* [Comm] VPN
@ 2002-12-19 12:33 Алексей
2002-12-19 12:41 ` Andrew Nazarkin
` (3 more replies)
0 siblings, 4 replies; 26+ messages in thread
From: Алексей @ 2002-12-19 12:33 UTC (permalink / raw)
To: community
Hello community,
Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
подскажите отцы.
--
Best regards,
Алексей mailto:aleksey@ecolas.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN
2002-12-19 12:33 [Comm] VPN Алексей
@ 2002-12-19 12:41 ` Andrew Nazarkin
2002-12-19 12:53 ` andy Tatarinov
` (2 subsequent siblings)
3 siblings, 0 replies; 26+ messages in thread
From: Andrew Nazarkin @ 2002-12-19 12:41 UTC (permalink / raw)
To: community
On Thu, 19 Dec 2002 15:33:12 +0300
Алексей <aleksey@ecolas.ru> wrote:
> Hello community,
>
> Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
> 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
> со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
> машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
> другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
> подскажите отцы.
Может, route?
Добавьте дополнительные гейтвеи, авось, и заработает...
>
> --
> Best regards,
> Алексей mailto:aleksey@ecolas.ru
>
> _______________________________________________
> Community mailing list
> Community@altlinux.ru
> http://www.altlinux.ru/mailman/listinfo/community
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN
2002-12-19 12:33 [Comm] VPN Алексей
2002-12-19 12:41 ` Andrew Nazarkin
@ 2002-12-19 12:53 ` andy Tatarinov
2002-12-19 13:33 ` Re[2]: " Алексей
2002-12-19 12:57 ` Dmytro O. Redchuk
2002-12-22 17:28 ` Oleg Lukashin
3 siblings, 1 reply; 26+ messages in thread
From: andy Tatarinov @ 2002-12-19 12:53 UTC (permalink / raw)
To: community
> Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
> 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
> со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
> машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
> другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
> подскажите отцы.
как я понял там проблема в том, что pppd запрещает pppXX... то есть ping говорит что-то типа operation is not permitted
правда вот как разрулить это я не знаю. у нас в сети аналогичная ситуация.
--
...2b|!2b?
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN
2002-12-19 12:33 [Comm] VPN Алексей
2002-12-19 12:41 ` Andrew Nazarkin
2002-12-19 12:53 ` andy Tatarinov
@ 2002-12-19 12:57 ` Dmytro O. Redchuk
2002-12-19 13:34 ` Re[2]: " Алексей
2002-12-22 17:28 ` Oleg Lukashin
3 siblings, 1 reply; 26+ messages in thread
From: Dmytro O. Redchuk @ 2002-12-19 12:57 UTC (permalink / raw)
To: ALT Community
On Thu, Dec 19, 2002 at 03:33:12PM +0300, Алексей wrote:
> Hello community,
>
> Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
А на чём?
> 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
> со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
> машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
> другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
> подскажите отцы.
Для FreeSWAN нужно прописывать отдельные секции для gw1<->2gw, gw1<->LAN2,
LAN1<->gw2...
>
> --
> Best regards,
> Алексей mailto:aleksey@ecolas.ru
--
_,-=._ /|_/|
`-.} `=._,.-=-._., @ @._,
`._ _,-. ) _,.-'
` G.m-"^m`m' Dmytro O. Redchuk
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN
2002-12-19 12:53 ` andy Tatarinov
@ 2002-12-19 13:33 ` Алексей
0 siblings, 0 replies; 26+ messages in thread
From: Алексей @ 2002-12-19 13:33 UTC (permalink / raw)
To: andy Tatarinov
Hello andy,
Thursday, December 19, 2002, 3:53:49 PM, you wrote:
>> Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
>> 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
>> со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
>> машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
>> другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
>> подскажите отцы.
aT> как я понял там проблема в том, что pppd запрещает pppXX... то есть ping говорит что-то типа operation is not permitted
aT> правда вот как разрулить это я не знаю. у нас в сети аналогичная ситуация.
Vpn собирал с помощью IPSEC
--
Best regards,
Алексей mailto:aleksey@ecolas.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN
2002-12-19 12:57 ` Dmytro O. Redchuk
@ 2002-12-19 13:34 ` Алексей
2002-12-19 13:42 ` Dmytro O. Redchuk
0 siblings, 1 reply; 26+ messages in thread
From: Алексей @ 2002-12-19 13:34 UTC (permalink / raw)
To: Dmytro O. Redchuk
Hello Dmytro,
Thursday, December 19, 2002, 3:57:57 PM, you wrote:
DOR> On Thu, Dec 19, 2002 at 03:33:12PM +0300, Алексей wrote:
>> Hello community,
>>
>> Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
DOR> А на чём?
>> 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
>> со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
>> машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
>> другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
>> подскажите отцы.
DOR> Для FreeSWAN нужно прописывать отдельные секции для gw1<->2gw, gw1<->LAN2,
DOR> LAN1<->gw2...
>>
>> --
>> Best regards,
>> Алексей mailto:aleksey@ecolas.ru
А поподробней. Пример если бы показал было-бы ваще классно. )))
--
Best regards,
Алексей mailto:aleksey@ecolas.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN
2002-12-19 13:34 ` Re[2]: " Алексей
@ 2002-12-19 13:42 ` Dmytro O. Redchuk
2002-12-19 13:44 ` Re[2]: " Алексей
0 siblings, 1 reply; 26+ messages in thread
From: Dmytro O. Redchuk @ 2002-12-19 13:42 UTC (permalink / raw)
To: ALT Community
On Thu, Dec 19, 2002 at 04:34:25PM +0300, Алексей wrote:
> Hello Dmytro,
>
> Thursday, December 19, 2002, 3:57:57 PM, you wrote:
>
> DOR> On Thu, Dec 19, 2002 at 03:33:12PM +0300, Алексей wrote:
> >> Hello community,
> >>
> >> Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
> DOR> А на чём?
>
> >> 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
> >> со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
> >> машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
> >> другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
> >> подскажите отцы.
> DOR> Для FreeSWAN нужно прописывать отдельные секции для gw1<->2gw, gw1<->LAN2,
> DOR> LAN1<->gw2...
>
> А поподробней. Пример если бы показал было-бы ваще классно. )))
Да у меня нету под рукой...
Почти год, как делал,
и осталось оно в прошлом :-)
Но там в доке всё есть, с примерами и объяснениями.
>
> --
> Best regards,
> Алексей mailto:aleksey@ecolas.ru
--
_,-=._ /|_/|
`-.} `=._,.-=-._., @ @._,
`._ _,-. ) _,.-'
` G.m-"^m`m' Dmytro O. Redchuk
I just need enough to tide me over until I need more.
-- Bill Hoest
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN
2002-12-19 13:42 ` Dmytro O. Redchuk
@ 2002-12-19 13:44 ` Алексей
2002-12-20 7:10 ` Sergey V. Golovin
0 siblings, 1 reply; 26+ messages in thread
From: Алексей @ 2002-12-19 13:44 UTC (permalink / raw)
To: Dmytro O. Redchuk
Hello Dmytro,
Thursday, December 19, 2002, 4:42:10 PM, you wrote:
DOR> On Thu, Dec 19, 2002 at 04:34:25PM +0300, Алексей wrote:
>> Hello Dmytro,
>>
>> Thursday, December 19, 2002, 3:57:57 PM, you wrote:
>>
>> DOR> On Thu, Dec 19, 2002 at 03:33:12PM +0300, Алексей wrote:
>> >> Hello community,
>> >>
>> >> Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
>> DOR> А на чём?
>>
>> >> 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
>> >> со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
>> >> машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
>> >> другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
>> >> подскажите отцы.
>> DOR> Для FreeSWAN нужно прописывать отдельные секции для gw1<->2gw, gw1<->LAN2,
>> DOR> LAN1<->gw2...
>>
>> А поподробней. Пример если бы показал было-бы ваще классно. )))
DOR> Да у меня нету под рукой...
DOR> Почти год, как делал,
DOR> и осталось оно в прошлом :-)
DOR> Но там в доке всё есть, с примерами и объяснениями.
>>
>> --
>> Best regards,
>> Алексей mailto:aleksey@ecolas.ru
Ок спасибо. Посмотрю. Я только 2 дня как впн наладил, но вот подобных
тонкостей еще не разрулил
--
Best regards,
Алексей mailto:aleksey@ecolas.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN
2002-12-19 13:44 ` Re[2]: " Алексей
@ 2002-12-20 7:10 ` Sergey V. Golovin
2002-12-20 9:40 ` Re[2]: " Алексей
0 siblings, 1 reply; 26+ messages in thread
From: Sergey V. Golovin @ 2002-12-20 7:10 UTC (permalink / raw)
To: Dmytro O. Redchuk
Здравствуйте!
Так там все просто:
нужно только четко знать где лево, а где право :-)
Просто копируете ту секцию, которая у Вас уже есть для
подсетей и убираете с той стороны, где просто роутер, строчку
(left|right)subnet=...
Да не забудьте дать уникальное имя подключению
conn newname
--
Sergey V. Golovin
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN
2002-12-20 7:10 ` Sergey V. Golovin
@ 2002-12-20 9:40 ` Алексей
2002-12-20 9:51 ` Dmytro O. Redchuk
0 siblings, 1 reply; 26+ messages in thread
From: Алексей @ 2002-12-20 9:40 UTC (permalink / raw)
To: Sergey V. Golovin
Hello Sergey,
Friday, December 20, 2002, 10:10:22 AM, you wrote:
SVG> Здравствуйте!
SVG> Так там все просто:
SVG> нужно только четко знать где лево, а где право :-)
SVG> Просто копируете ту секцию, которая у Вас уже есть для
SVG> подсетей и убираете с той стороны, где просто роутер, строчку
SVG> (left|right)subnet=...
SVG> Да не забудьте дать уникальное имя подключению
SVG> conn newname
т.е 1 секция вот такая
conn vpn
type=tunnel
compress=yes
left=80.80.112.35
leftsubnet=192.168.1.200/255.255.255.0
leftnexthop=80.80.111.96
right=80.80.199.123
rightsubnet=192.168.2.0/255.255.255.0
rightnexthop=80.80.111.96
keyingtries=0
leftrsasigkey=<тут ключ>
rightrsasigkey=<тут ключ>
auth=ah
authby=rsasig
auto=start
а вторая должна быть вот такой
conn vpn
type=tunnel
compress=yes
left=80.80.112.35
leftsubnet=
leftnexthop=80.80.111.96
right=80.80.199.123
rightsubnet=
rightnexthop=80.80.111.96
keyingtries=0
leftrsasigkey=<тут ключ>
rightrsasigkey=<тут ключ>
auth=ah
authby=rsasig
auto=start
Правильно ???
Заранее благодарен.
Ты единственный кто ответил вразумительно. Спасибо.
--
Best regards,
Алексей mailto:aleksey@ecolas.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN
2002-12-20 9:40 ` Re[2]: " Алексей
@ 2002-12-20 9:51 ` Dmytro O. Redchuk
2002-12-20 11:29 ` Re[2]: " Алексей
0 siblings, 1 reply; 26+ messages in thread
From: Dmytro O. Redchuk @ 2002-12-20 9:51 UTC (permalink / raw)
To: ALT Community
On Fri, Dec 20, 2002 at 12:40:42PM +0300, Алексей wrote:
> т.е 1 секция вот такая
> conn vpn
> type=tunnel
> compress=yes
> left=80.80.112.35
> leftsubnet=192.168.1.200/255.255.255.0
> leftnexthop=80.80.111.96
> right=80.80.199.123
> rightsubnet=192.168.2.0/255.255.255.0
> rightnexthop=80.80.111.96
> keyingtries=0
> leftrsasigkey=<тут ключ>
> rightrsasigkey=<тут ключ>
> auth=ah
> authby=rsasig
> auto=start
>
>
> а вторая должна быть вот такой
>
>
> conn vpn
^^^ тут другое имя. имена д.б. уникальные
> type=tunnel
> compress=yes
> left=80.80.112.35
> leftsubnet=
-- эту строку убрать
> leftnexthop=80.80.111.96
> right=80.80.199.123
> rightsubnet=
-- эту строку убрать
> rightnexthop=80.80.111.96
> keyingtries=0
> leftrsasigkey=<тут ключ>
> rightrsasigkey=<тут ключ>
> auth=ah
> authby=rsasig
> auto=start
>
> Правильно ???
> Заранее благодарен.
> Ты единственный кто ответил вразумительно. Спасибо.
Прошу прощения, что вмешался.
(Но в доке это всё ещё вразумительней, честное слово!-)
>
> --
> Best regards,
> Алексей mailto:aleksey@ecolas.ru
--
_,-=._ /|_/|
`-.} `=._,.-=-._., @ @._,
`._ _,-. ) _,.-'
` G.m-"^m`m' Dmytro O. Redchuk
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN
2002-12-20 9:51 ` Dmytro O. Redchuk
@ 2002-12-20 11:29 ` Алексей
2002-12-20 11:49 ` Dmytro O. Redchuk
2002-12-20 12:16 ` Sergey V. Golovin
0 siblings, 2 replies; 26+ messages in thread
From: Алексей @ 2002-12-20 11:29 UTC (permalink / raw)
To: Dmytro O. Redchuk
Hello Dmytro,
Friday, December 20, 2002, 12:51:49 PM, you wrote:
DOR> On Fri, Dec 20, 2002 at 12:40:42PM +0300, Алексей wrote:
>> т.е 1 секция вот такая
>> conn vpn
>> type=tunnel
>> compress=yes
>> left=80.80.112.35
>> leftsubnet=192.168.1.200/255.255.255.0
>> leftnexthop=80.80.111.96
>> right=80.80.199.123
>> rightsubnet=192.168.2.0/255.255.255.0
>> rightnexthop=80.80.111.96
>> keyingtries=0
>> leftrsasigkey=<тут ключ>
>> rightrsasigkey=<тут ключ>
>> auth=ah
>> authby=rsasig
>> auto=start
>>
>>
>> а вторая должна быть вот такой
>>
>>
>> conn vpn
DOR> ^^^ тут другое имя. имена д.б. уникальные
>> type=tunnel
>> compress=yes
>> left=80.80.112.35
>> leftsubnet=
DOR> -- эту строку убрать
>> leftnexthop=80.80.111.96
>> right=80.80.199.123
>> rightsubnet=
DOR> -- эту строку убрать
>> rightnexthop=80.80.111.96
>> keyingtries=0
>> leftrsasigkey=<тут ключ>
>> rightrsasigkey=<тут ключ>
>> auth=ah
>> authby=rsasig
>> auto=start
>>
>> Правильно ???
>> Заранее благодарен.
>> Ты единственный кто ответил вразумительно. Спасибо.
DOR> Прошу прощения, что вмешался.
DOR> (Но в доке это всё ещё вразумительней, честное слово!-)
>>
>> --
>> Best regards,
>> Алексей mailto:aleksey@ecolas.ru
Ну да в conn во втором у меня написано gateway это я забыл . Но вот
когда я так соорудил не только впн даже ssh перестал отвечать на
запросы с удаленного хоста с которго я конфигурил это все)))).
--
Best regards,
Алексей mailto:aleksey@ecolas.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN
2002-12-20 11:29 ` Re[2]: " Алексей
@ 2002-12-20 11:49 ` Dmytro O. Redchuk
2002-12-20 12:22 ` Re[2]: " Алексей
2002-12-20 12:16 ` Sergey V. Golovin
1 sibling, 1 reply; 26+ messages in thread
From: Dmytro O. Redchuk @ 2002-12-20 11:49 UTC (permalink / raw)
To: ALT Community
On Fri, Dec 20, 2002 at 02:29:46PM +0300, Алексей wrote:
>
> Ну да в conn во втором у меня написано gateway это я забыл . Но вот
> когда я так соорудил не только впн даже ssh перестал отвечать на
> запросы с удаленного хоста с которго я конфигурил это все)))).
ssh на внешний или на внутренний адрес?
>
> --
> Best regards,
> Алексей mailto:aleksey@ecolas.ru
--
_,-=._ /|_/|
`-.} `=._,.-=-._., @ @._,
`._ _,-. ) _,.-'
` G.m-"^m`m' Dmytro O. Redchuk
Thousands of days of civilians ... have produced a ... feeling for the
aesthetic modules --
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN
2002-12-20 11:29 ` Re[2]: " Алексей
2002-12-20 11:49 ` Dmytro O. Redchuk
@ 2002-12-20 12:16 ` Sergey V. Golovin
2002-12-20 12:36 ` Re[2]: " Алексей
1 sibling, 1 reply; 26+ messages in thread
From: Sergey V. Golovin @ 2002-12-20 12:16 UTC (permalink / raw)
To: community
On 20 Dec Fri 14:29, Алексей wrote:
> >> т.е 1 секция вот такая
> >> conn vpn
> >> type=tunnel
> >> compress=yes
> >> left=80.80.112.35
> >> leftsubnet=192.168.1.200/255.255.255.0
> >> leftnexthop=80.80.111.96
> >> right=80.80.199.123
> >> rightsubnet=192.168.2.0/255.255.255.0
> >> rightnexthop=80.80.111.96
> >> keyingtries=0
> >> leftrsasigkey=<тут ключ>
> >> rightrsasigkey=<тут ключ>
> >> auth=ah
> >> authby=rsasig
> >> auto=start
> >> conn gateway
так?
> >> type=tunnel
> >> compress=yes
> >> left=80.80.112.35
> >> leftsubnet=
> DOR> -- эту строку убрать
убрали?
>
> >> leftnexthop=80.80.111.96
> >> right=80.80.199.123
> >> rightsubnet=
> DOR> -- эту строку убрать
убрали?
>
> >> rightnexthop=80.80.111.96
у Вас leftnexthop == rightnexthop - да?
Они в прямой видимости находяться?
Тогда надо
leftnexthop=%direct
rightnexthop=%direct
> >> keyingtries=0
> >> leftrsasigkey=<тут ключ>
> >> rightrsasigkey=<тут ключ>
> >> auth=ah
> >> authby=rsasig
> >> auto=start
> Ну да в conn во втором у меня написано gateway это я забыл . Но вот
> когда я так соорудил не только впн даже ssh перестал отвечать на
> запросы с удаленного хоста с которго я конфигурил это все)))).
если та подсеть пингуется и удачно :-) настроен sshd, то попробуйте зайти
на адрес того интерфейса, что смотрит в ту подсеть.
--
Sergey V. Golovin
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN
2002-12-20 11:49 ` Dmytro O. Redchuk
@ 2002-12-20 12:22 ` Алексей
2002-12-20 12:30 ` Dmytro O. Redchuk
0 siblings, 1 reply; 26+ messages in thread
From: Алексей @ 2002-12-20 12:22 UTC (permalink / raw)
To: Dmytro O. Redchuk
Hello Dmytro,
Friday, December 20, 2002, 2:49:14 PM, you wrote:
DOR> On Fri, Dec 20, 2002 at 02:29:46PM +0300, Алексей wrote:
>>
>> Ну да в conn во втором у меня написано gateway это я забыл . Но вот
>> когда я так соорудил не только впн даже ssh перестал отвечать на
>> запросы с удаленного хоста с которго я конфигурил это все)))).
DOR> ssh на внешний или на внутренний адрес?
>>
>> --
>> Best regards,
>> Алексей mailto:aleksey@ecolas.ru
Внешний
--
Best regards,
Алексей mailto:aleksey@ecolas.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN
2002-12-20 12:22 ` Re[2]: " Алексей
@ 2002-12-20 12:30 ` Dmytro O. Redchuk
0 siblings, 0 replies; 26+ messages in thread
From: Dmytro O. Redchuk @ 2002-12-20 12:30 UTC (permalink / raw)
To: ALT Community
On Fri, Dec 20, 2002 at 03:22:38PM +0300, Алексей wrote:
> Hello Dmytro,
>
> Friday, December 20, 2002, 2:49:14 PM, you wrote:
>
> DOR> On Fri, Dec 20, 2002 at 02:29:46PM +0300, Алексей wrote:
> >>
> >> Ну да в conn во втором у меня написано gateway это я забыл . Но вот
> >> когда я так соорудил не только впн даже ssh перестал отвечать на
> >> запросы с удаленного хоста с которго я конфигурил это все)))).
> DOR> ssh на внешний или на внутренний адрес?
>
> Внешний
пробуйте на внутренний
>
> --
> Best regards,
> Алексей mailto:aleksey@ecolas.ru
--
_,-=._ /|_/|
`-.} `=._,.-=-._., @ @._,
`._ _,-. ) _,.-'
` G.m-"^m`m' Dmytro O. Redchuk
Look before you leap.
-- Samuel Butler
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN
2002-12-20 12:16 ` Sergey V. Golovin
@ 2002-12-20 12:36 ` Алексей
2002-12-20 12:51 ` Sergey V. Golovin
0 siblings, 1 reply; 26+ messages in thread
From: Алексей @ 2002-12-20 12:36 UTC (permalink / raw)
To: Sergey V. Golovin
conn vpn
> >> type=tunnel
> >> compress=yes
> >> left=80.80.112.35
> >> leftsubnet=192.168.1.200/255.255.255.0
> >> leftnexthop=80.80.111.96
> >> right=80.80.199.123
> >> rightsubnet=192.168.2.0/255.255.255.0
> >> rightnexthop=80.80.111.96
> >> keyingtries=0
> >> leftrsasigkey=<тут ключ>
> >> rightrsasigkey=<тут ключ>
> >> auth=ah
> >> authby=rsasig
> >> auto=start
> >> conn gateway
> >> type=tunnel
> >> compress=yes
> >> left=80.80.112.35
> >> leftnexthop=80.80.111.96
> >> right=80.80.199.123
> >> rightnexthop=80.80.111.96
у Вас leftnexthop == rightnexthop - да?
Они в прямой видимости находяться?
Тогда надо
leftnexthop=%direct
rightnexthop=%direct
> >> keyingtries=0
> >> leftrsasigkey=<тут ключ>
> >> rightrsasigkey=<тут ключ>
> >> auth=ah
> >> authby=rsasig
> >> auto=start
leftnexthop <> rightnexthop разные ключи
если прописать
leftnexthop=%direct
rightnexthop=%direct
проаодает ВПН
(((((((
--
Best regards,
Алексей mailto:aleksey@ecolas.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN
2002-12-20 12:36 ` Re[2]: " Алексей
@ 2002-12-20 12:51 ` Sergey V. Golovin
2002-12-20 13:09 ` Re[2]: " Алексей
0 siblings, 1 reply; 26+ messages in thread
From: Sergey V. Golovin @ 2002-12-20 12:51 UTC (permalink / raw)
To: community
On 20 Dec Fri 15:36, Алексей wrote:
> > >> keyingtries=0
> > >> leftrsasigkey=<тут ключ>
> > >> rightrsasigkey=<тут ключ>
> > >> auth=ah
> > >> authby=rsasig
> > >> auto=start
>
> leftnexthop <> rightnexthop разные ключи
У Вас в конфигурации они были одинаковыми (80.80.111.96),
причем здесь ключи? Это гейты.
Вот я и подумал , что у Вас там такая громадная сетка.
> если прописать
> leftnexthop=%direct
> rightnexthop=%direct
> проаодает ВПН
Поточнее опишите карту сети.
--
Sergey V. Golovin
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN
2002-12-20 12:51 ` Sergey V. Golovin
@ 2002-12-20 13:09 ` Алексей
2002-12-20 14:07 ` Sergey V. Golovin
0 siblings, 1 reply; 26+ messages in thread
From: Алексей @ 2002-12-20 13:09 UTC (permalink / raw)
To: Sergey V. Golovin
Hello Sergey,
Friday, December 20, 2002, 3:51:36 PM, you wrote:
SVG> On 20 Dec Fri 15:36, Алексей wrote:
>> > >> keyingtries=0
>> > >> leftrsasigkey=<тут ключ>
>> > >> rightrsasigkey=<тут ключ>
>> > >> auth=ah
>> > >> authby=rsasig
>> > >> auto=start
>>
>> leftnexthop <> rightnexthop разные ключи
SVG> У Вас в конфигурации они были одинаковыми (80.80.111.96),
SVG> причем здесь ключи? Это гейты.
SVG> Вот я и подумал , что у Вас там такая громадная сетка.
>> если прописать
>> leftnexthop=%direct
>> rightnexthop=%direct
>> проаодает ВПН
SVG> Поточнее опишите карту сети.
Ок.
Есть 2-ва офиса в одном офисе локаль 192.168.1.0 тут же есть сервак
подключенный в интернет через adsl модем, в другом офисе тоже самое и
локаль 192.168.2.0 .
Между серваками 3 дня назад сделал ВПН, теперь из сети в 1-ом офисе
пунгуются компы в локале во 2-ом офисе. Весьма удобно настраивать
винды удалденно с помощью radmin.
Например комп во 2-ом офисе с ip 192.168.1.32 пингует комп в первом с
ip 192.168.1.104 и наоборот.
Шлюзы на которых подняты соединения с интернет и впн имеют локальные адреса
192.168.1.200 и 192.168.2.201. В 1-ом и 2-ом офисах соответственно.
Так вот пинговать шлюз 192.168.1.200 получается с любого компа в сети
192.168.2.0 и шлюз с ip 192.168.2.201 пингуется с любого компа в локале
192.168.1.0.
Все вроде классно как я и задумывал, но вот шлюзы пинговать друг друга
по локальным адресам отказываются.
Надо вроде что-то прописать в /etc/ipsec.conf. Доку читал, но
безуспешно.
Ну вот вроде все так, ничего не забыл.
Спасибо за помошь.
--
Best regards,
Алексей mailto:aleksey@ecolas.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN
2002-12-20 13:09 ` Re[2]: " Алексей
@ 2002-12-20 14:07 ` Sergey V. Golovin
2002-12-20 14:43 ` Re[2]: " Алексей
0 siblings, 1 reply; 26+ messages in thread
From: Sergey V. Golovin @ 2002-12-20 14:07 UTC (permalink / raw)
To: community
On 20 Dec Fri 16:09, Алексей wrote:
> Ок.
> Есть 2-ва офиса в одном офисе локаль 192.168.1.0 тут же есть сервак
> подключенный в интернет через adsl модем, в другом офисе тоже самое и
> локаль 192.168.2.0 .
С adsl я никогда не работал, поэтому м.б. спрошу глупость - в Вашей
конфигурации шлюз по умолч. на роутерах одинаковый?
> Между серваками 3 дня назад сделал ВПН, теперь из сети в 1-ом офисе
> пунгуются компы в локале во 2-ом офисе. Весьма удобно настраивать
> винды удалденно с помощью radmin.
> Например комп во 2-ом офисе с ip 192.168.1.32 пингует комп в первом с
> ip 192.168.1.104 и наоборот.
> Шлюзы на которых подняты соединения с интернет и впн имеют локальные адреса
> 192.168.1.200 и 192.168.2.201. В 1-ом и 2-ом офисах соответственно.
> Так вот пинговать шлюз 192.168.1.200 получается с любого компа в сети
> 192.168.2.0 и шлюз с ip 192.168.2.201 пингуется с любого компа в локале
> 192.168.1.0.
> Все вроде классно как я и задумывал, но вот шлюзы пинговать друг друга
> по локальным адресам отказываются.
Наверное, есть файрволл, который работает для любого пакета, кроме как в другую
подсеть? Если да, то может в его правилах засада?
А так все должно работать, если убрать строки с subnet и разобраться со шлюзами.
--
Sergey V. Golovin
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[2]: [Comm] VPN
2002-12-20 14:07 ` Sergey V. Golovin
@ 2002-12-20 14:43 ` Алексей
2002-12-20 21:14 ` Sergey V. Golovin
2002-12-21 14:40 ` Re[2]: " Pyatnitskich Evgeniy
0 siblings, 2 replies; 26+ messages in thread
From: Алексей @ 2002-12-20 14:43 UTC (permalink / raw)
To: Sergey V. Golovin
Hello Sergey,
Friday, December 20, 2002, 5:07:34 PM, you wrote:
SVG> On 20 Dec Fri 16:09, Алексей wrote:
>> Ок.
>> Есть 2-ва офиса в одном офисе локаль 192.168.1.0 тут же есть сервак
>> подключенный в интернет через adsl модем, в другом офисе тоже самое и
>> локаль 192.168.2.0 .
SVG> С adsl я никогда не работал, поэтому м.б. спрошу глупость - в Вашей
SVG> конфигурации шлюз по умолч. на роутерах одинаковый?
>> Между серваками 3 дня назад сделал ВПН, теперь из сети в 1-ом офисе
>> пунгуются компы в локале во 2-ом офисе. Весьма удобно настраивать
>> винды удалденно с помощью radmin.
>> Например комп во 2-ом офисе с ip 192.168.1.32 пингует комп в первом с
>> ip 192.168.1.104 и наоборот.
>> Шлюзы на которых подняты соединения с интернет и впн имеют локальные адреса
>> 192.168.1.200 и 192.168.2.201. В 1-ом и 2-ом офисах соответственно.
>> Так вот пинговать шлюз 192.168.1.200 получается с любого компа в сети
>> 192.168.2.0 и шлюз с ip 192.168.2.201 пингуется с любого компа в локале
>> 192.168.1.0.
>> Все вроде классно как я и задумывал, но вот шлюзы пинговать друг друга
>> по локальным адресам отказываются.
SVG> Наверное, есть файрволл, который работает для любого пакета, кроме как в другую
SVG> подсеть? Если да, то может в его правилах засада?
SVG> А так все должно работать, если убрать строки с subnet и разобраться со шлюзами.
Шлюза для коннекта с интернетом одинаковые. ADSL - я сам недавно с
этим столкнулся, короче говоря есть телефонная розетка включен в нее
сплитер от туда к модему из модем обычная сетевая проволка. Все это
устройство стоит 600 $. В линуксе коннект осущетсвляется с помошью
пакета rp-pppoe. Ifconfig говорит об обычном поднятом ppp0,
eth1,eth0,ipsec0. вот и все. Получается через это обуродование
высокоскоростной интернет.
--
Best regards,
Алексей mailto:aleksey@ecolas.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN
2002-12-20 14:43 ` Re[2]: " Алексей
@ 2002-12-20 21:14 ` Sergey V. Golovin
2002-12-21 14:40 ` Re[2]: " Pyatnitskich Evgeniy
1 sibling, 0 replies; 26+ messages in thread
From: Sergey V. Golovin @ 2002-12-20 21:14 UTC (permalink / raw)
To: community
> >> Между серваками 3 дня назад сделал ВПН, теперь из сети в 1-ом офисе
> >> пунгуются компы в локале во 2-ом офисе. Весьма удобно настраивать
> >> винды удалденно с помощью radmin.
> >> Например комп во 2-ом офисе с ip 192.168.1.32 пингует комп в первом с
> >> ip 192.168.1.104 и наоборот.
> >> Шлюзы на которых подняты соединения с интернет и впн имеют локальные адреса
> >> 192.168.1.200 и 192.168.2.201. В 1-ом и 2-ом офисах соответственно.
> >> Так вот пинговать шлюз 192.168.1.200 получается с любого компа в сети
> >> 192.168.2.0 и шлюз с ip 192.168.2.201 пингуется с любого компа в локале
> >> 192.168.1.0.
> >> Все вроде классно как я и задумывал, но вот шлюзы пинговать друг друга
> >> по локальным адресам отказываются.
Я сейчас перечитал ветку и обратил внимание :-), что Вы сделали только 2
соединения - подсеть_подсеть и гейт_гейт, а ведь еще надо 2 -
подсеть1_гейт2 и гейт1_подсеть2. На эту глубокую мысль меня навела фраза о
пинге по локальным адресам. Т.е. еще две секции:
conn gw1_subnet2
type=tunnel
compress=yes
left=80.80.112.35
leftnexthop=80.80.111.96
right=80.80.199.123
rightsubnet=192.168.2.0/255.255.255.0
rightnexthop=80.80.111.96
keyingtries=0
<тут все остальное>
conn subnet1_gw2
type=tunnel
compress=yes
left=80.80.112.35
leftsubnet=192.168.1.200/255.255.255.0
leftnexthop=80.80.111.96
right=80.80.199.123
rightnexthop=80.80.111.96
keyingtries=0
<тут все остальное>
И еще в /usr/src/freeswan*/doc есть нестандартные
рекомендации использовать вместо 4 туннелей 1 между
подсетями(у Вас уже работает) и возможности пакета iproute2.
Посмотрите на user_examples.html, если мои советы не заработают.
--
Sergey V. Golovin
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: Re[2]: [Comm] VPN
2002-12-20 14:43 ` Re[2]: " Алексей
2002-12-20 21:14 ` Sergey V. Golovin
@ 2002-12-21 14:40 ` Pyatnitskich Evgeniy
2002-12-23 5:55 ` Re[4]: " Алексей
1 sibling, 1 reply; 26+ messages in thread
From: Pyatnitskich Evgeniy @ 2002-12-21 14:40 UTC (permalink / raw)
To: community
On Fri, 20 Dec 2002 17:43:06 +0300
Алексей <aleksey@ecolas.ru> wrote:
> SVG> Наверное, есть файрволл, который работает для любого пакета, кроме как в другую
> SVG> подсеть? Если да, то может в его правилах засада?
> SVG> А так все должно работать, если убрать строки с subnet и разобраться со шлюзами.
>
>
> Шлюза для коннекта с интернетом одинаковые. ADSL - я сам недавно с
> этим столкнулся, короче говоря есть телефонная розетка включен в нее
> сплитер от туда к модему из модем обычная сетевая проволка. Все это
> устройство стоит 600 $. В линуксе коннект осущетсвляется с помошью
> пакета rp-pppoe. Ifconfig говорит об обычном поднятом ppp0,
> eth1,eth0,ipsec0. вот и все. Получается через это обуродование
> высокоскоростной интернет.
Если не секрет, а скорость примерно какая?
--
---Regards, P.E.M. <pem@rbcmail.ru>---
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN
2002-12-19 12:33 [Comm] VPN Алексей
` (2 preceding siblings ...)
2002-12-19 12:57 ` Dmytro O. Redchuk
@ 2002-12-22 17:28 ` Oleg Lukashin
2002-12-22 18:22 ` Dmitriy Gnidchenko
3 siblings, 1 reply; 26+ messages in thread
From: Oleg Lukashin @ 2002-12-22 17:28 UTC (permalink / raw)
To: community
* Алексей (aleksey@ecolas.ru) wrote:
> Hello community,
>
> Соорудил ВПН. Машины из локалки 192.168.1.0 удачно пингуют
> 192.168.2.0 и обратно. Но вот шлюзы этого делать не хотят, т.е. если
> со шлюза который смотрит в локаль 192.168.1.0 пытаюсь пинговать
> машины в локале 192.168.1.0 ничего не выходит, тоже самое и с
> другого шлюза из подсети 192.168.2.0. Куда смотреть, где ковырять
> подскажите отцы.
В доке (/usr/share/doc/FreeSwan-%version) есть пример "от наших
пользователей). Там, в частности, есть решение этой проблемы:
/sbin/iproute replace 192.168.1.0/24 via 220.220.220.2 dev ipsec0
src 192.168.2.1,
где 192.168.1.0/24 - "та" сеть
220.220.220.2 - ваш публичный ip.
192.168.2.1 - ваш внутренний ip (с которого сейчас не
проходят пинги.
зеркально делаете с другой стороны.
Не знаю почему, мне это решение понравилось больше, чем
организация еще одного туннеля.
Далее, я просто вставил эти строки в /etc/rc.d/init.d/ipsec
после запуска ipsec'а, через две секунды.
Это не очень красиво, но другого способа я не знаю.
Теперь остается только отслеживать обновления freeswan'а и
подправлять /etc/rc.d/init.d/ipsec.
BTW - доки рулез форева.
--
Best regards,
Oleg Lukashin
mailto:phd@rega.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re: [Comm] VPN
2002-12-22 17:28 ` Oleg Lukashin
@ 2002-12-22 18:22 ` Dmitriy Gnidchenko
0 siblings, 0 replies; 26+ messages in thread
From: Dmitriy Gnidchenko @ 2002-12-22 18:22 UTC (permalink / raw)
To: community
А кто-нибудь использует FreeSwan совместно с Cisco IPsec?
У меня получается ерунда одна,
если долго по интерфейсу не идут пакеты (с вечера до утра), то
IPSEC надо перезапускать.
Идет какая-то ругань и в итоге нет канала.
Ругань сейчас привести не могу,
только через пару дней пока соберу установку и запущу ее для
теста.
Но факт имеется. :(
--
С Уважением
Дмитрий savithur@avatar.spb.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
* Re[4]: [Comm] VPN
2002-12-21 14:40 ` Re[2]: " Pyatnitskich Evgeniy
@ 2002-12-23 5:55 ` Алексей
0 siblings, 0 replies; 26+ messages in thread
From: Алексей @ 2002-12-23 5:55 UTC (permalink / raw)
To: Pyatnitskich Evgeniy
Hello Pyatnitskich,
Saturday, December 21, 2002, 5:40:54 PM, you wrote:
PE> On Fri, 20 Dec 2002 17:43:06 +0300
PE> Алексей <aleksey@ecolas.ru> wrote:
>> SVG> Наверное, есть файрволл, который работает для любого пакета, кроме как в другую
>> SVG> подсеть? Если да, то может в его правилах засада?
>> SVG> А так все должно работать, если убрать строки с subnet и разобраться со шлюзами.
>>
>>
>> Шлюза для коннекта с интернетом одинаковые. ADSL - я сам недавно с
>> этим столкнулся, короче говоря есть телефонная розетка включен в нее
>> сплитер от туда к модему из модем обычная сетевая проволка. Все это
>> устройство стоит 600 $. В линуксе коннект осущетсвляется с помошью
>> пакета rp-pppoe. Ifconfig говорит об обычном поднятом ppp0,
>> eth1,eth0,ipsec0. вот и все. Получается через это обуродование
>> высокоскоростной интернет.
PE> Если не секрет, а скорость примерно какая?
точно сказать трудно, постоянно канал занят то почтой, то перекидкой
файлов. Ну вот 7 метров перекидывал может быть минуту полторы
--
Best regards,
Алексей mailto:aleksey@ecolas.ru
^ permalink raw reply [flat|nested] 26+ messages in thread
end of thread, other threads:[~2002-12-23 5:55 UTC | newest]
Thread overview: 26+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2002-12-19 12:33 [Comm] VPN Алексей
2002-12-19 12:41 ` Andrew Nazarkin
2002-12-19 12:53 ` andy Tatarinov
2002-12-19 13:33 ` Re[2]: " Алексей
2002-12-19 12:57 ` Dmytro O. Redchuk
2002-12-19 13:34 ` Re[2]: " Алексей
2002-12-19 13:42 ` Dmytro O. Redchuk
2002-12-19 13:44 ` Re[2]: " Алексей
2002-12-20 7:10 ` Sergey V. Golovin
2002-12-20 9:40 ` Re[2]: " Алексей
2002-12-20 9:51 ` Dmytro O. Redchuk
2002-12-20 11:29 ` Re[2]: " Алексей
2002-12-20 11:49 ` Dmytro O. Redchuk
2002-12-20 12:22 ` Re[2]: " Алексей
2002-12-20 12:30 ` Dmytro O. Redchuk
2002-12-20 12:16 ` Sergey V. Golovin
2002-12-20 12:36 ` Re[2]: " Алексей
2002-12-20 12:51 ` Sergey V. Golovin
2002-12-20 13:09 ` Re[2]: " Алексей
2002-12-20 14:07 ` Sergey V. Golovin
2002-12-20 14:43 ` Re[2]: " Алексей
2002-12-20 21:14 ` Sergey V. Golovin
2002-12-21 14:40 ` Re[2]: " Pyatnitskich Evgeniy
2002-12-23 5:55 ` Re[4]: " Алексей
2002-12-22 17:28 ` Oleg Lukashin
2002-12-22 18:22 ` Dmitriy Gnidchenko
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git