m-"^m`m'        Dmytro O. Redchuk


Look before you leap.
		-- Samuel Butler

Re[2]: [Comm] VPN

[Алексей]

conn vpn
> >>         type=tunnel
> >>         compress=yes
> >>         left=80.80.112.35
> >>         leftsubnet=192.168.1.200/255.255.255.0
> >>         leftnexthop=80.80.111.96
> >>         right=80.80.199.123
> >>         rightsubnet=192.168.2.0/255.255.255.0
> >>         rightnexthop=80.80.111.96
> >>         keyingtries=0
> >>         leftrsasigkey=<тут ключ>
> >>         rightrsasigkey=<тут ключ>
> >>         auth=ah
> >>         authby=rsasig
> >>         auto=start

> >> conn gateway
> >>         type=tunnel
> >>         compress=yes
> >>         left=80.80.112.35
> >>         leftnexthop=80.80.111.96
> >>         right=80.80.199.123
> >>         rightnexthop=80.80.111.96
у Вас leftnexthop == rightnexthop - да?
Они в прямой видимости находяться?
Тогда надо
leftnexthop=%direct
rightnexthop=%direct

> >>         keyingtries=0
> >>         leftrsasigkey=<тут ключ>
> >>         rightrsasigkey=<тут ключ>
> >>         auth=ah
> >>         authby=rsasig
> >>         auto=start

leftnexthop <> rightnexthop разные ключи
если прописать
leftnexthop=%direct
rightnexthop=%direct
проаодает ВПН

(((((((



-- 
Best regards,
 Алексей                            mailto:aleksey@ecolas.ru

Re: [Comm] VPN

[Sergey V. Golovin]

On 20 Dec Fri 15:36, Алексей wrote:
> > >>         keyingtries=0
> > >>         leftrsasigkey=<тут ключ>
> > >>         rightrsasigkey=<тут ключ>
> > >>         auth=ah
> > >>         authby=rsasig
> > >>         auto=start
> 
> leftnexthop <> rightnexthop разные ключи

У Вас в  конфигурации они были одинаковыми (80.80.111.96),
причем здесь ключи? Это гейты.
Вот я и подумал , что у Вас там такая громадная сетка.

> если прописать
> leftnexthop=%direct
> rightnexthop=%direct
> проаодает ВПН

Поточнее опишите карту сети.

-- 
Sergey V. Golovin

Re[2]: [Comm] VPN

[Алексей]

Hello Sergey,

Friday, December 20, 2002, 3:51:36 PM, you wrote:

SVG> On 20 Dec Fri 15:36, Алексей wrote:
>> > >>         keyingtries=0
>> > >>         leftrsasigkey=<тут ключ>
>> > >>         rightrsasigkey=<тут ключ>
>> > >>         auth=ah
>> > >>         authby=rsasig
>> > >>         auto=start
>> 
>> leftnexthop <> rightnexthop разные ключи

SVG> У Вас в  конфигурации они были одинаковыми (80.80.111.96),
SVG> причем здесь ключи? Это гейты.
SVG> Вот я и подумал , что у Вас там такая громадная сетка.

>> если прописать
>> leftnexthop=%direct
>> rightnexthop=%direct
>> проаодает ВПН

SVG> Поточнее опишите карту сети.


Ок.
Есть 2-ва офиса в одном офисе локаль 192.168.1.0 тут же есть сервак
подключенный в интернет через adsl модем, в другом офисе тоже самое и
локаль 192.168.2.0 .
Между серваками 3 дня назад сделал ВПН, теперь из сети в 1-ом офисе
пунгуются компы в локале во 2-ом офисе. Весьма удобно настраивать
винды удалденно с помощью radmin.
Например комп во 2-ом офисе с ip 192.168.1.32 пингует комп в первом с
ip 192.168.1.104 и наоборот.
Шлюзы на которых подняты соединения с интернет и впн имеют локальные адреса
192.168.1.200 и 192.168.2.201. В 1-ом и 2-ом офисах соответственно.
Так вот пинговать шлюз 192.168.1.200 получается с любого компа в сети
192.168.2.0 и шлюз с ip 192.168.2.201 пингуется с любого компа в локале
 192.168.1.0.
 Все вроде классно как я и задумывал, но вот шлюзы пинговать друг друга
 по локальным адресам отказываются.

 Надо вроде что-то прописать в /etc/ipsec.conf. Доку читал, но
 безуспешно.

 Ну вот вроде все так, ничего не забыл.
 Спасибо за помошь.
-- 
Best regards,
 Алексей                            mailto:aleksey@ecolas.ru

Re: [Comm] VPN

[Sergey V. Golovin]

On 20 Dec Fri 16:09, Алексей wrote:
> Ок.
> Есть 2-ва офиса в одном офисе локаль 192.168.1.0 тут же есть сервак
> подключенный в интернет через adsl модем, в другом офисе тоже самое и
> локаль 192.168.2.0 .

С adsl я никогда не работал, поэтому м.б. спрошу глупость - в Вашей
конфигурации шлюз по умолч. на роутерах одинаковый?

> Между серваками 3 дня назад сделал ВПН, теперь из сети в 1-ом офисе
> пунгуются компы в локале во 2-ом офисе. Весьма удобно настраивать
> винды удалденно с помощью radmin.
> Например комп во 2-ом офисе с ip 192.168.1.32 пингует комп в первом с
> ip 192.168.1.104 и наоборот.
> Шлюзы на которых подняты соединения с интернет и впн имеют локальные адреса
> 192.168.1.200 и 192.168.2.201. В 1-ом и 2-ом офисах соответственно.
> Так вот пинговать шлюз 192.168.1.200 получается с любого компа в сети
> 192.168.2.0 и шлюз с ip 192.168.2.201 пингуется с любого компа в локале
>  192.168.1.0.
>  Все вроде классно как я и задумывал, но вот шлюзы пинговать друг друга
>  по локальным адресам отказываются.

Наверное, есть файрволл, который работает для любого пакета, кроме как в другую
подсеть? Если да, то может в его правилах засада?
А так все должно работать, если убрать строки с subnet и разобраться со шлюзами.

-- 
Sergey V. Golovin

Re[2]: [Comm] VPN

[Алексей]

Hello Sergey,

Friday, December 20, 2002, 5:07:34 PM, you wrote:

SVG> On 20 Dec Fri 16:09, Алексей wrote:
>> Ок.
>> Есть 2-ва офиса в одном офисе локаль 192.168.1.0 тут же есть сервак
>> подключенный в интернет через adsl модем, в другом офисе тоже самое и
>> локаль 192.168.2.0 .

SVG> С adsl я никогда не работал, поэтому м.б. спрошу глупость - в Вашей
SVG> конфигурации шлюз по умолч. на роутерах одинаковый?

>> Между серваками 3 дня назад сделал ВПН, теперь из сети в 1-ом офисе
>> пунгуются компы в локале во 2-ом офисе. Весьма удобно настраивать
>> винды удалденно с помощью radmin.
>> Например комп во 2-ом офисе с ip 192.168.1.32 пингует комп в первом с
>> ip 192.168.1.104 и наоборот.
>> Шлюзы на которых подняты соединения с интернет и впн имеют локальные адреса
>> 192.168.1.200 и 192.168.2.201. В 1-ом и 2-ом офисах соответственно.
>> Так вот пинговать шлюз 192.168.1.200 получается с любого компа в сети
>> 192.168.2.0 и шлюз с ip 192.168.2.201 пингуется с любого компа в локале
>>  192.168.1.0.
>>  Все вроде классно как я и задумывал, но вот шлюзы пинговать друг друга
>>  по локальным адресам отказываются.

SVG> Наверное, есть файрволл, который работает для любого пакета, кроме как в другую
SVG> подсеть? Если да, то может в его правилах засада?
SVG> А так все должно работать, если убрать строки с subnet и разобраться со шлюзами.


Шлюза для коннекта с интернетом одинаковые. ADSL - я сам недавно с
этим столкнулся, короче говоря есть телефонная розетка включен в нее
сплитер от туда к модему из модем обычная сетевая проволка. Все это
устройство стоит 600 $. В линуксе коннект осущетсвляется с помошью
пакета rp-pppoe. Ifconfig говорит об обычном поднятом ppp0,
eth1,eth0,ipsec0. вот и все. Получается через это обуродование
высокоскоростной интернет.

-- 
Best regards,
 Алексей                            mailto:aleksey@ecolas.ru

Re: [Comm] VPN

[Sergey V. Golovin]

> >> Между серваками 3 дня назад сделал ВПН, теперь из сети в 1-ом офисе
> >> пунгуются компы в локале во 2-ом офисе. Весьма удобно настраивать
> >> винды удалденно с помощью radmin.
> >> Например комп во 2-ом офисе с ip 192.168.1.32 пингует комп в первом с
> >> ip 192.168.1.104 и наоборот.
> >> Шлюзы на которых подняты соединения с интернет и впн имеют локальные адреса
> >> 192.168.1.200 и 192.168.2.201. В 1-ом и 2-ом офисах соответственно.
> >> Так вот пинговать шлюз 192.168.1.200 получается с любого компа в сети
> >> 192.168.2.0 и шлюз с ip 192.168.2.201 пингуется с любого компа в локале
> >>  192.168.1.0.

> >>  Все вроде классно как я и задумывал, но вот шлюзы пинговать друг друга
> >>  по локальным адресам отказываются.

Я сейчас перечитал ветку и обратил внимание :-), что Вы  сделали только 2
соединения - подсеть_подсеть и гейт_гейт, а ведь еще надо 2 -
подсеть1_гейт2 и гейт1_подсеть2. На эту глубокую мысль меня навела фраза о
пинге по локальным адресам. Т.е. еще две секции:

conn gw1_subnet2
        type=tunnel
        compress=yes
        left=80.80.112.35
        leftnexthop=80.80.111.96
        right=80.80.199.123
        rightsubnet=192.168.2.0/255.255.255.0
        rightnexthop=80.80.111.96
        keyingtries=0
	<тут все остальное>

conn subnet1_gw2
        type=tunnel
        compress=yes
        left=80.80.112.35
        leftsubnet=192.168.1.200/255.255.255.0
        leftnexthop=80.80.111.96
        right=80.80.199.123
        rightnexthop=80.80.111.96
        keyingtries=0
	 <тут все остальное>

И еще в /usr/src/freeswan*/doc есть нестандартные
рекомендации использовать вместо 4 туннелей 1 между 
подсетями(у Вас уже работает) и  возможности пакета iproute2. 
Посмотрите на user_examples.html, если мои советы не заработают.

-- 
Sergey V. Golovin

Re: Re[2]: [Comm] VPN

[Pyatnitskich Evgeniy]

On Fri, 20 Dec 2002 17:43:06 +0300
Алексей <aleksey@ecolas.ru> wrote:

> SVG> Наверное, есть файрволл, который работает для любого пакета, кроме как в другую
> SVG> подсеть? Если да, то может в его правилах засада?
> SVG> А так все должно работать, если убрать строки с subnet и разобраться со шлюзами.
> 
> 
> Шлюза для коннекта с интернетом одинаковые. ADSL - я сам недавно с
> этим столкнулся, короче говоря есть телефонная розетка включен в нее
> сплитер от туда к модему из модем обычная сетевая проволка. Все это
> устройство стоит 600 $. В линуксе коннект осущетсвляется с помошью
> пакета rp-pppoe. Ifconfig говорит об обычном поднятом ppp0,
> eth1,eth0,ipsec0. вот и все. Получается через это обуродование
> высокоскоростной интернет.

Если не секрет, а скорость примерно какая?

-- 
      ---Regards, P.E.M. <pem@rbcmail.ru>---

Re: [Comm] VPN

[Oleg Lukashin]

* Алексей (aleksey@ecolas.ru) wrote:
> Hello community,
> 
>   Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
>   192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
>   со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
>   машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
>   другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
>   подскажите отцы.

В доке (/usr/share/doc/FreeSwan-%version) есть пример "от наших
пользователей). Там, в частности, есть решение этой проблемы:
/sbin/iproute replace 192.168.1.0/24 via 220.220.220.2 dev ipsec0
src 192.168.2.1,
где 192.168.1.0/24 - "та" сеть
    220.220.220.2  - ваш публичный ip.
    192.168.2.1 - ваш внутренний ip (с которого сейчас не
    проходят пинги.

зеркально делаете с другой стороны.

Не знаю почему, мне это решение понравилось больше, чем
организация еще одного туннеля.

Далее, я просто вставил эти строки в /etc/rc.d/init.d/ipsec
после запуска ipsec'а, через две секунды.
Это не очень красиво, но другого способа я не знаю.
Теперь остается только отслеживать обновления freeswan'а и
подправлять /etc/rc.d/init.d/ipsec.

BTW - доки рулез форева.

--
Best regards,
Oleg Lukashin
mailto:phd@rega.ru

Re: [Comm] VPN

[Dmitriy Gnidchenko]

А кто-нибудь использует FreeSwan совместно с Cisco IPsec?

У меня получается ерунда одна,
если долго по интерфейсу не идут пакеты (с вечера до утра), то
IPSEC надо перезапускать.
Идет какая-то ругань и в итоге нет канала.
Ругань сейчас привести не могу,
только через пару дней пока соберу установку и запущу ее для
теста.
Но факт имеется. :(



-- 
С Уважением
	Дмитрий  savithur@avatar.spb.ru

Re[4]: [Comm] VPN

[Алексей]

Hello Pyatnitskich,

Saturday, December 21, 2002, 5:40:54 PM, you wrote:

PE> On Fri, 20 Dec 2002 17:43:06 +0300
PE> Алексей <aleksey@ecolas.ru> wrote:

>> SVG> Наверное, есть файрволл, который работает для любого пакета, кроме как в другую
>> SVG> подсеть? Если да, то может в его правилах засада?
>> SVG> А так все должно работать, если убрать строки с subnet и разобраться со шлюзами.
>> 
>> 
>> Шлюза для коннекта с интернетом одинаковые. ADSL - я сам недавно с
>> этим столкнулся, короче говоря есть телефонная розетка включен в нее
>> сплитер от туда к модему из модем обычная сетевая проволка. Все это
>> устройство стоит 600 $. В линуксе коннект осущетсвляется с помошью
>> пакета rp-pppoe. Ifconfig говорит об обычном поднятом ppp0,
>> eth1,eth0,ipsec0. вот и все. Получается через это обуродование
>> высокоскоростной интернет.

PE> Если не секрет, а скорость примерно какая?


точно сказать трудно, постоянно канал занят то почтой, то перекидкой
файлов. Ну вот 7 метров перекидывал может быть минуту полторы

-- 
Best regards,
 Алексей                            mailto:aleksey@ecolas.ru