Polskie Forum Użytkowników Debiana

Polski portal użytkowników dystrybucji Debian GNU/Linux, dyskusje, artykuły, nowości, blog, porady, pomoc.
https://593930.wb34atkl.asia/

Routing po ipsec do sieci dopi

https://593930.wb34atkl.asia/viewtopic.php?t=32206

Strona 1 z 1

Routing po ipsec do sieci dopiętej do innej centrali firmy

: 10 marca 2015, 18:34
autor: redgrist
Dzień dobry,
Mam następujący problem.
Centrala w Warszawie posiada spięte oddziały na południu Polski do router z ip 192.168.16.1 i to działa.
Moja centrala ma spięte oddziały na północy Polski do routera 192.168.1.254
Obie centrale działają, ale są obecnie złączone ze sobą i obie centrale "widzą" się.

Ale ja chciał bym aby dało się z mojej centrali (192.168.1.0) nawiązać połączenie z IP 192.168.15.1 które jest wpięte po ipsec do centrali w Warszawie (192.168.16.1).



oddział 192.168.15.1 --ipsec--> Centrala Wawa192.168.16.1 <====tunel ipsec=====> 192.168.1.254

Pytanie, jak wklepać routing? Bo jak dam ip route add 192.168.15.0/24 via 192.168.16.1
To niestety nie da się z 192.168.1.X pingować 192.168.15.X



pozdrawiam.

: 11 marca 2015, 14:45
autor: sethiel
Posta rozumiem piąte przez dziesiąte.
Oddział (RTR:192.168.15.1/24) <-Site-to-site VPN-> Centrala (192.168.16.1/24) <-Site-to-site VPN-> host (192.168.1.254/32).

Nie załatwiasz tego routingiem tylko poprawną konfiguracją tunelu.
W site-to-site vpn podaje się sieci widoczne po jednej i po drugiej stronie.
Np racoon.tool.conf dla oddział wyglądać powinien tak:

Kod: Zaznacz cały

 connection(blurke-web1):             
src_range: 192.168.1.0/24             
dst_range: 192.168.16.0/24             
dst_ip: IP_PO_DRUGIEJ_STRONIE  
encryption_algorithm: blowfish             
admin_status: yes         

connection(blurke-web2):             
src_range: 192.168.1.0/24             
dst_range: 192.168.1.254/32             
dst_ip: IP_PO_DRUGIEJ_STRONIE
encryption_algorithm: blowfish             
admin_status: yes

: 11 marca 2015, 14:57
autor: redgrist
Oddział Łódź (RTR:192.168.15.1/24) <-Site-to-site VPN-> Centrala Wawa (192.168.16.1/24) <-Site-to-site VPN-> Centrala Gdańsk (192.168.1.254/32)
Tak dokładnie, ja mam zestawione to po Openswan.
Czyli wynika z tego, że muszę zestawić jeszcze tunel między 192.168.15.1 do 192.168.1.0 bo inaczej nie pchnę pakietów do 192.168.15.1 przez 192.168.16.1?

: 11 marca 2015, 15:16
autor: sethiel
Coś w tym stylu. Tunel jest jeden a w nim kilka podsieci:
http://xmodulo.com/create-site-to-site- ... linux.html
Openswan też (jak widzę z tego linka na szybko) sam dodaje wartości do tablicy routingu, więc trzeba wpisać przekazywane sieci.

ps.
Po prawdzie na OpenSwan to poległem (chciałem BGP na tym zrobić, oraz GRE przez APN do Orange) i zostałem przy Cisco.
Strefa czasowa UTC+01:00
Strona 1 z 1

Technologię dostarcza phpBB® Forum Software © phpBB Limited

Polski pakiet językowy dostarcza phpBB.pl