Нужна помощь, а то крыша медленно, но уверенно уползает.
В общем, грабли такие.
Ситуация:
pub - public
priv - private
Есть три локалки -
IP1pub-IP1priv IP2pub1-IP2pub2-IP2priv IP3pub1-IP3pub2-IP3priv
Две из них повязаны через прова (IP из сети 10.0...) через ящики с фрей,
и каждая имеет выход в инет.
Ессно, ящики друг друга видят по внешнему IP между ящиками,
настроил gif-туннель с шифрованием для внутренних сеток. Все работает.
НО! Тут у прова чегой-то ломается, три недели нет канала в инет и между филиалами.
Параллельно зашевелилось начальство, и появилась третья сетка.
Она имеет выход в инет от другого прова, ну и мысль родилась - а не взять ли канал у третьего,
чтобы повязать вторую и третью сети, и дать через третью выход в инет первой и второй?
Благо, у третьей все равно Unlim в инет...
Месяц прошел, пров требует денег,
но он ведь три недели не работал -> начальство не платит -> дрючат меня,
делай канал наружу через третью точку, да побыстрее.
Проходит некоторое время, берется канал от третьего прова между второй и третьей точкой
(ISDN на вторую и ADSL на третью точки),
некоторое время морочится себе голова, и делается рабочий канал IP2pub2 - IP3pub2.
Для ISDN привинчнвается PPP, для ADSL mpd с PPPoE (и там, и там коннекты с неким адресом
у прова, а уж он обеспечивает транспорт пакетов, у него там, похоже, киска со стороны ADSL,
а что со стороны ISDN - фиг знает).
Все, могу ходить SSHем во вторую сеть, ну, а оттуда тем же макаром и в первую.
Теперь самое интересное.
Пытаюсь привинтить туннель между IP2priv и IP3priv через IP2pub2 - IP3pub2.
Не выходит каменный цветок :-((( И где накосячил не доходит...
Туннель привинчивал тоже gif-ом, т.к. на второй точке удобно все строить, да и IPSEC...
Теперь о ПО. Пользую ipf-ipnat, named, racoon, mpd. В ipf правила на туннель между 3 и 2
pass all (пока не настрою, потом подкручу).
На третьей точке сервер с такими настройками.
gif в ifconfig виден и вроде поднимается:
xi0: выход во внешний мир, работает...
xi1: интерфейс к ADSL-router
xi3: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
inet IP3priv.1 netmask 0xffffff00 broadcast IP3priv.255
ether xx:xx:xx:xx:xx:xx
media: Ethernet autoselect (100baseT/UTP)
status: active
lo0: ну, это понятно :-)
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet IP3pub2 --> IP2pub2
inet IP3priv.250 --> IP2priv.250 netmask 0xffffffff
ng0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1492
inet IP3pub2 --> IP2pub2 netmask 0xffffffff
netstat говорит, что правила прописаны такие:
default <гейт наружу пров2> xi0
IP2priv-net/24 IP2priv.250 gif0
IP2priv.250 IP3priv.250 gif0
IP3priv-net/24 link#3 xi3
IP3priv.255 ff:ff:ff:ff:ff:ff xi3
a3a.b3b.c3c <IP у прова3> xi0
a3a.b3b.c3c.d3d lo0 lo0
a2a.b2b.c2c.d2d/32 <IP у прова3> ng0
<IP у прова3> a3a.b3b.c3c.d3d ng0
a3a.b3b.c3c.d3d - внешний IP третьей точки у прова3
a2a.b2b.c2c.d2d - внешний IP второй точки у прова3
<IP у прова3> - IP со стороны прова3 (прописывается динамически)
В ipf.rules:
pass out quick on ng0 all
pass in quick on ng0 all
pass out quick on gif0 all
pass in quick on gif0 all
На второй точке сервер с такими настройками.
gif в ifconfig виден и вроде поднимается:
tun0: flags=88d1<UP,POINTOPOINT,RUNNING,NOARP,SIMPLEX,MULTICAST> mtu 1524
inet IP2pub2 --> <IP у прова3> netmask 0xffffffff
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet IP2pub2 --> IP3pub2
inet IP2priv.250 --> IP3priv.250 netmask 0xffffffff
netstat говорит, что правила прописаны такие:
IP3priv-net/24 IP3priv.250 gif0
IP3priv.250 IP2priv.250 gif0
IP3pub2 <IP у прова3> tun0
<IP у прова> IP2pub2 tun0
<IP у прова3> - IP со стороны прова3 (прописывается динамически)
В ipf.rules:
pass out quick on tun0 all
pass in quick on tun0 all
pass out quick on gif0 all
pass in quick on gif0 all
Мне пока не нужен криптованный туннель, мне надо просто соединиться, после закриптую.
Наиболее вероятно, что глаз замылился, и не вижу очевидного...
Итак, вопрос! Где кривые ручки грабли выростили?
---
|