* [Comm] VPN @ 2002-12-19 12:33 Алексей 2002-12-19 12:41 ` Andrew Nazarkin ` (3 more replies) 0 siblings, 4 replies; 26+ messages in thread From: Алексей @ 2002-12-19 12:33 UTC (permalink / raw) To: community Hello community, Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать машины в локале 192.168.1.0 ничего не выходит, тоже самое и с другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять подскажите отцы. -- Best regards, Алексей mailto:aleksey@ecolas.ru ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN 2002-12-19 12:33 [Comm] VPN Алексей @ 2002-12-19 12:41 ` Andrew Nazarkin 2002-12-19 12:53 ` andy Tatarinov ` (2 subsequent siblings) 3 siblings, 0 replies; 26+ messages in thread From: Andrew Nazarkin @ 2002-12-19 12:41 UTC (permalink / raw) To: community On Thu, 19 Dec 2002 15:33:12 +0300 Алексей <aleksey@ecolas.ru> wrote: > Hello community, > > Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют > 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если > со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать > машины в локале 192.168.1.0 ничего не выходит, тоже самое и с > другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять > подскажите отцы. Может, route? Добавьте дополнительные гейтвеи, авось, и заработает... > > -- > Best regards, > Алексей mailto:aleksey@ecolas.ru > > _______________________________________________ > Community mailing list > Community@altlinux.ru > http://www.altlinux.ru/mailman/listinfo/community ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN 2002-12-19 12:33 [Comm] VPN Алексей 2002-12-19 12:41 ` Andrew Nazarkin @ 2002-12-19 12:53 ` andy Tatarinov 2002-12-19 13:33 ` Re[2]: " Алексей 2002-12-19 12:57 ` Dmytro O. Redchuk 2002-12-22 17:28 ` Oleg Lukashin 3 siblings, 1 reply; 26+ messages in thread From: andy Tatarinov @ 2002-12-19 12:53 UTC (permalink / raw) To: community > Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют > 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если > со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать > машины в локале 192.168.1.0 ничего не выходит, тоже самое и с > другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять > подскажите отцы. как я понял там проблема в том, что pppd запрещает pppXX... то есть ping говорит что-то типа operation is not permitted правда вот как разрулить это я не знаю. у нас в сети аналогичная ситуация. -- ...2b|!2b? ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN 2002-12-19 12:53 ` andy Tatarinov @ 2002-12-19 13:33 ` Алексей 0 siblings, 0 replies; 26+ messages in thread From: Алексей @ 2002-12-19 13:33 UTC (permalink / raw) To: andy Tatarinov Hello andy, Thursday, December 19, 2002, 3:53:49 PM, you wrote: >> Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют >> 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если >> со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать >> машины в локале 192.168.1.0 ничего не выходит, тоже самое и с >> другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять >> подскажите отцы. aT> как я понял там проблема в том, что pppd запрещает pppXX... то есть ping говорит что-то типа operation is not permitted aT> правда вот как разрулить это я не знаю. у нас в сети аналогичная ситуация. Vpn собирал с помощью IPSEC -- Best regards, Алексей mailto:aleksey@ecolas.ru ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN 2002-12-19 12:33 [Comm] VPN Алексей 2002-12-19 12:41 ` Andrew Nazarkin 2002-12-19 12:53 ` andy Tatarinov @ 2002-12-19 12:57 ` Dmytro O. Redchuk 2002-12-19 13:34 ` Re[2]: " Алексей 2002-12-22 17:28 ` Oleg Lukashin 3 siblings, 1 reply; 26+ messages in thread From: Dmytro O. Redchuk @ 2002-12-19 12:57 UTC (permalink / raw) To: ALT Community On Thu, Dec 19, 2002 at 03:33:12PM +0300, Алексей wrote: > Hello community, > > Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют А на чём? > 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если > со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать > машины в локале 192.168.1.0 ничего не выходит, тоже самое и с > другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять > подскажите отцы. Для FreeSWAN нужно прописывать отдельные секции для gw1<->2gw, gw1<->LAN2, LAN1<->gw2... > > -- > Best regards, > Алексей mailto:aleksey@ecolas.ru -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN 2002-12-19 12:57 ` Dmytro O. Redchuk @ 2002-12-19 13:34 ` Алексей 2002-12-19 13:42 ` Dmytro O. Redchuk 0 siblings, 1 reply; 26+ messages in thread From: Алексей @ 2002-12-19 13:34 UTC (permalink / raw) To: Dmytro O. Redchuk Hello Dmytro, Thursday, December 19, 2002, 3:57:57 PM, you wrote: DOR> On Thu, Dec 19, 2002 at 03:33:12PM +0300, Алексей wrote: >> Hello community, >> >> Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют DOR> А на чём? >> 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если >> со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать >> машины в локале 192.168.1.0 ничего не выходит, тоже самое и с >> другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять >> подскажите отцы. DOR> Для FreeSWAN нужно прописывать отдельные секции для gw1<->2gw, gw1<->LAN2, DOR> LAN1<->gw2... >> >> -- >> Best regards, >> Алексей mailto:aleksey@ecolas.ru А поподробней. Пример если бы показал было-бы ваще классно. ))) -- Best regards, Алексей mailto:aleksey@ecolas.ru ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN 2002-12-19 13:34 ` Re[2]: " Алексей @ 2002-12-19 13:42 ` Dmytro O. Redchuk 2002-12-19 13:44 ` Re[2]: " Алексей 0 siblings, 1 reply; 26+ messages in thread From: Dmytro O. Redchuk @ 2002-12-19 13:42 UTC (permalink / raw) To: ALT Community On Thu, Dec 19, 2002 at 04:34:25PM +0300, Алексей wrote: > Hello Dmytro, > > Thursday, December 19, 2002, 3:57:57 PM, you wrote: > > DOR> On Thu, Dec 19, 2002 at 03:33:12PM +0300, Алексей wrote: > >> Hello community, > >> > >> Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют > DOR> А на чём? > > >> 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если > >> со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать > >> машины в локале 192.168.1.0 ничего не выходит, тоже самое и с > >> другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять > >> подскажите отцы. > DOR> Для FreeSWAN нужно прописывать отдельные секции для gw1<->2gw, gw1<->LAN2, > DOR> LAN1<->gw2... > > А поподробней. Пример если бы показал было-бы ваще классно. ))) Да у меня нету под рукой... Почти год, как делал, и осталось оно в прошлом :-) Но там в доке всё есть, с примерами и объяснениями. > > -- > Best regards, > Алексей mailto:aleksey@ecolas.ru -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk I just need enough to tide me over until I need more. -- Bill Hoest ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN 2002-12-19 13:42 ` Dmytro O. Redchuk @ 2002-12-19 13:44 ` Алексей 2002-12-20 7:10 ` Sergey V. Golovin 0 siblings, 1 reply; 26+ messages in thread From: Алексей @ 2002-12-19 13:44 UTC (permalink / raw) To: Dmytro O. Redchuk Hello Dmytro, Thursday, December 19, 2002, 4:42:10 PM, you wrote: DOR> On Thu, Dec 19, 2002 at 04:34:25PM +0300, Алексей wrote: >> Hello Dmytro, >> >> Thursday, December 19, 2002, 3:57:57 PM, you wrote: >> >> DOR> On Thu, Dec 19, 2002 at 03:33:12PM +0300, Алексей wrote: >> >> Hello community, >> >> >> >> Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют >> DOR> А на чём? >> >> >> 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если >> >> со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать >> >> машины в локале 192.168.1.0 ничего не выходит, тоже самое и с >> >> другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять >> >> подскажите отцы. >> DOR> Для FreeSWAN нужно прописывать отдельные секции для gw1<->2gw, gw1<->LAN2, >> DOR> LAN1<->gw2... >> >> А поподробней. Пример если бы показал было-бы ваще классно. ))) DOR> Да у меня нету под рукой... DOR> Почти год, как делал, DOR> и осталось оно в прошлом :-) DOR> Но там в доке всё есть, с примерами и объяснениями. >> >> -- >> Best regards, >> Алексей mailto:aleksey@ecolas.ru Ок спасибо. Посмотрю. Я только 2 дня как впн наладил, но вот подобных тонкостей еще не разрулил -- Best regards, Алексей mailto:aleksey@ecolas.ru ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN 2002-12-19 13:44 ` Re[2]: " Алексей @ 2002-12-20 7:10 ` Sergey V. Golovin 2002-12-20 9:40 ` Re[2]: " Алексей 0 siblings, 1 reply; 26+ messages in thread From: Sergey V. Golovin @ 2002-12-20 7:10 UTC (permalink / raw) To: Dmytro O. Redchuk Здравствуйте! Так там все просто: нужно только четко знать где лево, а где право :-) Просто копируете ту секцию, которая у Вас уже есть для подсетей и убираете с той стороны, где просто роутер, строчку (left|right)subnet=... Да не забудьте дать уникальное имя подключению conn newname -- Sergey V. Golovin ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN 2002-12-20 7:10 ` Sergey V. Golovin @ 2002-12-20 9:40 ` Алексей 2002-12-20 9:51 ` Dmytro O. Redchuk 0 siblings, 1 reply; 26+ messages in thread From: Алексей @ 2002-12-20 9:40 UTC (permalink / raw) To: Sergey V. Golovin Hello Sergey, Friday, December 20, 2002, 10:10:22 AM, you wrote: SVG> Здравствуйте! SVG> Так там все просто: SVG> нужно только четко знать где лево, а где право :-) SVG> Просто копируете ту секцию, которая у Вас уже есть для SVG> подсетей и убираете с той стороны, где просто роутер, строчку SVG> (left|right)subnet=... SVG> Да не забудьте дать уникальное имя подключению SVG> conn newname т.е 1 секция вот такая conn vpn type=tunnel compress=yes left=80.80.112.35 leftsubnet=192.168.1.200/255.255.255.0 leftnexthop=80.80.111.96 right=80.80.199.123 rightsubnet=192.168.2.0/255.255.255.0 rightnexthop=80.80.111.96 keyingtries=0 leftrsasigkey=<тут ключ> rightrsasigkey=<тут ключ> auth=ah authby=rsasig auto=start а вторая должна быть вот такой conn vpn type=tunnel compress=yes left=80.80.112.35 leftsubnet= leftnexthop=80.80.111.96 right=80.80.199.123 rightsubnet= rightnexthop=80.80.111.96 keyingtries=0 leftrsasigkey=<тут ключ> rightrsasigkey=<тут ключ> auth=ah authby=rsasig auto=start Правильно ??? Заранее благодарен. Ты единственный кто ответил вразумительно. Спасибо. -- Best regards, Алексей mailto:aleksey@ecolas.ru ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN 2002-12-20 9:40 ` Re[2]: " Алексей @ 2002-12-20 9:51 ` Dmytro O. Redchuk 2002-12-20 11:29 ` Re[2]: " Алексей 0 siblings, 1 reply; 26+ messages in thread From: Dmytro O. Redchuk @ 2002-12-20 9:51 UTC (permalink / raw) To: ALT Community On Fri, Dec 20, 2002 at 12:40:42PM +0300, Алексей wrote: > т.е 1 секция вот такая > conn vpn > type=tunnel > compress=yes > left=80.80.112.35 > leftsubnet=192.168.1.200/255.255.255.0 > leftnexthop=80.80.111.96 > right=80.80.199.123 > rightsubnet=192.168.2.0/255.255.255.0 > rightnexthop=80.80.111.96 > keyingtries=0 > leftrsasigkey=<тут ключ> > rightrsasigkey=<тут ключ> > auth=ah > authby=rsasig > auto=start > > > а вторая должна быть вот такой > > > conn vpn ^^^ тут другое имя. имена д.б. уникальные > type=tunnel > compress=yes > left=80.80.112.35 > leftsubnet= -- эту строку убрать > leftnexthop=80.80.111.96 > right=80.80.199.123 > rightsubnet= -- эту строку убрать > rightnexthop=80.80.111.96 > keyingtries=0 > leftrsasigkey=<тут ключ> > rightrsasigkey=<тут ключ> > auth=ah > authby=rsasig > auto=start > > Правильно ??? > Заранее благодарен. > Ты единственный кто ответил вразумительно. Спасибо. Прошу прощения, что вмешался. (Но в доке это всё ещё вразумительней, честное слово!-) > > -- > Best regards, > Алексей mailto:aleksey@ecolas.ru -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN 2002-12-20 9:51 ` Dmytro O. Redchuk @ 2002-12-20 11:29 ` Алексей 2002-12-20 11:49 ` Dmytro O. Redchuk 2002-12-20 12:16 ` Sergey V. Golovin 0 siblings, 2 replies; 26+ messages in thread From: Алексей @ 2002-12-20 11:29 UTC (permalink / raw) To: Dmytro O. Redchuk Hello Dmytro, Friday, December 20, 2002, 12:51:49 PM, you wrote: DOR> On Fri, Dec 20, 2002 at 12:40:42PM +0300, Алексей wrote: >> т.е 1 секция вот такая >> conn vpn >> type=tunnel >> compress=yes >> left=80.80.112.35 >> leftsubnet=192.168.1.200/255.255.255.0 >> leftnexthop=80.80.111.96 >> right=80.80.199.123 >> rightsubnet=192.168.2.0/255.255.255.0 >> rightnexthop=80.80.111.96 >> keyingtries=0 >> leftrsasigkey=<тут ключ> >> rightrsasigkey=<тут ключ> >> auth=ah >> authby=rsasig >> auto=start >> >> >> а вторая должна быть вот такой >> >> >> conn vpn DOR> ^^^ тут другое имя. имена д.б. уникальные >> type=tunnel >> compress=yes >> left=80.80.112.35 >> leftsubnet= DOR> -- эту строку убрать >> leftnexthop=80.80.111.96 >> right=80.80.199.123 >> rightsubnet= DOR> -- эту строку убрать >> rightnexthop=80.80.111.96 >> keyingtries=0 >> leftrsasigkey=<тут ключ> >> rightrsasigkey=<тут ключ> >> auth=ah >> authby=rsasig >> auto=start >> >> Правильно ??? >> Заранее благодарен. >> Ты единственный кто ответил вразумительно. Спасибо. DOR> Прошу прощения, что вмешался. DOR> (Но в доке это всё ещё вразумительней, честное слово!-) >> >> -- >> Best regards, >> Алексей mailto:aleksey@ecolas.ru Ну да в conn во втором у меня написано gateway это я забыл . Но вот когда я так соорудил не только впн даже ssh перестал отвечать на запросы с удаленного хоста с которго я конфигурил это все)))). -- Best regards, Алексей mailto:aleksey@ecolas.ru ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN 2002-12-20 11:29 ` Re[2]: " Алексей @ 2002-12-20 11:49 ` Dmytro O. Redchuk 2002-12-20 12:22 ` Re[2]: " Алексей 2002-12-20 12:16 ` Sergey V. Golovin 1 sibling, 1 reply; 26+ messages in thread From: Dmytro O. Redchuk @ 2002-12-20 11:49 UTC (permalink / raw) To: ALT Community On Fri, Dec 20, 2002 at 02:29:46PM +0300, Алексей wrote: > > Ну да в conn во втором у меня написано gateway это я забыл . Но вот > когда я так соорудил не только впн даже ssh перестал отвечать на > запросы с удаленного хоста с которго я конфигурил это все)))). ssh на внешний или на внутренний адрес? > > -- > Best regards, > Алексей mailto:aleksey@ecolas.ru -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk Thousands of days of civilians ... have produced a ... feeling for the aesthetic modules -- ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN 2002-12-20 11:49 ` Dmytro O. Redchuk @ 2002-12-20 12:22 ` Алексей 2002-12-20 12:30 ` Dmytro O. Redchuk 0 siblings, 1 reply; 26+ messages in thread From: Алексей @ 2002-12-20 12:22 UTC (permalink / raw) To: Dmytro O. Redchuk Hello Dmytro, Friday, December 20, 2002, 2:49:14 PM, you wrote: DOR> On Fri, Dec 20, 2002 at 02:29:46PM +0300, Алексей wrote: >> >> Ну да в conn во втором у меня написано gateway это я забыл . Но вот >> когда я так соорудил не только впн даже ssh перестал отвечать на >> запросы с удаленного хоста с которго я конфигурил это все)))). DOR> ssh на внешний или на внутренний адрес? >> >> -- >> Best regards, >> Алексей mailto:aleksey@ecolas.ru Внешний -- Best regards, Алексей mailto:aleksey@ecolas.ru ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN 2002-12-20 12:22 ` Re[2]: " Алексей @ 2002-12-20 12:30 ` Dmytro O. Redchuk 0 siblings, 0 replies; 26+ messages in thread From: Dmytro O. Redchuk @ 2002-12-20 12:30 UTC (permalink / raw) To: ALT Community On Fri, Dec 20, 2002 at 03:22:38PM +0300, Алексей wrote: > Hello Dmytro, > > Friday, December 20, 2002, 2:49:14 PM, you wrote: > > DOR> On Fri, Dec 20, 2002 at 02:29:46PM +0300, Алексей wrote: > >> > >> Ну да в conn во втором у меня написано gateway это я забыл . Но вот > >> когда я так соорудил не только впн даже ssh перестал отвечать на > >> запросы с удаленного хоста с которго я конфигурил это все)))). > DOR> ssh на внешний или на внутренний адрес? > > Внешний пробуйте на внутренний > > -- > Best regards, > Алексей mailto:aleksey@ecolas.ru -- _,-=._ /|_/| `-.} `=._,.-=-._., @ @._, `._ _,-. ) _,.-' ` G.m-"^m`m' Dmytro O. Redchuk Look before you leap. -- Samuel Butler ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN 2002-12-20 11:29 ` Re[2]: " Алексей 2002-12-20 11:49 ` Dmytro O. Redchuk @ 2002-12-20 12:16 ` Sergey V. Golovin 2002-12-20 12:36 ` Re[2]: " Алексей 1 sibling, 1 reply; 26+ messages in thread From: Sergey V. Golovin @ 2002-12-20 12:16 UTC (permalink / raw) To: community On 20 Dec Fri 14:29, Алексей wrote: > >> т.е 1 секция вот такая > >> conn vpn > >> type=tunnel > >> compress=yes > >> left=80.80.112.35 > >> leftsubnet=192.168.1.200/255.255.255.0 > >> leftnexthop=80.80.111.96 > >> right=80.80.199.123 > >> rightsubnet=192.168.2.0/255.255.255.0 > >> rightnexthop=80.80.111.96 > >> keyingtries=0 > >> leftrsasigkey=<тут ключ> > >> rightrsasigkey=<тут ключ> > >> auth=ah > >> authby=rsasig > >> auto=start > >> conn gateway так? > >> type=tunnel > >> compress=yes > >> left=80.80.112.35 > >> leftsubnet= > DOR> -- эту строку убрать убрали? > > >> leftnexthop=80.80.111.96 > >> right=80.80.199.123 > >> rightsubnet= > DOR> -- эту строку убрать убрали? > > >> rightnexthop=80.80.111.96 у Вас leftnexthop == rightnexthop - да? Они в прямой видимости находяться? Тогда надо leftnexthop=%direct rightnexthop=%direct > >> keyingtries=0 > >> leftrsasigkey=<тут ключ> > >> rightrsasigkey=<тут ключ> > >> auth=ah > >> authby=rsasig > >> auto=start > Ну да в conn во втором у меня написано gateway это я забыл . Но вот > когда я так соорудил не только впн даже ssh перестал отвечать на > запросы с удаленного хоста с которго я конфигурил это все)))). если та подсеть пингуется и удачно :-) настроен sshd, то попробуйте зайти на адрес того интерфейса, что смотрит в ту подсеть. -- Sergey V. Golovin ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN 2002-12-20 12:16 ` Sergey V. Golovin @ 2002-12-20 12:36 ` Алексей 2002-12-20 12:51 ` Sergey V. Golovin 0 siblings, 1 reply; 26+ messages in thread From: Алексей @ 2002-12-20 12:36 UTC (permalink / raw) To: Sergey V. Golovin conn vpn > >> type=tunnel > >> compress=yes > >> left=80.80.112.35 > >> leftsubnet=192.168.1.200/255.255.255.0 > >> leftnexthop=80.80.111.96 > >> right=80.80.199.123 > >> rightsubnet=192.168.2.0/255.255.255.0 > >> rightnexthop=80.80.111.96 > >> keyingtries=0 > >> leftrsasigkey=<тут ключ> > >> rightrsasigkey=<тут ключ> > >> auth=ah > >> authby=rsasig > >> auto=start > >> conn gateway > >> type=tunnel > >> compress=yes > >> left=80.80.112.35 > >> leftnexthop=80.80.111.96 > >> right=80.80.199.123 > >> rightnexthop=80.80.111.96 у Вас leftnexthop == rightnexthop - да? Они в прямой видимости находяться? Тогда надо leftnexthop=%direct rightnexthop=%direct > >> keyingtries=0 > >> leftrsasigkey=<тут ключ> > >> rightrsasigkey=<тут ключ> > >> auth=ah > >> authby=rsasig > >> auto=start leftnexthop <> rightnexthop разные ключи если прописать leftnexthop=%direct rightnexthop=%direct проаодает ВПН ((((((( -- Best regards, Алексей mailto:aleksey@ecolas.ru ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN 2002-12-20 12:36 ` Re[2]: " Алексей @ 2002-12-20 12:51 ` Sergey V. Golovin 2002-12-20 13:09 ` Re[2]: " Алексей 0 siblings, 1 reply; 26+ messages in thread From: Sergey V. Golovin @ 2002-12-20 12:51 UTC (permalink / raw) To: community On 20 Dec Fri 15:36, Алексей wrote: > > >> keyingtries=0 > > >> leftrsasigkey=<тут ключ> > > >> rightrsasigkey=<тут ключ> > > >> auth=ah > > >> authby=rsasig > > >> auto=start > > leftnexthop <> rightnexthop разные ключи У Вас в конфигурации они были одинаковыми (80.80.111.96), причем здесь ключи? Это гейты. Вот я и подумал , что у Вас там такая громадная сетка. > если прописать > leftnexthop=%direct > rightnexthop=%direct > проаодает ВПН Поточнее опишите карту сети. -- Sergey V. Golovin ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN 2002-12-20 12:51 ` Sergey V. Golovin @ 2002-12-20 13:09 ` Алексей 2002-12-20 14:07 ` Sergey V. Golovin 0 siblings, 1 reply; 26+ messages in thread From: Алексей @ 2002-12-20 13:09 UTC (permalink / raw) To: Sergey V. Golovin Hello Sergey, Friday, December 20, 2002, 3:51:36 PM, you wrote: SVG> On 20 Dec Fri 15:36, Алексей wrote: >> > >> keyingtries=0 >> > >> leftrsasigkey=<тут ключ> >> > >> rightrsasigkey=<тут ключ> >> > >> auth=ah >> > >> authby=rsasig >> > >> auto=start >> >> leftnexthop <> rightnexthop разные ключи SVG> У Вас в конфигурации они были одинаковыми (80.80.111.96), SVG> причем здесь ключи? Это гейты. SVG> Вот я и подумал , что у Вас там такая громадная сетка. >> если прописать >> leftnexthop=%direct >> rightnexthop=%direct >> проаодает ВПН SVG> Поточнее опишите карту сети. Ок. Есть 2-ва офиса в одном офисе локаль 192.168.1.0 тут же есть сервак подключенный в интернет через adsl модем, в другом офисе тоже самое и локаль 192.168.2.0 . Между серваками 3 дня назад сделал ВПН, теперь из сети в 1-ом офисе пунгуются компы в локале во 2-ом офисе. Весьма удобно настраивать винды удалденно с помощью radmin. Например комп во 2-ом офисе с ip 192.168.1.32 пингует комп в первом с ip 192.168.1.104 и наоборот. Шлюзы на которых подняты соединения с интернет и впн имеют локальные адреса 192.168.1.200 и 192.168.2.201. В 1-ом и 2-ом офисах соответственно. Так вот пинговать шлюз 192.168.1.200 получается с любого компа в сети 192.168.2.0 и шлюз с ip 192.168.2.201 пингуется с любого компа в локале 192.168.1.0. Все вроде классно как я и задумывал, но вот шлюзы пинговать друг друга по локальным адресам отказываются. Надо вроде что-то прописать в /etc/ipsec.conf. Доку читал, но безуспешно. Ну вот вроде все так, ничего не забыл. Спасибо за помошь. -- Best regards, Алексей mailto:aleksey@ecolas.ru ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN 2002-12-20 13:09 ` Re[2]: " Алексей @ 2002-12-20 14:07 ` Sergey V. Golovin 2002-12-20 14:43 ` Re[2]: " Алексей 0 siblings, 1 reply; 26+ messages in thread From: Sergey V. Golovin @ 2002-12-20 14:07 UTC (permalink / raw) To: community On 20 Dec Fri 16:09, Алексей wrote: > Ок. > Есть 2-ва офиса в одном офисе локаль 192.168.1.0 тут же есть сервак > подключенный в интернет через adsl модем, в другом офисе тоже самое и > локаль 192.168.2.0 . С adsl я никогда не работал, поэтому м.б. спрошу глупость - в Вашей конфигурации шлюз по умолч. на роутерах одинаковый? > Между серваками 3 дня назад сделал ВПН, теперь из сети в 1-ом офисе > пунгуются компы в локале во 2-ом офисе. Весьма удобно настраивать > винды удалденно с помощью radmin. > Например комп во 2-ом офисе с ip 192.168.1.32 пингует комп в первом с > ip 192.168.1.104 и наоборот. > Шлюзы на которых подняты соединения с интернет и впн имеют локальные адреса > 192.168.1.200 и 192.168.2.201. В 1-ом и 2-ом офисах соответственно. > Так вот пинговать шлюз 192.168.1.200 получается с любого компа в сети > 192.168.2.0 и шлюз с ip 192.168.2.201 пингуется с любого компа в локале > 192.168.1.0. > Все вроде классно как я и задумывал, но вот шлюзы пинговать друг друга > по локальным адресам отказываются. Наверное, есть файрволл, который работает для любого пакета, кроме как в другую подсеть? Если да, то может в его правилах засада? А так все должно работать, если убрать строки с subnet и разобраться со шлюзами. -- Sergey V. Golovin ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN 2002-12-20 14:07 ` Sergey V. Golovin @ 2002-12-20 14:43 ` Алексей 2002-12-20 21:14 ` Sergey V. Golovin 2002-12-21 14:40 ` Re[2]: " Pyatnitskich Evgeniy 0 siblings, 2 replies; 26+ messages in thread From: Алексей @ 2002-12-20 14:43 UTC (permalink / raw) To: Sergey V. Golovin Hello Sergey, Friday, December 20, 2002, 5:07:34 PM, you wrote: SVG> On 20 Dec Fri 16:09, Алексей wrote: >> Ок. >> Есть 2-ва офиса в одном офисе локаль 192.168.1.0 тут же есть сервак >> подключенный в интернет через adsl модем, в другом офисе тоже самое и >> локаль 192.168.2.0 . SVG> С adsl я никогда не работал, поэтому м.б. спрошу глупость - в Вашей SVG> конфигурации шлюз по умолч. на роутерах одинаковый? >> Между серваками 3 дня назад сделал ВПН, теперь из сети в 1-ом офисе >> пунгуются компы в локале во 2-ом офисе. Весьма удобно настраивать >> винды удалденно с помощью radmin. >> Например комп во 2-ом офисе с ip 192.168.1.32 пингует комп в первом с >> ip 192.168.1.104 и наоборот. >> Шлюзы на которых подняты соединения с интернет и впн имеют локальные адреса >> 192.168.1.200 и 192.168.2.201. В 1-ом и 2-ом офисах соответственно. >> Так вот пинговать шлюз 192.168.1.200 получается с любого компа в сети >> 192.168.2.0 и шлюз с ip 192.168.2.201 пингуется с любого компа в локале >> 192.168.1.0. >> Все вроде классно как я и задумывал, но вот шлюзы пинговать друг друга >> по локальным адресам отказываются. SVG> Наверное, есть файрволл, который работает для любого пакета, кроме как в другую SVG> подсеть? Если да, то может в его правилах засада? SVG> А так все должно работать, если убрать строки с subnet и разобраться со шлюзами. Шлюза для коннекта с интернетом одинаковые. ADSL - я сам недавно с этим столкнулся, короче говоря есть телефонная розетка включен в нее сплитер от туда к модему из модем обычная сетевая проволка. Все это устройство стоит 600 $. В линуксе коннект осущетсвляется с помошью пакета rp-pppoe. Ifconfig говорит об обычном поднятом ppp0, eth1,eth0,ipsec0. вот и все. Получается через это обуродование высокоскоростной интернет. -- Best regards, Алексей mailto:aleksey@ecolas.ru ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN 2002-12-20 14:43 ` Re[2]: " Алексей @ 2002-12-20 21:14 ` Sergey V. Golovin 2002-12-21 14:40 ` Re[2]: " Pyatnitskich Evgeniy 1 sibling, 0 replies; 26+ messages in thread From: Sergey V. Golovin @ 2002-12-20 21:14 UTC (permalink / raw) To: community > >> Между серваками 3 дня назад сделал ВПН, теперь из сети в 1-ом офисе > >> пунгуются компы в локале во 2-ом офисе. Весьма удобно настраивать > >> винды удалденно с помощью radmin. > >> Например комп во 2-ом офисе с ip 192.168.1.32 пингует комп в первом с > >> ip 192.168.1.104 и наоборот. > >> Шлюзы на которых подняты соединения с интернет и впн имеют локальные адреса > >> 192.168.1.200 и 192.168.2.201. В 1-ом и 2-ом офисах соответственно. > >> Так вот пинговать шлюз 192.168.1.200 получается с любого компа в сети > >> 192.168.2.0 и шлюз с ip 192.168.2.201 пингуется с любого компа в локале > >> 192.168.1.0. > >> Все вроде классно как я и задумывал, но вот шлюзы пинговать друг друга > >> по локальным адресам отказываются. Я сейчас перечитал ветку и обратил внимание :-), что Вы сделали только 2 соединения - подсеть_подсеть и гейт_гейт, а ведь еще надо 2 - подсеть1_гейт2 и гейт1_подсеть2. На эту глубокую мысль меня навела фраза о пинге по локальным адресам. Т.е. еще две секции: conn gw1_subnet2 type=tunnel compress=yes left=80.80.112.35 leftnexthop=80.80.111.96 right=80.80.199.123 rightsubnet=192.168.2.0/255.255.255.0 rightnexthop=80.80.111.96 keyingtries=0 <тут все остальное> conn subnet1_gw2 type=tunnel compress=yes left=80.80.112.35 leftsubnet=192.168.1.200/255.255.255.0 leftnexthop=80.80.111.96 right=80.80.199.123 rightnexthop=80.80.111.96 keyingtries=0 <тут все остальное> И еще в /usr/src/freeswan*/doc есть нестандартные рекомендации использовать вместо 4 туннелей 1 между подсетями(у Вас уже работает) и возможности пакета iproute2. Посмотрите на user_examples.html, если мои советы не заработают. -- Sergey V. Golovin ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: Re[2]: [Comm] VPN 2002-12-20 14:43 ` Re[2]: " Алексей 2002-12-20 21:14 ` Sergey V. Golovin @ 2002-12-21 14:40 ` Pyatnitskich Evgeniy 2002-12-23 5:55 ` Re[4]: " Алексей 1 sibling, 1 reply; 26+ messages in thread From: Pyatnitskich Evgeniy @ 2002-12-21 14:40 UTC (permalink / raw) To: community On Fri, 20 Dec 2002 17:43:06 +0300 Алексей <aleksey@ecolas.ru> wrote: > SVG> Наверное, есть файрволл, который работает для любого пакета, кроме как в другую > SVG> подсеть? Если да, то может в его правилах засада? > SVG> А так все должно работать, если убрать строки с subnet и разобраться со шлюзами. > > > Шлюза для коннекта с интернетом одинаковые. ADSL - я сам недавно с > этим столкнулся, короче говоря есть телефонная розетка включен в нее > сплитер от туда к модему из модем обычная сетевая проволка. Все это > устройство стоит 600 $. В линуксе коннект осущетсвляется с помошью > пакета rp-pppoe. Ifconfig говорит об обычном поднятом ppp0, > eth1,eth0,ipsec0. вот и все. Получается через это обуродование > высокоскоростной интернет. Если не секрет, а скорость примерно какая? -- ---Regards, P.E.M. <pem@rbcmail.ru>--- ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[4]: [Comm] VPN 2002-12-21 14:40 ` Re[2]: " Pyatnitskich Evgeniy @ 2002-12-23 5:55 ` Алексей 0 siblings, 0 replies; 26+ messages in thread From: Алексей @ 2002-12-23 5:55 UTC (permalink / raw) To: Pyatnitskich Evgeniy Hello Pyatnitskich, Saturday, December 21, 2002, 5:40:54 PM, you wrote: PE> On Fri, 20 Dec 2002 17:43:06 +0300 PE> Алексей <aleksey@ecolas.ru> wrote: >> SVG> Наверное, есть файрволл, который работает для любого пакета, кроме как в другую >> SVG> подсеть? Если да, то может в его правилах засада? >> SVG> А так все должно работать, если убрать строки с subnet и разобраться со шлюзами. >> >> >> Шлюза для коннекта с интернетом одинаковые. ADSL - я сам недавно с >> этим столкнулся, короче говоря есть телефонная розетка включен в нее >> сплитер от туда к модему из модем обычная сетевая проволка. Все это >> устройство стоит 600 $. В линуксе коннект осущетсвляется с помошью >> пакета rp-pppoe. Ifconfig говорит об обычном поднятом ppp0, >> eth1,eth0,ipsec0. вот и все. Получается через это обуродование >> высокоскоростной интернет. PE> Если не секрет, а скорость примерно какая? точно сказать трудно, постоянно канал занят то почтой, то перекидкой файлов. Ну вот 7 метров перекидывал может быть минуту полторы -- Best regards, Алексей mailto:aleksey@ecolas.ru ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN 2002-12-19 12:33 [Comm] VPN Алексей ` (2 preceding siblings ...) 2002-12-19 12:57 ` Dmytro O. Redchuk @ 2002-12-22 17:28 ` Oleg Lukashin 2002-12-22 18:22 ` Dmitriy Gnidchenko 3 siblings, 1 reply; 26+ messages in thread From: Oleg Lukashin @ 2002-12-22 17:28 UTC (permalink / raw) To: community * Алексей (aleksey@ecolas.ru) wrote: > Hello community, > > Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют > 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если > со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать > машины в локале 192.168.1.0 ничего не выходит, тоже самое и с > другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять > подскажите отцы. В доке (/usr/share/doc/FreeSwan-%version) есть пример "от наших пользователей). Там, в частности, есть решение этой проблемы: /sbin/iproute replace 192.168.1.0/24 via 220.220.220.2 dev ipsec0 src 192.168.2.1, где 192.168.1.0/24 - "та" сеть 220.220.220.2 - ваш публичный ip. 192.168.2.1 - ваш внутренний ip (с которого сейчас не проходят пинги. зеркально делаете с другой стороны. Не знаю почему, мне это решение понравилось больше, чем организация еще одного туннеля. Далее, я просто вставил эти строки в /etc/rc.d/init.d/ipsec после запуска ipsec'а, через две секунды. Это не очень красиво, но другого способа я не знаю. Теперь остается только отслеживать обновления freeswan'а и подправлять /etc/rc.d/init.d/ipsec. BTW - доки рулез форева. -- Best regards, Oleg Lukashin mailto:phd@rega.ru ^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN 2002-12-22 17:28 ` Oleg Lukashin @ 2002-12-22 18:22 ` Dmitriy Gnidchenko 0 siblings, 0 replies; 26+ messages in thread From: Dmitriy Gnidchenko @ 2002-12-22 18:22 UTC (permalink / raw) To: community А кто-нибудь использует FreeSwan совместно с Cisco IPsec? У меня получается ерунда одна, если долго по интерфейсу не идут пакеты (с вечера до утра), то IPSEC надо перезапускать. Идет какая-то ругань и в итоге нет канала. Ругань сейчас привести не могу, только через пару дней пока соберу установку и запущу ее для теста. Но факт имеется. :( -- С Уважением Дмитрий savithur@avatar.spb.ru ^ permalink raw reply [flat|nested] 26+ messages in thread
end of thread, other threads:[~2002-12-23 5:55 UTC | newest] Thread overview: 26+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2002-12-19 12:33 [Comm] VPN Алексей 2002-12-19 12:41 ` Andrew Nazarkin 2002-12-19 12:53 ` andy Tatarinov 2002-12-19 13:33 ` Re[2]: " Алексей 2002-12-19 12:57 ` Dmytro O. Redchuk 2002-12-19 13:34 ` Re[2]: " Алексей 2002-12-19 13:42 ` Dmytro O. Redchuk 2002-12-19 13:44 ` Re[2]: " Алексей 2002-12-20 7:10 ` Sergey V. Golovin 2002-12-20 9:40 ` Re[2]: " Алексей 2002-12-20 9:51 ` Dmytro O. Redchuk 2002-12-20 11:29 ` Re[2]: " Алексей 2002-12-20 11:49 ` Dmytro O. Redchuk 2002-12-20 12:22 ` Re[2]: " Алексей 2002-12-20 12:30 ` Dmytro O. Redchuk 2002-12-20 12:16 ` Sergey V. Golovin 2002-12-20 12:36 ` Re[2]: " Алексей 2002-12-20 12:51 ` Sergey V. Golovin 2002-12-20 13:09 ` Re[2]: " Алексей 2002-12-20 14:07 ` Sergey V. Golovin 2002-12-20 14:43 ` Re[2]: " Алексей 2002-12-20 21:14 ` Sergey V. Golovin 2002-12-21 14:40 ` Re[2]: " Pyatnitskich Evgeniy 2002-12-23 5:55 ` Re[4]: " Алексей 2002-12-22 17:28 ` Oleg Lukashin 2002-12-22 18:22 ` Dmitriy Gnidchenko
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git