telephelyek kozotti vpn kapcsolat

Hálózatok általános

Hi!

Megnyertem magamnak azt a feladatot, hogy iskolank ket telephelye kozott vpn kapcsolatot kell kialakitanom. Az egyik vegponton egy 3Com X506-os router van, sulinetes internetkapcsolattal, a masikon egy Linksys/Cisco RV042-es router. Odaig eljutottam, hogy az eszkozok azt jelzik, a kapcsolat letrejott, de sem kliensekrol, sem magukrol a routerekrol nem "latok at" a masik halozatba. Az egyik halozat 192.168.0.0/24, a masik 192.168.1.0/24. Mindket oldalon a router egyben a default gateway is, az Internet elerheto rajtuk keresztul. Merre tovabb? En kifogytam az otletekbol. Termeszetesen reszletesebb adatokat is megadhatok.

Elore is kosz.

  • 3569 megtekintés

( tmms v | 2009. 10. 28., sze – 12:14 )

--
Home: Ubuntu 8.04 LTS
Home2: Debian Lenny

( uid_2783 | 2009. 10. 28., sze – 12:31 )

nem lehet hogy netmask problémád van ?
vagy a vpn kapcsolat hálózati konfigurációja ?

(csak tippelgetek)

--
Sony Vaio &

Kosz a valaszt, de netmask nem. az X506 ezt irja ki a kapcsolatrol (kicsit atirogattam a kulso neveket, cimeket):

Name - Peer - Local ID - Peer ID - Proposal - Status
teszt1 - valami.gotdns.org(84.2.11.2) - 195.99.27.21 - valami.gotdns.org - DES_CBC-MD5-DH1 - Phase 1: Established
teszt1 - valami.gotdns.org(84.2.11.3) - 192.168.0.0/24 - 192.168.1.0/24 - ESP DES-CBC-ESP MD5 HMAC-No PFS - Phase 2: Established

Otlet meg?

( greyow | 2009. 10. 28., sze – 12:36 )

nezd at a logot, sokat segit.
RV042 -en van log, a masikat nem ismerem.

( apostroph3 | 2009. 10. 28., sze – 12:38 )

nem látják egymást, mert más hálózatban vannak.

meg kell adni az adott hálózathoz a gateway-t

a default gateway nem elég. vagyis a nethez elég de a lokális hálózathoz nem:)

mondjuk A router=192.168.1.254
akkor minden 192.168.1.0 hálózati géphez
feltételezve hogy minden gép eth0-n csatlakozik a routerhez
route add -n 192.168.0.0 qw 192.168.1.254 dev eth0

és fordítva is

mondjuk B router=192.168.0.254
akkor minden 192.168.0.0 hálozati géphez
feltételezve hogy minden gép eth0-n csatlakozik a routerhez
route add -n 192.168.1.0 qw 192.168.0.254 dev eth0

és ha a routerek is tudják hogy a 192.168.1/0.0 hálózatra milyen úton , melyik interfészen kell kiküldeni a csomagokat, akkor látni fogják egymást a hálózatok.

szerk.: namost ez így nem lesz jó valószínűleg mert kell a netmask:
route add -n 192.168.x.0 netmask 255.255.255.0 qw 192.168.x.254 dev eth0

de nem biztos:)

"kulon is route bejegyzest megadni, de nem segitett. Traceroute azt jelzi, hogy eljut a routerig, aztan semmi."

azért nem mert a router nem tudja mit tegyen vele:)

nem ismerem azokat a routereket amit megadtál, de a routerben is meg kell adni mi hogy merre menjenek az adott hálózatra szánt csomagok:)

mondjuk A routernek van egy csomó interface:

linuxos teminologiaval:)

1.) 192.168.0.254 eth0
2.) 82.x.x.x wan0
3.) 10.8.0.1 tun0

akarjuk látni a 192.168.1.1 hálózatot ami valahol a tun0 másik végén van, akkor a routerben is routolni kell:)

vagyis a 192.168.1.0-nak szánt csomagokat a tun0-n át el kell küldeni B router tun0-ájára aminek az ip címe valami 10.8.0.2 vagy ilyesmi
vagyis
route add -n 192.168.1.0 netmask 255.255.255.0 gw 10.8.0.2 dev tun0

B router már kell hogy ismerje a 192.168.1.0-ás hálózatot, mert ahhoz direktben csatlakozik

és a másik oldalon is értelemszerűen.

( xclusiv v | 2009. 10. 28., sze – 12:43 )

Nem ismerem ezeket az eszközöket, de ha él a kapcsolat akkor nyilván meg kellene mondani az eszközöknek, hogy a másik tartomány felé menő forgalmat a vpn-en keresztül küldjék.

( Arbiter | 2009. 10. 28., sze – 12:46 )

Elsőre routing problémának tűnik.
Hogy néznek ki az útvonalak?

En is erre gondolnek, csak az a baj, hogy mar probaltam, hogy a klienseken hozzaadok utvonalat.
1-1 teszt kliens a ket oldalrol:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 192.168.0.254 255.255.255.0 UG 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 1 0 0 eth0
default 192.168.0.254 0.0.0.0 UG 0 0 0 eth0

Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.1.0 * 255.255.255.0 U 1 0 0 eth0
192.168.0.0 192.168.1.1 255.255.255.0 UG 0 0 0 eth0
default 192.168.1.1 0.0.0.0 UG 0 0 0 eth0

A routerekben ugyan lehet statikus route bejegyzeseket megadni, de egyik doksija sem emliti, hogy a VPN-hez kellene ilyent megadni...
A traceroute eljut a gateway-ig, aztan mar csak csillagokat latok :)

Igen, probaltam mar, de akkor konkretan:
# traceroute 192.168.1.100
traceroute to 192.168.1.100 (192.168.1.100), 30 hops max, 60 byte packets
1 gw.pm.site (192.168.0.254) 0.452 ms 0.431 ms 0.411 ms
2 * * *
3 * * *
4 * * *
5 * * *
6 * * *
7 * * *
8 * * *
...
Nem illesztem be az osszes csillagot...

Hello!

Az említett eszközöket nem ismerem, szóval nézd meg a konkrét megvalósítást az eszközök doksijában (site-site VPN alatt, ne a dialup VPN-nél)!
Mivel a logból látszik, hogy a Phase2 státusza established, ezért a VPN felépül, a probléma valószínűleg a routing.
Állítsd be a routingot, de a routereken, ne a klienseken! Valahogy bele kell kényszerítened a megfelelő forgalmat a VPN-csatornába. Ha az eszközökön a VPN-hez tunnel interfészt használtál, akkor azt kell a routing-ba belevenni, ha máshogy van megoldva, akkor is a VPN-csatornát kell valahogy meghivatkozni a routing táblában.

Az is lehet, hogy ezen felül policy is kell hozzá.

Üdv.

( Seth78 | 2009. 10. 28., sze – 13:43 )

egy hulye kerdes: magarol a routerrol atlatsz a masik routerre? vagy a masik haloban valamelyik ip-re?

en 2db draytek vigorral oldottam meg ezt a vpn-es mokat. (ezt csak NB mondom, nem mintha lenne jelentosege)

--
{ Nem is kernel az, ami nem fut el egy quartz órán }

A routereken is probaltam ping- es traceroute tesztet, de sem egymas belso ip-jet, sem klienst nem latnak.
Ha mar megemlitetted, hogy csinaltal ilyent, megkerdeznem: mivel En sehol nem talalkoztam egyik eszkoz doksijaban sem olyannal, hogy a vpn-hez a routereken is kell routolast beallitani. A Te eszkozeiden kellett ilyent? Ha igen: hogyan?

( greyow | 2009. 10. 28., sze – 14:26 )

routing tablahoz nem kell piszkalni, azt a router automatikusan elvegzi, irtak elottem hogy nezd at a vpn configot, nekem volt olyan hogy a 168 helyett 186 ot irtam es nem vettem eszre jo sokaig. (bar ez esetben nem tudom osszejonne-e a kapcsolat)

probald meg a routerbol pingetni a masik router vpn-es belso ip cimet.

( dejo v | 2009. 10. 28., sze – 15:40 )

Nekem egy hasonló eszközökkel felépített VPN működik.
A központban Linksys RV042 a másik telephelyen Linksys BEFVP41 üzemel.
Fix-IP cím csak a központban van a másik dyndns-sel megy.
Ha adsz egy e-mail címet elküldöm neked az adott beállítások képernyőképét.
--
http://pc.rulz.hu
не закурить! (Ne gyújts rá!) не куриться! (Ne dohányozz! Ne füstölögj!)

Elküldtem.
Az óriásmellékletben van egy VPN.zip fájl. Abban van a 3 db képernyőkép.
A publikus IP-címeket és a cég-nevet illetve a dyndns kapcsolat nevét megváltoztattam.
A fix-IP az RV042 WAN oldalán van. A dyndns a BEFVP41 WAN-címét tartalmazza.
Remélem ez alapján meg tudod csinálni!
Ja az RV042 local címe a 192.168.2.0 hálózatban van, a BEFVP41 local címei pedig 192.168.56.0

--
http://pc.rulz.hu
не закурить! (Ne gyújts rá!) не куриться! (Ne dohányozz! Ne füstölögj!)

Koszonom, bar nem jutottam elobbre. Az jutott eszembe, hogy lehetseges-e, hogy az a gond, hogy a fix IP cimes oldal sulinetes, es semmilyen port nincs nyitva rajta. A kapcsolat idaig is ugy juthat el csak, hogy a sulinetes oldal kezdemenyezi. Sajnos nem vagyok ilyen szinten kepben a VPN-nel. Gondolom ezert talaltak ki a VPN Pass Through-t?

A Sulinetes internetet nem igazán ismerem. Bár a feleségem pedagógus és évekkel ezelőtt láttam a doksikat. Valami olyasmire emlékszem, hogy lehet kérni konkrét portok nyitását.
--
http://pc.rulz.hu
не закурить! (Ne gyújts rá!) не куриться! (Ne dohányozz! Ne füstölögj!)