Sziasztok,
Már rég óta használom ezt a cuccot, és kiválóan működik, de lenne 2 két kérdésem, hátha vki már találkozott vele.
Mikor felépül az első tunnel, automatice felhúzza az ipsec0 interfészt, és ez után ami tunnel-t csak létrehozok, az mind ipsec0-ba megy. Azt hittem minden csőnek külön jön majd létre, de látom, hogy összesen 4 ipsec lehet (0-3). A routinggal sincs semmi baj, betalál minden csomag a helyére. No de, meddig mehet ez? Hány tunnel lehet egy interfészben? ki tudja mi a felső határ?
Másik, hogy most belefutottam, hogy nyitnom kéne még egy csövet t-mobálj felé, és hát ők is használják azt az alhálót, mint mi, így más belső hálós címmel kéne nyomulnunk abba az irányba, erre gondoltam, hogy újabb SNAT-tal ezt áthidalom, de azt interfészre tudom rakni. Kérdés, hogyan tudom rábeszélni openswan-kát, hogy ehhez a tunnelhez nyisson nekem egy ipsec1-et?
- 725 megtekintés
Hozzászólások
Az ipsec0..3 csak KLIPS eseten kell. Minden IPSEC-hez hasznalt fizikai interface-hez kell 1-1 ipsec interface, a szamukat meg lehet novelni, egy konstanst kell atirni a forrasban, es ujraforditani. A tunnel-ek szamat elvileg nem korlatoztak (mondjuk mar regen lattam kozelrol a kodot), szoval nyugodtan huzgalhatod fel az uj tunnel-eket, jo esellyel nem a tunnel-ek szama, hanem a gep crypto teljesitmenye ill. a savszelessege lesz a szuk keresztmetszet. A NAT-olos kerdes problemas. Az openswan KLIPS-nel csak routing informaciok alapjan donti el, mi kerul a tunnel-be. Ha SNAT-ot hasznalsz (miert is kellene hozza kulon ipsec interface ???) akkor arra figyelni kell, hogy a tunnel konfigjaban mar az atirt cimtartomany legyen benne, es ertelemszeruen a SNAT mellett kell egy DNAT is. Ez az elkepzeles akkor bukik meg, ha olyan forgalom is jon, ami adatkent tartalmaz IP cimeket, mert azok nem fognak atirodni, csak ha van conntrack hozzajuk. Egyszerubb cimtartomanyt cserelni...
- A hozzászóláshoz be kell jelentkezni
Köszi a gyors segítséget!
Ennek örülök, hogy a felső korláttól majd csak később kell csak félni. Tehát, ahány WAN IF-em lóg kifelé, annyi IPSEC jön létre.. így már világos. TNX!
Közben rájöttem, hogy nem feltétel a külön IF, hogy egy SNAT-ot rádobjak.. DNAT nem kellett eddig.. eddig is volt SNAT-om, mert néhány tunnel másik végén csak egyetlen címet engedtek át, és mi meg több gépről ténykedünk, és visszataláltak a csomagok szépen. Ja igen, a kommunikáció felépítés mindig felőlünk történik, ha másik oldal is akarna tőlünk vmit, akkor valóban DNAT. Nem tudok címtartományt cserélni a többi cég miatt, velük is legalább ilyen bonyolult volt összegyeztetni a vpn configot, egy címcsere halál lenne. És lehet, holnap meg jön valaki megint, és annak meg az a cím nem jó.
- A hozzászóláshoz be kell jelentkezni