Sziasztok,
VPN két site között
----------------------------------------------------------------
A mi oldalunk: Etch, openswan 2.4.6 csomagból, kernel: 2.6.20.6 (nincs patch-elve, elvileg nem kell)
eth2: 192.168.2.2 (itt figyel az openswan)
eth0:0: 192.168.33.254
router LAN lába: 192.168.22.1
----------------------------------------------------------------
ipsec.conf:
version 2.0 # conforms to second version of ipsec.conf specification
config setup
interfaces=%defaultroute
klipsdebug=all
plutodebug=all
uniqueids=no
# nat_traversal=yes
conn vpn_tunnel
type=tunnel
left=192.168.22.2
leftsubnet=192.168.33.0/24
right=A.B.C.D
rightsubnet=E.F.G.0/24
keyexchange=ike
pfs=no
esp=aes256-sha1
ike=aes256-sha1-modp1024
auth=esp
authby=secret
compress=no
aggrmode=no
ikelifetime=24.0m
keylife=1.0h
auto=start
include /etc/ipsec.d/examples/no_oe.conf
----------------------------------------------------------------
ipsec.secrets
192.168.22.2 A.B.C.D: PSK "sdlfsdklj123"
----------------------------------------------------------------
A linux előtti Cisco konfigját nem tudom megnézni, nem tudom monitorozni, annyit tudok, hogy NAT-ol, valamint az udp 500, udp 4500-at továbbítja a linux 192.168.22.2 lábára.
----------------------------------------------------------------
ip route show
E.F.G.0/24 dev eth2 scope link
default via 192.168.22.1 dev eth2
eth2: linux router felé eső lába
----------------------------------------------------------------
Hasonló konfigot lőtt már össze valaki?
Egyelőre nem megy, folyamatosan google, de még semmi....
köszönöm,
b.
- 1672 megtekintés
Hozzászólások
Minimum mutasd mit logol az openswan. Amugy ha NAT-olt a cucc, akkor nem jo otlet kikapcsolva hagyni a nat_traversal opciot. Miert van az E.F.G.0/24 halozat route-olva az eth2-re ??? Nem eppen ezt akarod a VPN-be huzni?
- A hozzászóláshoz be kell jelentkezni
A route-ot elnéztem, köszi. Kivettem és jobb lett. A helyzet most az, hogy a VPN összeáll (a túloldal szerint), kulcsot cserélnek, a kommunikáció eljut a túloldalra, vissza is jönne a válaszcsomag, de én nem látom (elakad a routerben? szóltam a isp-nek nézze meg) DE:
Indításkor:
/var/log/daemon.log-ban:
Dec 7 16:00:53 bui ipsec_setup: NETKEY on eth2 192.168.22.2/255.255.255.0 broadcast 192.168.22.255
Dec 7 16:00:53 bui ipsec_setup: ...Openswan IPsec started
Dec 7 16:00:53 bui ipsec_setup: Starting Openswan IPsec 2.4.7...
Dec 7 16:00:53 bui ipsec__plutorun: 104 "vpn_tunnel" #1: STATE_MAIN_I1: initiate
Dec 7 16:00:53 bui ipsec__plutorun: ...could not start conn "vpn_tunnel"
/var/log/auth.log:
Dec 7 16:03:55 bui pluto[25683]: "vpn_tunnel" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x10734955 <0x3340f9d9 xfrm=AES_256-HMAC_SHA1 NATD=none DPD=none}
b.
- A hozzászóláshoz be kell jelentkezni
Vmi fejlemeny? Egyebkent erdemes mindig a legfrissebb openswant hasznalni, nem nehez akar csomagot is gyartani belole. Ami a logban nekem nem tetszik az a NATD=none. Bekapcsoltad a NAT traversal-t?
- A hozzászóláshoz be kell jelentkezni
A routert átkonfigurálták úgy, hogy ne NAToljon, így a linuxnak lett egy pub IP-je. Most tökéletesen működik, annak ellenére, hogy "NATD=none" (pedig nat_traversal=yes) és "ipsec__plutorun: ...could not start conn vpn_tunnel". Érdekes...de megy, Köszönöm a segítséget és a válaszokat
- A hozzászóláshoz be kell jelentkezni
Nem a nat_traversal=yes kapcsolja be a natt-t (erre a forceencaps opcio van ha jol emlekszem), csak enelkul garantaltan nem megy at NAT-on a cucc. Ha muxik akkor jo, ha kesobb megis vmi zur van akkor frissits 2.4.11-re, es probald ujra.
- A hozzászóláshoz be kell jelentkezni
köszi mégegyszer :-)
- A hozzászóláshoz be kell jelentkezni