1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Пт июл 18, 2025 23:36

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 28 ]  На страницу 1, 2  След.
  Предыдущая тема | Следующая тема 
Автор Сообщение
alex_rrr
СообщениеДобавлено: Ср авг 26, 2009 21:14 
Не в сети

Зарегистрирован: Вт апр 21, 2009 16:05
Сообщений: 41
Добрый день!

Исходные данные - удаленный сервер с одним реальным IP адресом - локальной сети за ним нет, установлен OpenSwan, IPSec настроен по примеру отсюда (http://wiki.openswan.org/index.php/Openswan/DI-804HV), на моей стороне - Dlink 808hv с реальным IP, настроен VPN клиент по вышесказанному примеру,за ним локальная сеть 10.0.0.0/24.
Схема
Код:
(10.8.0.0/24) - x.x.x.x ----   VPN ----  y.y.y.y (10.0.0.0/24)
    Server Ubuntu -------------------------------- Dlink-808hv


x.x.x.x - Реальный IP сервера
y.y.y.y - реальный IP клиента
10.8.0.0/24 - Локальная сеть на сервере - физически ее как таковой нет, но как я понял нужна только для создания IPSec туннеля
10.0.0.0/24 - Локальная сеть за Длинком

VPN поднимается без проблем -судя по auth.log

Код:
Aug 24 16:33:27 server pluto[12115]: loading secrets from "/etc/ipsec.secrets"
Aug 24 16:33:27 server pluto[12115]: added connection description "dlink_con"
Aug 24 16:33:27 server pluto[12115]: listening for IKE messages
Aug 24 16:33:27 server pluto[12115]: adding interface eth0/eth0 x.x.x.x:500
Aug 24 16:33:27 server pluto[12115]: adding interface lo/lo 127.0.0.1:500
Aug 24 16:33:27 server pluto[12115]: forgetting secrets
Aug 24 16:33:27 server pluto[12115]: loading secrets from "/etc/ipsec.secrets"
Aug 24 16:33:27 server pluto[12115]: "dlink_con" #1: initiating Main Mode
Aug 24 16:33:27 server pluto[12115]: "dlink_con" #1: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
Aug 24 16:33:27 server pluto[12115]: "dlink_con" #1: STATE_MAIN_I2: sent MI2, expecting MR2
Aug 24 16:33:27 server pluto[12115]: "dlink_con" #1: I did not send a certificate because I do not have one.
Aug 24 16:33:27 server pluto[12115]: "dlink_con" #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
Aug 24 16:33:27 server pluto[12115]: "dlink_con" #1: STATE_MAIN_I3: sent MI3, expecting MR3
Aug 24 16:33:28 server pluto[12115]: "dlink_con" #1: Main mode peer ID is ID_IPV4_ADDR: 'y.y.y.y'
Aug 24 16:33:28 server pluto[12115]: "dlink_con" #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4
Aug 24 16:33:28 server pluto[12115]: "dlink_con" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_md5 group=modp1024}
Aug 24 16:33:28 server pluto[12115]: "dlink_con" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}
Aug 24 16:33:28 server pluto[12115]: "dlink_con" #2: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2
Aug 24 16:33:28 server pluto[12115]: "dlink_con" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x110b0010 <0x4f9fc82a xfrm=3DES_0-HMAC_SHA1 NATD=none DPD=none}
Aug 24 17:03:39 server pluto[12115]: packet from y.y.y.y:500: Informational Exchange is for an unknown (expired?) SA
Aug 24 17:04:00 server pluto[12115]: packet from y.y.y.y:500: Informational Exchange is for an unknown (expired?) SA
Aug 24 17:17:01 server CRON[12301]: pam_unix(cron:session): session opened for user root by (uid=0)
Aug 24 17:17:01 server CRON[12301]: pam_unix(cron:session): session closed for user root
Aug 24 17:23:08 server pluto[12115]: "dlink_con" #3: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP to replace #2 {using isakmp#1}
Aug 24 17:23:09 server pluto[12115]: "dlink_con" #3: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2
Aug 24 17:23:09 server pluto[12115]: "dlink_con" #3: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x130b0010 <0x317461a2 xfrm=3DES_0-HMAC_SHA1 NATD=none DPD=none}


и

VPN статусу в dlink

Код:
Name      Remote Network - IP Address/Subnet Mask/Gateway      Local Network - IP Address/Subnet Mask      Type      State      Life   
d-link_con      10.8.0.0/255.255.255.0/x.x.x.x      10.0.0.0/255.255.255.0      ESP tunnel      IKE established      2780


Но при всем при этом, не с dlink - я не могу пропинговать 10.8.0.1, не с сервера - я не могу пинговать 10.0.0.0. Фаерволл отключен, подскажите что может быть не так?!?

Вот еще дополнительная необходимая информация:

Код:
route -n
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
x.x.x.x         0.0.0.0         255.255.255.128 U     0      0        0 eth0
10.0.0.0        x.x.x.129       255.255.255.0   UG    0      0        0 eth0
0.0.0.0         x.x.x.129       0.0.0.0         UG    100    0        0 eth0

ifconfig
eth0      Link encap:Ethernet  HWaddr t:t:t:t:t:t
          inet addr:x.x.x.x  Bcast:z.z.z.z  Mask:255.255.255.128
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:96135435 errors:0 dropped:0 overruns:0 frame:0
          TX packets:4355730 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2597717948 (2.4 GB)  TX bytes:413873762 (394.7 MB)
          Interrupt:20 Base address:0xb800

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:48 errors:0 dropped:0 overruns:0 frame:0
          TX packets:48 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:6512 (6.3 KB)  TX bytes:6512 (6.3 KB)


Последний раз редактировалось alex_rrr Пт сен 04, 2009 19:22, всего редактировалось 1 раз.

Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 27, 2009 09:26 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Можете показать конфиги DI и конфиги openswan?

Какие прошивки на DI?

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 27, 2009 10:29 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
У вас случайно ip forward не включен? если не включен, то включите, и разрешите в iptables трафик между подсетями.

узнать это можно так:
sudo sysctl -a |grep net.ipv4.ip_forward

если значение равно 0 выключен.

временно включить:
sudo sysctl net.ipv4.ip_forward = 1

Постоянно:
sudo echo "sysctl net.ipv4.ip_forward = 1" >> /etc/sysctl.conf

или

sudo echo "1" > /proc/sys/net/ipv4/ip_forward

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
alex_rrr
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 27, 2009 13:16 
Не в сети

Зарегистрирован: Вт апр 21, 2009 16:05
Сообщений: 41
В добавление ко всем ниже сказанному скажу что интернет на DI получаю по PPPoE - если это конечно важно.

Версия прошивки DI - Firmware Version: V1.44, Fri, Nov 24 2006

ipsec.conf
Код:
config setup
        interfaces=%defaultroute
        nat_traversal=no
        nhelpers=0

conn dlink_con
        left=x.x.x.x
        leftsubnet=10.8.0.0/24
        leftnexthop=%defaultroute
        right=y.y.y.y
        rightsubnet=10.0.0.0/24
        keyexchange=ike
        ikelifetime=240m
        keylife=3600s
        pfs=yes
        compress=no
        authby=secret
        keyingtries=0
        auto=start
include /etc/ipsec.d/examples/no_oe.conf


Форвард включен - включал при настройке, для уверенности проверил еще раз

Код:
root@linux:/etc# sysctl -a | grep net.ipv4.ip_forward
error: permission denied on key 'net.ipv4.route.flush'
net.ipv4.ip_forward = 1


Изображение[/code]
Вернуться наверх
 Профиль  
 
Nevis
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 27, 2009 16:41 
Не в сети

Зарегистрирован: Чт авг 09, 2007 10:46
Сообщений: 178
Раз просили все конфиги значит нужно все и приводить.

1) что в include /etc/ipsec.d/examples/no_oe.conf ?
2) и что в /etc/ipsec-tools.conf или думаешь он просто так тянется в зависимостях?

P.S. Лучше добровольно обновить прошивку, когда поддержка придет все равно заставит &copy
Вернуться наверх
 Профиль  
 
miant
 Заголовок сообщения:
СообщениеДобавлено: Чт авг 27, 2009 18:42 
Не в сети

Зарегистрирован: Пт апр 27, 2007 17:46
Сообщений: 265
Откуда: Кишинев
alex_rrr писал(а):
Версия прошивки DI - Firmware Version: V1.44, Fri, Nov 24 2006

Прошивку обновите хотя бы до 1.50
Вернуться наверх
 Профиль  
 
alex_rrr
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 28, 2009 08:30 
Не в сети

Зарегистрирован: Вт апр 21, 2009 16:05
Сообщений: 41
Перепрошил до Firmware Version: V1.51b12, Mon, Jul 06 2009

/etc/ipsec-tools.conf
Ничего нет.

А в этом default - содержание.
/etc/ipsec.d/examples/no_oe.conf
conn block
auto=ignore

conn private
auto=ignore

conn private-or-clear
auto=ignore

conn clear-or-private
auto=ignore

conn clear
auto=ignore

conn packetdefault
auto=ignore

Результат после перепрошивки не изменился
Вернуться наверх
 Профиль  
 
miant
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 28, 2009 10:35 
Не в сети

Зарегистрирован: Пт апр 27, 2007 17:46
Сообщений: 265
Откуда: Кишинев
Если из сети за длинком сервер ubuntu не пингуется, то вам надо смотреть конфиги со стороны ubuntu. Что-то там не так.
Да, непосредственно с длинка пинг в туннель не пойдет, только наружу.
Я с linux не работал, но думаю, советом вам помогут.
Вернуться наверх
 Профиль  
 
alex_rrr
 Заголовок сообщения:
СообщениеДобавлено: Пт авг 28, 2009 12:16 
Не в сети

Зарегистрирован: Вт апр 21, 2009 16:05
Сообщений: 41
Очень интересно еще то что пинг с Ubuntu на длинк через туннель тоже не идет при этом, и локальные адреса за длинком не пингуются, на вненшние адреса идет с обоих сторон.

Цитата:
Я с linux не работал, но думаю, советом вам помогут.

Я вот тоже до этого времени не работал, а теперь надо, но что то не очень выходит. Я кстати этот вопрос задавал на форуме Ubuntu так там вообщем все отмолчались, надеюсь тут помогут.
Вернуться наверх
 Профиль  
 
alex_rrr
 Заголовок сообщения:
СообщениеДобавлено: Пн авг 31, 2009 12:27 
Не в сети

Зарегистрирован: Вт апр 21, 2009 16:05
Сообщений: 41
up
Вернуться наверх
 Профиль  
 
vve
 Заголовок сообщения:
СообщениеДобавлено: Пн авг 31, 2009 20:49 
Не в сети

Зарегистрирован: Вс авг 02, 2009 10:58
Сообщений: 55
Откуда: Москва
Проблема - в том, что у Вас нет сети 10.8.0.0/24. Пакет, уходящий с сервера (без хитроумной трансляции), пойдёт через туннель только в том случае, если его источник находится в указанной сети. Верно и обратное - для пакета, приходящего по туннелю.
Когда Вы пытаетесь пинговать 10.8.0.1 - какого результата Вы ожидаете, если интерфейса с таким адресом не существует? Пинговать 10.0.0.0 вообще бессмысленно (наверное, Вы опечатались).
Вариант решения зависит от того, что именно Вы хотите от этого туннеля получить - с какой стороны и что должно быть доступно?
Если нужно просто проверить связь - создайте, например, алиас для loopback-интерфейса с адресом 10.8.0.1 или настройте такой адрес на второй сетевой карте сервера.
И ещё, удалите этот маршрут:
10.0.0.0 x.x.x.129 255.255.255.0 UG 0 0 0 eth0 .
Вернуться наверх
 Профиль  
 
alex_rrr
 Заголовок сообщения:
СообщениеДобавлено: Ср сен 02, 2009 00:04 
Не в сети

Зарегистрирован: Вт апр 21, 2009 16:05
Сообщений: 41
Со стороны за Dlink - должен быть доступен только адрес 10.8.0.1 - являющийся адресом линукс сервера - для передачи информации на него через туннель, также на нем будет поднят астериск для регистрации пользователей находящихся за длинком(ками) по SIP для звонков (тоже через туннель). Со стороны Линукс сервера - нужно видеть все PC за Dlink-ами - пинг, двусторонняя связь по SIP (ответы на регистрацию и прочее), получение данных с PC за Dlink-ами по VPN.
2-й сетевой карты нет.
Вернуться наверх
 Профиль  
 
vve
 Заголовок сообщения:
СообщениеДобавлено: Ср сен 02, 2009 00:16 
Не в сети

Зарегистрирован: Вс авг 02, 2009 10:58
Сообщений: 55
Откуда: Москва
Тогда, кроме алиаса, возможно, ничего больше и не понадобится. Попробуйте:
ifconfig lo:0 10.8.0.1 netmask 255.255.255.0
route add 10.8.0.1 netmask 0.0.0.0 dev lo:0
Вернуться наверх
 Профиль  
 
alex_rrr
 Заголовок сообщения:
СообщениеДобавлено: Ср сен 02, 2009 13:06 
Не в сети

Зарегистрирован: Вт апр 21, 2009 16:05
Сообщений: 41
добавил
Цитата:
ifconfig lo:0 10.8.0.1 netmask 255.255.255.0
route add 10.8.0.1 netmask 0.0.0.0 dev lo:0


Код:
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
10.8.0.1        0.0.0.0         255.255.255.255 UH    0      0        0 lo
x.x.x.128       0.0.0.0         255.255.255.128 U     0      0        0 eth0
0.0.0.0         x.x.x.129       0.0.0.0         UG    100    0        0 eth0

ifconfig
eth0      Link encap:Ethernet  HWaddr t:t:t:t:t:t
          inet addr:x.x.x.234  Bcast:x.x.x.255  Mask:255.255.255.128
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:28918392 errors:0 dropped:0 overruns:0 frame:0
          TX packets:347025 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2016745764 (1.8 GB)  TX bytes:48033611 (45.8 MB)
          Interrupt:20 Base address:0xb800

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:188 errors:0 dropped:0 overruns:0 frame:0
          TX packets:188 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:17016 (16.6 KB)  TX bytes:17016 (16.6 KB)

lo:0      Link encap:Local Loopback
          inet addr:10.8.0.1  Mask:255.255.255.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1


Пинга по прежнему нет ((

ping 10.0.0.1 -I lo:0
PING 10.0.0.1 (10.0.0.1) from x.x.x.234 lo:0: 56(84) bytes of data.
--- 10.0.0.1 ping statistics ---
5 packets transmitted, 0 received, 100% packet loss, time 3999ms

ping 10.0.0.1
PING 10.0.0.1 (10.0.0.1) 56(84) bytes of data.
--- 10.0.0.1 ping statistics ---
8 packets transmitted, 0 received, 100% packet loss, time 6999ms

C Dlink - Ping 10.8.0.1 failed!
Вернуться наверх
 Профиль  
 
vve
 Заголовок сообщения:
СообщениеДобавлено: Ср сен 02, 2009 13:17 
Не в сети

Зарегистрирован: Вс авг 02, 2009 10:58
Сообщений: 55
Откуда: Москва
А сеть 10.0.0.0/24 реально есть? В частности, что-либо с адресом 10.0.0.1 . Или Вы снова пытаетесь пинговать несуществующий интерфейс?
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 2
  [ Сообщений: 28 ]  На страницу 1, 2  След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 460

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB