Здравствуйте уважаемые!
Подскажите пож-та как решить следующую проблему.
Есть на известном хетзнере сервак, на котором крутится proxmox 3.4 ядро линукса 2.6 с внешним ip a.a.a.a
Есть офис в котором стоит цыск rv180w ip b.b.b.b
Между ними поднят ipsec
Вот конфиги с линукса strongswan:
conn cisco
forceencaps=yes
dpddelay=30
dpdtimeout=120
dpdaction=restart_by_peer
ike=3des-sha1-modp1024
ikelifetime=86400s
authby=secret
type=tunnel
salifetime=3600s
pfs=yes
#left side (myside)
left=a.a.a.a(gw)
leftsubnet=10.10.0.0/16
leftnexthop=a.a.a.a
#right security gateway (CISCO side)
right=b.b.b.b
rightsubnet=192.168.1.0/24
rightnexthop=b.b.b.b
auto=start
iptables:
#!/bin/bash
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -P INPUT DROP # блокируем входящие
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 500 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 4500 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 4500 -j ACCEPT
/sbin/iptables -A INPUT -p esp -j ACCEPT
/sbin/iptables -A INPUT -p ah -j ACCEPT
/sbin/iptables -t nat -I POSTROUTING 1 -p 50 -j ACCEPT
/sbin/iptables -t nat -I POSTROUTING 1 -p 51 -j ACCEPT
# Cisco
/sbin/iptables -t nat -A POSTROUTING -s 10.10.0.0/16 -d 192.168.1.0/24 -j SNAT --to-source b.b.b.b
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 8006 -j ACCEPT
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 5900 -j ACCEPT
/sbin/iptables -A INPUT -s 213.133.99.99 -j ACCEPT
/sbin/iptables -A INPUT -s 213.133.100.100 -j ACCEPT
/sbin/iptables -A INPUT -s 213.133.98.98 -j ACCEPT
/sbin/iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE
route:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
a.a.a.a * 255.255.255.224 U 0 0 0 vmbr0
10.10.12.0 * 255.255.255.0 U 0 0 0 vmbr3
10.10.13.0 * 255.255.255.0 U 0 0 0 vmbr4
10.10.10.0 * 255.255.255.0 U 0 0 0 vmbr1
10.10.11.0 * 255.255.255.0 U 0 0 0 vmbr2
default a.a.a.a(gw) 0.0.0.0 UG 0 0 0 vmbr0
на стороне цыски - вебморда.
поднятый туннель:
IPsec running - pluto pid: 3461
pluto pid 3461
1 tunnels up
some eroutes exist
ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.6.37/K2.6.32-37-pve (netkey)
Checking for IPsec support in kernel [OK]
SAref kernel support [N/A]
NETKEY: Testing XFRM related proc values [FAILED]
Please disable /proc/sys/net/ipv4/conf/*/send_redirects
or NETKEY will cause the sending of bogus ICMP redirects!
[OK]
[OK]
Checking that pluto is running [OK]
Pluto listening for IKE on udp 500 [OK]
Pluto listening for NAT-T on udp 4500 [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADEing [OK]
Checking for 'ip' command [OK]
Checking /bin/sh is not /bin/dash [WARNING]
Checking for 'iptables' command [OK]
Opportunistic Encryption Support [DISABLED]
/proc/sys/net/ipv4/conf/*/ - ругается я так понял на ipv6 для ipv4 отключено.
конфигурация сети
# network interface settings
auto lo
iface lo inet loopback
iface eth0 inet manual
broadcast x.x.x.x
up route add -net a.a.a.a netmask 255.255.255.224 gw a.a.a.a(gw) eth0
# default route to access subnet
auto vmbr0
iface vmbr0 inet static
address a.a.a.a
netmask 255.255.255.224
gateway a.a.a.a(gw)
bridge_ports eth0
bridge_stp off
bridge_fd 0
auto vmbr1
iface vmbr1 inet static
address 10.10.10.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
auto vmbr2
iface vmbr2 inet static
address 10.10.11.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
наблюдаем следующую картину.. со стороны b.b.b.b - a.a.a.a пинги и трафик ходит на ура.
со стороны b.b.b.b - a.a.a.a пинги не идут, все молчит.
курение мануалов, читание форумов результатов не дало..
ПАМАЖЫТЕ!!!ы
Добавлено:
со стороны a.a.a.a - b.b.b.b пинги не идут, все молчит.
очепятался
Подскажите пож-та как решить следующую проблему.
Есть на известном хетзнере сервак, на котором крутится proxmox 3.4 ядро линукса 2.6 с внешним ip a.a.a.a
Есть офис в котором стоит цыск rv180w ip b.b.b.b
Между ними поднят ipsec
Вот конфиги с линукса strongswan:
conn cisco
forceencaps=yes
dpddelay=30
dpdtimeout=120
dpdaction=restart_by_peer
ike=3des-sha1-modp1024
ikelifetime=86400s
authby=secret
type=tunnel
salifetime=3600s
pfs=yes
#left side (myside)
left=a.a.a.a(gw)
leftsubnet=10.10.0.0/16
leftnexthop=a.a.a.a
#right security gateway (CISCO side)
right=b.b.b.b
rightsubnet=192.168.1.0/24
rightnexthop=b.b.b.b
auto=start
iptables:
#!/bin/bash
/sbin/iptables -F
/sbin/iptables -X
/sbin/iptables -t nat -F
/sbin/iptables -t nat -X
/sbin/iptables -P INPUT DROP # блокируем входящие
/sbin/iptables -P FORWARD ACCEPT
/sbin/iptables -P OUTPUT ACCEPT
/sbin/iptables -A INPUT -i lo -j ACCEPT
/sbin/iptables -A OUTPUT -o lo -j ACCEPT
/sbin/iptables -A INPUT -p icmp -j ACCEPT
/sbin/iptables -A OUTPUT -p icmp -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 500 -j ACCEPT
/sbin/iptables -A INPUT -p tcp --dport 4500 -j ACCEPT
/sbin/iptables -A INPUT -p udp --dport 4500 -j ACCEPT
/sbin/iptables -A INPUT -p esp -j ACCEPT
/sbin/iptables -A INPUT -p ah -j ACCEPT
/sbin/iptables -t nat -I POSTROUTING 1 -p 50 -j ACCEPT
/sbin/iptables -t nat -I POSTROUTING 1 -p 51 -j ACCEPT
# Cisco
/sbin/iptables -t nat -A POSTROUTING -s 10.10.0.0/16 -d 192.168.1.0/24 -j SNAT --to-source b.b.b.b
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 22 -j ACCEPT
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 8006 -j ACCEPT
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 5900 -j ACCEPT
/sbin/iptables -A INPUT -s 213.133.99.99 -j ACCEPT
/sbin/iptables -A INPUT -s 213.133.100.100 -j ACCEPT
/sbin/iptables -A INPUT -s 213.133.98.98 -j ACCEPT
/sbin/iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE
route:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
a.a.a.a * 255.255.255.224 U 0 0 0 vmbr0
10.10.12.0 * 255.255.255.0 U 0 0 0 vmbr3
10.10.13.0 * 255.255.255.0 U 0 0 0 vmbr4
10.10.10.0 * 255.255.255.0 U 0 0 0 vmbr1
10.10.11.0 * 255.255.255.0 U 0 0 0 vmbr2
default a.a.a.a(gw) 0.0.0.0 UG 0 0 0 vmbr0
на стороне цыски - вебморда.
поднятый туннель:
IPsec running - pluto pid: 3461
pluto pid 3461
1 tunnels up
some eroutes exist
ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.6.37/K2.6.32-37-pve (netkey)
Checking for IPsec support in kernel [OK]
SAref kernel support [N/A]
NETKEY: Testing XFRM related proc values [FAILED]
Please disable /proc/sys/net/ipv4/conf/*/send_redirects
or NETKEY will cause the sending of bogus ICMP redirects!
[OK]
[OK]
Checking that pluto is running [OK]
Pluto listening for IKE on udp 500 [OK]
Pluto listening for NAT-T on udp 4500 [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADEing [OK]
Checking for 'ip' command [OK]
Checking /bin/sh is not /bin/dash [WARNING]
Checking for 'iptables' command [OK]
Opportunistic Encryption Support [DISABLED]
/proc/sys/net/ipv4/conf/*/ - ругается я так понял на ipv6 для ipv4 отключено.
конфигурация сети
# network interface settings
auto lo
iface lo inet loopback
iface eth0 inet manual
broadcast x.x.x.x
up route add -net a.a.a.a netmask 255.255.255.224 gw a.a.a.a(gw) eth0
# default route to access subnet
auto vmbr0
iface vmbr0 inet static
address a.a.a.a
netmask 255.255.255.224
gateway a.a.a.a(gw)
bridge_ports eth0
bridge_stp off
bridge_fd 0
auto vmbr1
iface vmbr1 inet static
address 10.10.10.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
auto vmbr2
iface vmbr2 inet static
address 10.10.11.1
netmask 255.255.255.0
bridge_ports none
bridge_stp off
bridge_fd 0
наблюдаем следующую картину.. со стороны b.b.b.b - a.a.a.a пинги и трафик ходит на ура.
со стороны b.b.b.b - a.a.a.a пинги не идут, все молчит.
курение мануалов, читание форумов результатов не дало..
ПАМАЖЫТЕ!!!ы
Добавлено:
со стороны a.a.a.a - b.b.b.b пинги не идут, все молчит.
очепятался