Dzień dobry,
Mam następujący problem.
Centrala w Warszawie posiada spięte oddziały na południu Polski do router z ip 192.168.16.1 i to działa.
Moja centrala ma spięte oddziały na północy Polski do routera 192.168.1.254
Obie centrale działają, ale są obecnie złączone ze sobą i obie centrale "widzą" się.
Ale ja chciał bym aby dało się z mojej centrali (192.168.1.0) nawiązać połączenie z IP 192.168.15.1 które jest wpięte po ipsec do centrali w Warszawie (192.168.16.1).
oddział 192.168.15.1 --ipsec--> Centrala Wawa192.168.16.1 <====tunel ipsec=====> 192.168.1.254
Pytanie, jak wklepać routing? Bo jak dam ip route add 192.168.15.0/24 via 192.168.16.1
To niestety nie da się z 192.168.1.X pingować 192.168.15.X
pozdrawiam.
Routing po ipsec do sieci dopi
Posta rozumiem piąte przez dziesiąte.
Oddział (RTR:192.168.15.1/24) <-Site-to-site VPN-> Centrala (192.168.16.1/24) <-Site-to-site VPN-> host (192.168.1.254/32).
Nie załatwiasz tego routingiem tylko poprawną konfiguracją tunelu.
W site-to-site vpn podaje się sieci widoczne po jednej i po drugiej stronie.
Np racoon.tool.conf dla oddział wyglądać powinien tak:
Oddział (RTR:192.168.15.1/24) <-Site-to-site VPN-> Centrala (192.168.16.1/24) <-Site-to-site VPN-> host (192.168.1.254/32).
Nie załatwiasz tego routingiem tylko poprawną konfiguracją tunelu.
W site-to-site vpn podaje się sieci widoczne po jednej i po drugiej stronie.
Np racoon.tool.conf dla oddział wyglądać powinien tak:
Kod: Zaznacz cały
connection(blurke-web1):
src_range: 192.168.1.0/24
dst_range: 192.168.16.0/24
dst_ip: IP_PO_DRUGIEJ_STRONIE
encryption_algorithm: blowfish
admin_status: yes
connection(blurke-web2):
src_range: 192.168.1.0/24
dst_range: 192.168.1.254/32
dst_ip: IP_PO_DRUGIEJ_STRONIE
encryption_algorithm: blowfish
admin_status: yesTak dokładnie, ja mam zestawione to po Openswan.Oddział Łódź (RTR:192.168.15.1/24) <-Site-to-site VPN-> Centrala Wawa (192.168.16.1/24) <-Site-to-site VPN-> Centrala Gdańsk (192.168.1.254/32)
Czyli wynika z tego, że muszę zestawić jeszcze tunel między 192.168.15.1 do 192.168.1.0 bo inaczej nie pchnę pakietów do 192.168.15.1 przez 192.168.16.1?
Coś w tym stylu. Tunel jest jeden a w nim kilka podsieci:
http://xmodulo.com/create-site-to-site- ... linux.html
Openswan też (jak widzę z tego linka na szybko) sam dodaje wartości do tablicy routingu, więc trzeba wpisać przekazywane sieci.
ps.
Po prawdzie na OpenSwan to poległem (chciałem BGP na tym zrobić, oraz GRE przez APN do Orange) i zostałem przy Cisco.
http://xmodulo.com/create-site-to-site- ... linux.html
Openswan też (jak widzę z tego linka na szybko) sam dodaje wartości do tablicy routingu, więc trzeba wpisać przekazywane sieci.
ps.
Po prawdzie na OpenSwan to poległem (chciałem BGP na tym zrobić, oraz GRE przez APN do Orange) i zostałem przy Cisco.