Linux - Linux IPSec vti route-based не ходит трафик

[Linux - Linux IPSec vti route-based не ходит трафик]

Всем привет, не сильно искушён в построение VPN. Появился вопрос.

В тестовой лабе не выходит организовать VPN туннель между двумя Ubuntu 20 route-based. В  Policy-Based все выходит, пакеты внутри туннеля бегают, tcpdump показывает наличие ESP.

Что имею:

 

 

/etc/ipsec.conf

conn t1
authby=secret
auto=start #route
left=192.168.200.246
leftid=192.168.200.246
leftsubnet=172.16.1.1/24
leftauth=psk
right=192.168.200.247
rightid=192.168.200.247
rightsubnet=172.16.2.1/24
rightauth=psk
keyexchange=ikev2
rekey=yes
dpdaction=restart
dpddelay=300s
ike=aes256gcm16-sha2_256-modp2048,aes256gcm16-prfsha256-modp2048
esp=aes256gcm16-sha2_256-modp2048,aes256gcm16-prfsha256-modp2048,aes128gcm16-prfsha256-ecp256,aes128gcm16-prfsha256-ecp256,aes256gcm16-prfsha384-ecp384,aes256gcm16-aes256gcm16-prfsha256-ecp256-modp3072,aes128-sha256,aes256gcm16-prfsha256-ecp521,aes192-prfsha256-modp2048
ikelifetime=24h
lifetime=24h
mobike=no
type=tunnel
fragmentation=yes
mark=12
installpolicy = no

 

/etc/sysctl.conf

net.ipv4.conf.vti0.disable_policy = 1
net.ipv4.conf.vti0.rp_filter = 0
net.ipv4.ip_forward=1
net.ipv4.conf.vti0.disable_xfrm = 1

 

vti0: ip/ip remote 192.168.200.247 local 192.168.200.246 ttl inherit nopmtudisc key 12

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet 172.16.1.1/24 scope global lo
       valid_lft forever preferred_lft forever

4: vti0@NONE: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1480 qdisc noqueue state UNKNOWN group default qlen 1000
    link/ipip 192.168.200.246 peer 192.168.200.247
    inet 10.10.10.1/30 scope global vti0
       valid_lft forever preferred_lft forever

root@t1srv:/etc# ipsec status
Security Associations (1 up, 0 connecting):
          t1[1]: ESTABLISHED 40 minutes ago, 192.168.200.246[192.168.200.246]...192.168.200.247[192.168.200.247]
          t1{1}:  INSTALLED, TUNNEL, reqid 1, ESP SPIs: c7486b9b_i cdad598a_o
          t1{1}:   172.16.1.0/24 === 172.16.2.0/24

# ip xfrm policy  - пуст
 

Второй сервер настроен зеркально.

1. Пинги между внутренними IP туннеля не ходят

2. Пинги между 172.16.1.1 и 172.16.2.1 сетями не ходят
3. Как только "включаю" route-based все работает.

 

 

 

Правильно ли я понимаю, что в случае route-based все настраивается правилами маршрутизации, т.е. достаточно "завернуть" необходимые сети в туннель, и все будет работать. 
Что я упустил ?

[Посоветуйте диски в аппаратный RAID...]

Всем спасибо за ответы.

[Посоветуйте диски в аппаратный RAID...]

Всем привет, вопрос по теме, нужен совет по SSD дискам, под базы данных MySQL.
Есть две больших и одна маленькая база, общий вес почти 1 терабайта. В iostat запись под ~50-80 Мбайт\с....

Смотрю на контроллер RAID Controller LSI 9460-16i и парочку NVMe в RAID1, но слышал что это не самое лучшее решение, т.к. между дисками и процом появляется "лишнее звено". 
Говорят, что "Изменятся задержки доступа к дисковой системе (то есть насколько быстро система получит ответ и данные при обращении к дисковой подсистеме)".

так или нет, странно, ведь контроллеры тоже не первый день делают. И сделать так, что бы потерять все + решения, сложно представить.

[Отчет в Россвязь до 1 марта.]

Пока не было ещё.
Опять нужно вспомнить как чего 😞

[sFTP \ FTPs с сертификатом от Мин Цифры]

Спасибо за информацию, разобрался.

[sFTP \ FTPs с сертификатом от Мин Цифры]

Добрый день коллеги.

Появилась необходимость в  файловой помойке с использованием протокола FTP, c шифрованием при обмене. Инструкций уйма, реализовал, использую сертификат  Let`s Crypt. Но задачу усложнили, потребовалось использовать сертификат от Минцифры.
Получил сертификат там один файл, просто сертификат. Сформировал файл с сертификатом и зависимостями, скормил pure-ftpd, он ругается, не запускается. 
В интернете пишут, что криво сформированный сертификат.

 

Вопрос, возможно кто то натыкался на такие же грабли ? Как решили ?

Возможно у кого сохранились ссылки, поделитесь,  как настроить sftp или ftps с использованием сертификата от Минцифры.

[sw-S2995-24fx + SNR-S5210G-24TX не проходит IPTV]

Есть схема
Клиент (tag)-(tag) sw-S2995-24fx (tag)-(tag) SNR-S5210G-24TX (tag)- (tag) клиент

Необходимо транзитом прогнать IPTV. Мои два коммутатора в этой схеме. Обычный трафик пролетает, пинги ходят. Клиент говорит что IPTV не появился. Конфигурация по отношению IGMP, Multicast - на двух этих коммутаторах не тронута. 
Ткните, куда копать ? В чём проблема ?

[SNR-S2200G-8T-POE (web smart) SNMP OID]

Добрый день, ищу актуальные шаблоны для коммутатора по систему мониторинга Zabbix 6.
Или Описание SNMP OID ов.
Может у кого есть ?

[Отчет в Россвязь до 1 марта.]

Запасаемся попкорном, ждём\не ждём "шоу".

[Порекомендуйте хостера]

Задачи:
Сервер планируется использовать под базу данных, в slave режиме. Плюс не большое кол-во запросов.

Работа для клиентов РФ.

[Порекомендуйте хостера]

Добрый день, хочу арендовать сервер под задачи. Исходя из опыта и времени посоветуйте хостера.

Спасибо.

[Приказ 221 Сведения в Роскомнадзор - Принято]

В 30.11.2022 в 09:47, Andrei сказал:

Номера строк у всех разные.

9.22 - раздел <providerInterconnectionPoint>

9.23 - раздел <nodeSubscriberEquipment>

Спасибо добрый человек.

[Приказ 221 Сведения в Роскомнадзор - Принято]

Подскажите, а с каких строк начинается пункт 9.22 и 9.23 в xml ?

[Единый Портал Пользователя - Подсистема оперативных указаний и нормативно-справочной информации]

В 25.10.2022 в 04:28, Хомячок Навального сказал:

вот как раз если пытаться от физ.лица - будет Недостаточно прав. А вот через госуслуги как представитель организации - то все нормально.

 

У меня иначе.

[Порекомендуйте решение(вендора) для DWDM с резервированием на 50 км (10-12 цветов) для 10G]

В 24.10.2022 в 14:10, kapydan сказал:

Какой бюджет и какая страна?

РФ. 500-600 т.р. по СФП нужно только две пары.

[Единый Портал Пользователя - Подсистема оперативных указаний и нормативно-справочной информации]

В 22.10.2022 в 17:09, baronzzz сказал:

Вчера пробовал без ЭЦП, говорит что работодатель где то что то не указал, это при попытке зайти в ПОУИНСИ.
Копал, где чего добавить в плане прав на мою учётку, так и не нашёл ... бросил все до ПН.

Думал что нужно заходить от используя своё ФИО от имени работодателя. Однако достаточно использовать свою уч. запись - уч. запись физ лица.

[Единый Портал Пользователя - Подсистема оперативных указаний и нормативно-справочной информации]

В 22.10.2022 в 17:02, ayf сказал:

Похоже, из-за того, что перешел на работу с реестром через логин/пароль и не стал делать ЭЦП. Неужели теперь, чтобы читать эту муть надо опять эцп заводить?

Вчера пробовал без ЭЦП, говорит что работодатель где то что то не указал, это при попытке зайти в ПОУИНСИ.
Копал, где чего добавить в плане прав на мою учётку, так и не нашёл ... бросил все до ПН.

[Порекомендуйте решение(вендора) для DWDM с резервированием на 50 км (10-12 цветов) для 10G]

День добрый комрады, дело для меня ново. Прошу Вашей помощи.

[Новый 10G коммутатор SNR-S4550-24XQ-AC]

В 11.08.2022 в 16:07, Kozubsky Vladimir сказал:

Нет, нужен отдельный sub-vlan для каждой записи. Прошу прощения, сразу не обратил внимания, что sub-vlan повторялся.

Т.е. функционала для такого решения нет ?

[Новый 10G коммутатор SNR-S4550-24XQ-AC]

В 11.08.2022 в 15:50, Kozubsky Vladimir сказал:

@baronzzz, Да, но есть некоторые особенности данного функционала, поэтому прежде рекомендую все же ознакомиться с мануалом выше и нашей статьей на wiki. Дополню, что я привел пример лишь части конфигурации. Потребуется создавать каждый vlan на коммутаторе и настраивать его как sub-vlan.

Да, я вас понял. 
Однако будет ли правильным множество строк где  subvlan 4 повторяется ?

[Новый 10G коммутатор SNR-S4550-24XQ-AC]

On 8/11/2022 at 3:03 PM, Kozubsky Vladimir said:

Добрый день, @baronzzz. Если я вас правильно понял, то вы хотите нечто подобное?

 

switch(config-if-vlan2)#ip address 1.1.1.254 255.255.255.0
switch(config-if-vlan2)#arp-check-range subvlan 3 1.1.1.20 to 1.1.1.30
switch(config-if-vlan2)#arp-check-range subvlan 4 1.1.1.31 to 1.1.1.40

Более подробнее с мануалом можно ознакомиться здесь, начиная с 26 страницы.

Если я возьму произвольный влан, создам на нём интерфейс и пропишу 

switch(config-if-vlan2)#ip address 1.1.1.254 255.255.255.0

switch(config-if-vlan2)# arp-check-range subvlan 4 1.1.1.20 to 1.1.1.30
switch(config-if-vlan2)# arp-check-range subvlan 4 1.1.1.31 to 1.1.1.40

switch(config-if-vlan2)# arp-check-range subvlan 4 1.1.1.41 to 1.1.1.50

Тогда я смогу получить доступ ко всем этим сетям через 1.1.1.254 ?

[Новый 10G коммутатор SNR-S4550-24XQ-AC]

В 27.10.2015 в 13:48, Mikhail Burnin сказал:

Нет. Supervlan это как один L3 интерфейс во всех sub-vlan. Если необходимо как-то привязовать ip к sub-vlan, это можно сделать например при помощи acl на vlan.

А возможно ли supervlan использовать в несколько упрощенной схеме, когда в одном влане разные подсети к примеру 192.168.0.0/24 нарезанная по /29 ?
Цель, добиться того, что бы на интерфейсе не плодить кучу ИП адресов.

 

[lanbilling + radius_stat_cache]

Имеется lanbilling 2.0.24, примерно c 400 абонами.
Озадачила таблица radius_stat_cache, в которой примерно 35 млн записей (и 8гб) за 3 месяца.
Хотел узнать, у кого lanbilling какое кол-во записей у вас.

[Посоветуйте ИБП в мелкое ядро]

В 27.10.2021 в 14:12, Crazy_Max сказал:

Вам "шашечки" или ехать? Есть ещё ИБП БОКСЕР от "Компании ИМПУЛЬС" и прочие производители, вам на сколько важен ваш узел?

Важен как и большинству, но увы, бюджет "как всегда". 
Были бы деньги, вопросы сюда, не писал бы.

[Посоветуйте ИБП в мелкое ядро]

EATON - здорово, но дорого.

А что скажите по Ippon серии Innova? Или про варианты от SNR ?