Guest Posted October 19, 2004 Posted October 19, 2004 ситуация такая , есть 2 рутера оба под FreeBSD 4.8 и 4.10 у первого реальный IP A.B.C.D у второго W.X.Y.Z между ними настроен шифрованный канал методом описанным в handbook-е. т.е используется ipsec и racoon демон из портов. роутер 1 xl0 реальный ip A.B.C.D gif0 A.B.C.D -----> W.X.Y.Z 192.168.1.1 ----> 192.168.2.1 роутер 2 rl0 ip W.X.Y.Z gif0 W.X.Y.Z ----> A.B.C.D 192.168.2.1 -----> 192.168.1.1 канал шифруется проверил так в одной из консолей запустил ping 192.168.2.1 во второи подслушал tcpdumpom #tcpdump -i xl0 ip host W.X.Y.Z и по выводу видно что все ок . далее наряду с сетями 192.168.1.1/24 в первом офисе и 192.168.2.1/24 во втором в первом есть сеть 10.0.0.0/24 ,а во втором есть 192.168.100.0/28 нужно чтоб сети 10.0.0.0/24 и 192.168.100.0/28 общались и главное шифровались . роутинг настроил без проблем все работает , но терзают смутные сомнения что данные не шифруются (:. как можно проверить что данные передаваемые между этими двумя сетями шифруются ?? пробовал в одной из консолей запустить ping 192.168.100.10 во второи подслушать tcpdumpom #tcpdump -i xl0 ip host W.X.Y.Z вывод явно отличается от первого случая явно виден и протокол и аддреса . пока сделано вот что : добавлены записи для первого роутера /etc/ipsec.conf flush; spdflush; spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; ну для второго соответственно. может надо добавить какие-нить политики для сетей 10.0.0.0 и 192.168.110.0 ??? или если шифруется канал между gif интерфейсами то значит и все остальное шифруется ?? Вставить ник Quote
Guest Posted October 20, 2004 Posted October 20, 2004 все разобрался для моего примера я добавил в /etc/ipsec.conf следуюшее это на втором spdadd 192.168.100.0/28 10.0.0.0/24 any -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; spdadd 10.0.0.0/24 192.168.109.0/28 any -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; и соответственоо на 1- om роутере spdadd 10.0.0.0/24 192.168.100.0/28 any -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; spdadd 192.168.100.0/28 10.0.0.0/24 any -P in ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; ~ и все заработало .в tcpdumpe видны одни ESP(spi=0x091114c0,seq=0x14c) ESP(spi=0x054378db,seq=0x109) ESP(spi=0x054378db,seq=0x10b) ... Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.