информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Spanning Tree Protocol: недокументированное применениеГде водятся OGRыЗа кого нас держат?
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Простое пробивание рабочего/провайдерского... 
 400 уязвимостей в процессорах Snapdragon 
 Яндекс неуклюже оправдался за установку... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / networking
Имя Пароль
ФОРУМ
все доски
FAQ
IRC
новые сообщения
site updates
guestbook
beginners
sysadmin
programming
operating systems
theory
web building
software
hardware
networking
law
hacking
gadgets
job
dnet
humor
miscellaneous
scrap
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Freebsd, туннели и объединение сетей - heeelp! 06.04.05 21:58  Число просмотров: 2697
Автор: ВНЬ Статус: Незарегистрированный пользователь
Отредактировано 12.04.05 02:28  Количество правок: 11
<"чистая" ссылка> <обсуждение закрыто>
Нужна помощь, а то крыша медленно, но уверенно уползает.
В общем, грабли такие.

Ситуация:
pub - public
priv - private
Есть три локалки -
IP1pub-IP1priv    IP2pub1-IP2pub2-IP2priv    IP3pub1-IP3pub2-IP3priv

Две из них повязаны через прова (IP из сети 10.0...) через ящики с фрей,
и каждая имеет выход в инет.
Ессно, ящики друг друга видят по внешнему IP между ящиками,
настроил gif-туннель с шифрованием для внутренних сеток. Все работает.

НО! Тут у прова чегой-то ломается, три недели нет канала в инет и между филиалами.
Параллельно зашевелилось начальство, и появилась третья сетка.
Она имеет выход в инет от другого прова, ну и мысль родилась - а не взять ли канал у третьего,
чтобы повязать вторую и третью сети, и дать через третью выход в инет первой и второй?
Благо, у третьей все равно Unlim в инет...
Месяц прошел, пров требует денег,
но он ведь три недели не работал -> начальство не платит -> дрючат меня,
делай канал наружу через третью точку, да побыстрее.

Проходит некоторое время, берется канал от третьего прова между второй и третьей точкой
(ISDN на вторую и ADSL на третью точки),
некоторое время морочится себе голова, и делается рабочий канал IP2pub2 - IP3pub2.
Для ISDN привинчнвается PPP, для ADSL mpd с PPPoE (и там, и там коннекты с неким адресом
у прова, а уж он обеспечивает транспорт пакетов, у него там, похоже, киска со стороны ADSL,
а что со стороны ISDN - фиг знает).
Все, могу ходить SSHем во вторую сеть, ну, а оттуда тем же макаром и в первую.

Теперь самое интересное.
Пытаюсь привинтить туннель между IP2priv и IP3priv через IP2pub2 - IP3pub2.
Не выходит каменный цветок :-((( И где накосячил не доходит...
Туннель привинчивал тоже gif-ом, т.к. на второй точке удобно все строить, да и IPSEC...
Теперь о ПО. Пользую ipf-ipnat, named, racoon, mpd. В ipf правила на туннель между 3 и 2
pass all (пока не настрою, потом подкручу).

На третьей точке сервер с такими настройками.

gif в ifconfig виден и вроде поднимается:

xi0: выход во внешний мир, работает...
xi1: интерфейс к ADSL-router
xi3: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
	inet IP3priv.1 netmask 0xffffff00 broadcast IP3priv.255
	ether xx:xx:xx:xx:xx:xx
	media: Ethernet autoselect (100baseT/UTP)
	status: active
lo0: ну, это понятно :-) 
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
	tunnel inet IP3pub2 --> IP2pub2
	inet IP3priv.250 --> IP2priv.250 netmask 0xffffffff 
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1492
	inet IP3pub2 --> IP2pub2 netmask 0xffffffff 

netstat говорит, что правила прописаны такие:

default                   <гейт наружу пров2>    xi0
IP2priv-net/24            IP2priv.250            gif0
IP2priv.250               IP3priv.250            gif0
IP3priv-net/24            link#3                 xi3
IP3priv.255               ff:ff:ff:ff:ff:ff      xi3
a3a.b3b.c3c               <IP у прова3>          xi0
a3a.b3b.c3c.d3d           lo0                    lo0
a2a.b2b.c2c.d2d/32        <IP у прова3>          ng0
<IP у прова3>             a3a.b3b.c3c.d3d        ng0

a3a.b3b.c3c.d3d - внешний IP третьей точки у прова3
a2a.b2b.c2c.d2d - внешний IP второй точки у прова3
<IP у прова3> - IP со стороны прова3 (прописывается динамически)

В ipf.rules:

pass out quick on ng0 all 
pass in quick on ng0 all 
pass out quick on gif0 all 
pass in quick on gif0 all 


На второй точке сервер с такими настройками.

gif в ifconfig виден и вроде поднимается:

tun0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1524
	inet IP2pub2 --> <IP у прова3> netmask 0xffffffff 
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
	tunnel inet IP2pub2 --> IP3pub2
	inet IP2priv.250 --> IP3priv.250 netmask 0xffffffff 


netstat говорит, что правила прописаны такие:

IP3priv-net/24          IP3priv.250        gif0
IP3priv.250             IP2priv.250        gif0
IP3pub2                 <IP у прова3>      tun0
<IP у прова>            IP2pub2            tun0


<IP у прова3> - IP со стороны прова3 (прописывается динамически)

В ipf.rules:

pass out quick on tun0 all 
pass in quick on tun0 all 
pass out quick on gif0 all 
pass in quick on gif0 all 


Мне пока не нужен криптованный туннель, мне надо просто соединиться, после закриптую.
Наиболее вероятно, что глаз замылился, и не вижу очевидного...
Итак, вопрос! Где кривые ручки грабли выростили?

---
<networking> Поиск 
  • Freebsd, туннели и объединение сетей - heeelp! - ВНЬ 06.04.05 21:58 [2697]








Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach