pdn_mail
-
Posts
51 -
Joined
-
Last visited
pdn_mail's Achievements
Advanced Member (3/5)
2
Reputation
-
Здравствуйте! Скажите пожалуйста, а вот автоматический режим умеет делать два туннеля? Или это можно только в ручном режиме делать, ну.., там crypto map всякие прописывать? Сделал второй туннель Gre63 и всё перестало работать............................................................... (config)> sh ipsec ipsec_statusall: Status of IKE charon daemon (strongSwan 5.6.0, Linux 3.4.113, mips): uptime: 16 minutes, since Oct 17 11:26:15 2017 malloc: sbrk 200704, mmap 0, used 123744, free 76960 worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 4 loaded plugins: charon random nonce openssl hmac attr kernel-netlink socket-default stroke updown eap-mschapv2 eap-dynamic xauth-generic xauth-eap error-notify systi me-fix unity Listening IP addresses: 46.240.100.2 192.168.0.1 10.1.30.1 192.168.100.1 192.168.163.1 Connections: Gre0: 46.240.100.2...%any IKEv1, dpddelay=30s Gre0: local: [46.240.100.2] uses pre-shared key authentication Gre0: remote: uses pre-shared key authentication Gre0: child: 46.240.100.2/32[gre] === 0.0.0.0/0[gre] TRANSPORT, dpdaction=restart Gre63: child: 46.240.100.2/32[gre] === 0.0.0.0/0[gre] TRANSPORT, dpdaction=restart Security Associations (0 up, 0 connecting): none (config)> sh crypto (config)> Прошивка v2.11.A.4.0-2
-
Спасибо! ip nat Gre0 помогло.
-
Добрый день! Столкнулся с проблемой. Тремя постами выше расписана настройка. Всё работает замечательно, сервер доступен снаружи, работает, локальные ресурсы с ним также могут общаться, только заметил, что обновления на него не идут, т.е. сам сервер не может общаться с внешним миром если он инициатор обмена. Например "ping 8.8.8.8", трафик с сервера уходит по туннелю IPSEC/GRE в сторону кинетика, а обратно ничего не приходит. Проблема явно где-то на стороне настроек роутера, потому что со стороны сети Интернет с сервером работа идёт без проблем. Сервер видит через туннель Bridge0. Подскажите пожалуйста что нужно прописать в настройке, чтобы кинетик с интерфейса Gre0 пропускал трафик дальше?
-
Я помню пытался наладить туннель EoIP, в связи с этим сообщением и предыдущими выводами созрел вопрос, почему не реализовали тип туннеля GRE L2 (gretap), а взяли вендор-зависимую реализацию от микротика? Ни в коей мере не критикую политику компании, только думаю потенциальных пользователей GRE L2 было бы больше, чем EoIP. Есть там конечно проблема с DF, но это решаемо патчами, не сложнее чем "чужой" EoIP запилить.
-
Теперь могу подвести итог. Первая ошибка начинающего, невнимательность к деталям, краеугольным камнем моей ошибки стало то, что не понял сначала разницу между типами интерфейса gre и gretap, почему-то подумал, что это всё относится к одному протоколу, но тип gre - это L3, а gretap - L2. В описании туннеля GRE в документации zyxel говорится, что это реализация туннеля L3, так что применение мной gretap в настройках интерфейса в linux было неправильным. Самая простая конфигурация, в случае использовании схемы: Поднимаем IPSec туннель. Со стороны linux делаем настройки: ipsec.conf # ipsec.conf - strongSwan IPsec configuration file # basic configuration config setup # strictcrlpolicy=yes # uniqueids = no conn ipsec-gre dpddelay=30s dpdtimeout=120s dpdaction=restart closeaction=restart type=transport keyexchange=ikev1 authby=psk ike=aes128-sha1-modp1024! esp=aes128-sha1! left=192.168.2.2 leftsubnet=192.168.2.2/32[47/0] leftfirewall=yes right=46.16.2.2 rightsubnet=46.16.2.2/32[47/0] auto=start ipsec.secrets # ipsec.secrets - strongSwan IPsec secrets file 192.168.2.2 46.16.2.2 : PSK "WAY123456" добавляем интерфейс GRE ip link add grelan type gre local 192.168.2.2 remote 46.16.2.2 dev enp4s0 ip link set grelan up Теперь надо настроить общение сервера с внешним миром через туннель, тут вариантов масса, например gre интерфейс на сервере запихать в бридж с адресом локальной сети, но у меня стояла задача обеспечить доступ к нему по "белому" IP через zyxel, поэтому использовал самую простую настройку, дал gre интерфейсу адрес другой сети - 192.168.100.0/24 и настроил соответственно маршрутизацию: ip a add 192.168.100.2/24 dev grelan ip ro add 46.16.2.2 via 192.168.2.1 dev enp4s0 ip ro del default ip ro add default via 192.168.100.1 dev grelan Настройки со стороны Zyxel: int Gre0 security-level private ip address 192.168.100.1 255.255.255.0 tunnel source ISP ipsec preshared-key "WAY123456" up Далее, со стороны Zyxel траффик на сервер заворачивается стандартным способом: вот и всё стартуем, делаем на линукс - ipsec start должен подняться ipsec туннель и по нему пойти через GRE траффик на сервер со стороны "белого" адреса на zyxel.
-
Прошло два месяца. В прошивке 2.10 наконец появится эта кнопка? А то сильно грамотные пользователи достали, хоть убивай
-
Добрый день! Обновился и пока колупал конфигурацию IKEv2 на стенде с linux машинами, с параметрами предложенными gaaronk Уже решил попробовать на реальном железе с Zyxel и подумал: "а дай попробую на новой прошивке предыдущую конфигурацию GRE туннеля, перед тем как стал потом IPIP настраивать", и что вы думаете? Конечно всё заработало. у меня автоконфигурация на zyxel, единственно что смущает, это не смог найти подобные строчки в show run: access-list _WEBADMIN_IPSEC_pptp-ipsec permit gre 192.168.0.0 255.255.255.0 192.168.2.2 255.255.255.255! Единственно, что утешает, это то, что между интерфейсами GRE туннеля прокинутого через нат over IPSEC могут пройти только пакеты завёрнутые в этот же IPSEC. Готовую конфигу как пример выложу позже.
-
Поддерживаю! Стоит ли в теме развития создать тему? Но как пока посмотреть ipsec.conf на кинетике?
-
Ок. Только теперь всё до завтра откладывается. Хотя может удалённо прошью. А вот это обязательно? Может пока рабочей схемы на ikev1 добиться? Если честно у меня протокол ikev2 между линуксовыми машинами через нат не пошёл, сильно не стал разбираться, тем более с zyxel связываться, пока сосредоточился на ikev1. ткните пожалуйста в тему где про это говорится, я с ходу не нагуглил и пока CLI не настолько хорошо знаю.
-
За натом linux, как клиент (я так говорю, потому, что он инициирует соединение), тоже на Strongswan 5.5.3 В первом посте схема, Zyxel на белом IP, Linux за натом с динамическим внешним IP. Правда я понял почему у вас работает, у вас изначально есть связность gre туннеля, т.к. он и ipsec напрямую видят и сидят на одинаковых внешних интерфейсах, в моём случае связность gre туннелю обеспечивает ipsec, концы сидят на разных интерфейсах, вот тут и возникает проблема. Ещё раз попытаюсь, максимально повторив вашу конфигурацию, то что будет возможно повторить в моём случае, чуть позже отпишусь, что получилось.
-
Упустили самый важный момент. Уточните пожалуйста, на чём у вас организован IPSEC? название и версию софтины. А так вам большое спасибо за пример. Есть над чем подумать. И ещё, у вас клиент не за натом судя по всему сидит, хотя это не принципиально важно.
-
С чего вы решили, что это не так? Рабочий пример можно? Вот у меня с самого начала всё расписано, что и как, в конце исправлено с учётом замечаний Le ecureuil уже вроде всё разжевано, но туннель не работает. Как у вас в Debian это реализовано?
-
Добрый день! Стенд собрали? Что нибудь прояснилось почему туннель GRE с клиентом strongswan на linux не работает?
-
Вы правы, это EoIP работает поверх, который я недавно пытался, пока, безуспешно завести.
-
Спасибо!
