ну наверное надо начинать с показа:
sudo ip r
на каждом из шлюзов
и sudo iptables-save -c
sudo sysctl net.ipv4.ip_forward
на 2 шлюзе
ну и задачку вы задали
на шлюзе сеть 1
ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:15:5d:00:d2:02 brd ff:ff:ff:ff:ff:ff
inet 172.20.0.210/24 brd 172.20.0.255 scope global eth0
inet6 fe80::215:5dff:fe00:d202/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:15:5d:00:d2:03 brd ff:ff:ff:ff:ff:ff
inet 10.10.3.254/16 brd 10.10.255.255 scope global eth1
inet6 fe80::215:5dff:fe00:d203/64 scope link
valid_lft forever preferred_lft forever
ip r
default via 172.20.0.1 dev eth0 proto static
10.10.0.0/16 dev eth1 proto kernel scope link src 10.10.3.254 metric 1
10.20.0.0/16 dev eth0 scope link src 10.10.3.254
10.30.0.0/16 dev eth0 scope link src 10.10.3.254
169.254.0.0/16 dev eth1 scope link metric 1000
172.20.0.0/24 dev eth0 proto kernel scope link src 172.20.0.210 metric 1
iptables-save -c
Emply
iptables-save
Emply
sysctl -p
net.ipv4.ip_forward = 1
PING 10.20.3.254 (10.20.3.254)
56(84) bytes of data.
64 bytes from 10.20.3.254: icmp_req=1 ttl=64 time=1.66 ms
64 bytes from 10.20.3.254: icmp_req=2 ttl=64 time=0.556 ms
64 bytes from 10.20.3.254: icmp_req=3 ttl=64 time=0.459 ms
64 bytes from 10.20.3.254: icmp_req=4 ttl=64 time=0.445 ms
64 bytes from 10.20.3.254: icmp_req=5 ttl=64 time=0.446 ms
64 bytes from 10.20.3.254: icmp_req=6 ttl=64 time=0.442 ms
--- 10.20.3.254 ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5007ms
PING 10.30.3.254 (10.30.3.254)
56(84) bytes of data.
--- 10.30.3.254 ping statistics ---
7 packets transmitted, 0 received, 100% packet loss, time 6022ms
rtt min/avg/max/mdev = 0.442/0.668/1.664/0.447 ms
На шлюзе сеть 2
ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:15:5d:00:c8:1c brd ff:ff:ff:ff:ff:ff
inet 172.20.0.220/24 brd 172.20.0.255 scope global eth0
inet6 fe80::215:5dff:fe00:c81c/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:15:5d:00:c8:1d brd ff:ff:ff:ff:ff:ff
inet 10.20.3.254/16 brd 10.20.255.255 scope global eth1
inet6 fe80::215:5dff:fe00:c81d/64 scope link
valid_lft forever preferred_lft forever
ip r
default via 172.20.0.1 dev eth0 proto static
10.10.0.0/16 dev eth0 scope link src 10.20.3.254
10.20.0.0/16 dev eth1 proto kernel scope link src 10.20.3.254 metric 1
10.30.0.0/16 dev eth0 scope link src 10.20.3.254
169.254.0.0/16 dev eth1 scope link metric 1000
172.20.0.0/24 dev eth0 proto kernel scope link src 172.20.0.220 metric 1
iptables-save -c
Emply
iptables-save
Emply
sysctl -p
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
PING 10.10.3.254 (10.10.3.254)
56(84) bytes of data.
64 bytes from 10.10.3.254: icmp_req=1 ttl=64 time=1.20 ms
64 bytes from 10.10.3.254: icmp_req=2 ttl=64 time=0.521 ms
64 bytes from 10.10.3.254: icmp_req=3 ttl=64 time=0.500 ms
64 bytes from 10.10.3.254: icmp_req=4 ttl=64 time=0.512 ms
64 bytes from 10.10.3.254: icmp_req=5 ttl=64 time=0.499 ms
--- 10.10.3.254 ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4004ms
rtt min/avg/max/mdev = 0.499/0.647/1.203/0.278 ms
PING 10.30.3.254 (10.30.3.254)
56(84) bytes of data.
64 bytes from 10.30.3.254: icmp_req=1 ttl=64 time=1.42 ms
64 bytes from 10.30.3.254: icmp_req=2 ttl=64 time=0.909 ms
64 bytes from 10.30.3.254: icmp_req=3 ttl=64 time=0.784 ms
64 bytes from 10.30.3.254: icmp_req=4 ttl=64 time=0.809 ms
64 bytes from 10.30.3.254: icmp_req=5 ttl=64 time=0.796 ms
64 bytes from 10.30.3.254: icmp_req=6 ttl=64 time=0.867 ms
--- 10.30.3.254 ping statistics ---
6 packets transmitted, 6 received, 0% packet loss, time 5015ms
rtt min/avg/max/mdev = 0.784/0.931/1.425/0.227 ms
на шлюзе сеть 3
ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:15:5d:00:6d:01 brd ff:ff:ff:ff:ff:ff
inet 172.20.0.230/24 brd 172.20.0.255 scope global eth0
inet6 fe80::215:5dff:fe00:6d01/64 scope link
valid_lft forever preferred_lft forever
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:15:5d:00:6d:02 brd ff:ff:ff:ff:ff:ff
inet 10.30.3.254/16 brd 10.30.255.255 scope global eth1
i
net6 fe80::215:5dff:fe00:6d02/64 scope link
valid_lft forever preferred_lft forever
ip r
default via 172.20.0.1 dev eth0 proto static
10.10.0.0/16 dev eth0 scope link src 10.30.3.254
10.20.0.0/16 dev eth0 scope link src 10.30.3.254
10.30.0.0/16 dev eth1 proto kernel scope link src 10.30.3.254 metric 1
169.254.0.0/16 dev eth1 scope link metric 1000
172.20.0.0/24 dev eth0 proto kernel scope link src 172.20.0.230 metric 1
iptables-save
Emply
iptables-save -c
Emply
sysctl -p
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
PING 10.20.3.254 (10.20.3.254) 56(84) bytes of data.
64 bytes from 10.20.3.254: icmp_req=1 ttl=64 time=1.04 ms
64 bytes from 10.20.3.254: icmp_req=2 ttl=64 time=0.831 ms
64 bytes from 10.20.3.254: icmp_req=3 ttl=64 time=0.856 ms
64 bytes from 10.20.3.254: icmp_req=4 ttl=64 time=0.773 ms
64 bytes from 10.20.3.254: icmp_req=5 ttl=64 time=0.866 ms
--- 10.20.3.254 ping statistics ---
5 packets transmitted,
5 received, 0% packet loss, time 4032ms
rtt min/avg/max/mdev = 0.773/0.874/1.046/0.095 ms
PING 10.10.3.254 (10.10.3.254)
56(84) bytes of data.
--- 10.10.3.254 ping statistics ---
7 packets transmitted, 0 received, 100% packet loss, time 6022ms
rtt min/avg/max/mdev = 0.442/0.668/1.664/0.447 ms
Пользователь решил продолжить мысль 05 Апреля 2013, 00:17:37:
Если с маршрутизацией разберусь не будет ль проблем когда я настрою iptables на политику по умолчанию в DROP
Можно получить ответ на вопрос уж очень интересно
Пользователь решил продолжить мысль 05 Апреля 2013, 00:30:24:
Через ipsec(racoon)
КАК ИМЕННО?... Рисуйте на бумажке, если словами описать не можете.
Так же файлы настройки выложу сразу
на шлюзе 1
racoon.conf
log debug2;
path pre_shared_key "/etc/racoon/psk.txt"; # путь к файлу содержащему шаренные ключи
path certificate "/etc/racoon/certs"; # путь к директории с сертификатами
listen {
isakmp 172.20.0.210[500]; # установка прослушивания даемона ip[port]
#isakmp_natt 172.20.0.210[4500]; # установка прослушивания используя NAT-T
strict_address;
}
remote 172.20.0.220 { # IP нашего пира, тоесть публичный адрес маршрутизатора
exchange_mode main,aggressive; # режим обмена, main - более безопасный
lifetime time 24 hour; # время жизни первой фазы
proposal { # секция определения предложений
encryption_algorithm 3des; # алгоритм криптования
hash_algorithm sha1; # алгоритм хеширования
authentication_method pre_shared_key; #метод аутентификации, у нас - шаренные ключи
dh_group modp1024; # группа Диффи-Хеллмана
}
generate_policy off; # отключаем генерацию политик безопасности
#nat_traversal (on | off | force); # пример использования nat-traversal
nat_traversal off; # отключаем nat-traversal
#ike_frag on; # фрагментация ike, используется для NAT-T, неиспользуем.
#esp_frag 552; # фрагментация esp пакета, используется для NAT-T, неиспользуем.
}
sainfo address 10.10.0.0/16 any address 10.20.0.0/16 any { # IPSEC SA
#pfs_group modp768;
pfs_group modp1024; # группа Диффи-Хеллмана
lifetime time 1 hour; # время жизни второй фазы
#lifetime time 5 min;
encryption_algorithm 3des; # алгоритм криптования
#authentication_algorithm hmac_md5;
authentication_algorithm hmac_sha1; # алгоритм аутентификации
compression_algorithm deflate; # алгоритм компрессии
}
psk.txt
172.20.0.220 sxd8419cfv
172.20.0.230 sxd8419cfv
172.20.0.210 sxd8419cfv
172.20.0.215 sxd8419cfv
ipsec-tool.conf
flush;
spdflush;
# добавление (SPD), исходящий трафик
spdadd 10.10.0.0/16 10.20.0.0/16 any -P out ipsec esp/tunnel/172.20.0.210-172.20.0.220/require;
# добавление (SPD), входящий трафик
spdadd 10.20.0.0/16 10.10.0.0/16 any -P in ipsec esp/tunnel/172.20.0.220-172.20.0.210/require;
шлюз 2
racoon.conf
log debug2;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
listen {
isakmp 172.20.0.220[500];
#isakmp_natt 172.20.0.220[4500];
strict_address;
}
remote 172.20.0.210 {
exchange_mode main,aggressive;
lifetime time 24 hour;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
generate_policy off;
nat_traversal off;
#ike_frag on;
#esp_frag 552;
}
sainfo address 10.20.0.0/16 any address 10.10.0.0/16 any {
#pfs_group modp768;
pfs_group modp1024;
lifetime time 1 hour;
#lifetime time 5 min;
encryption_algorithm 3des;
#authentication_algorithm hmac_md5;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
remote 172.20.0.230 {
exchange_mode main,aggressive;
lifetime time 24 hour;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
generate_policy off;
nat_traversal off;
#ike_frag on;
#esp_frag 552;
}
sainfo address 10.20.0.0/16 any address 10.30.0.0/16 any {
#pfs_group modp768;
pfs_group modp1024;
lifetime time 1 hour;
#lifetime time 5 min;
encryption_algorithm 3des;
#authentication_algorithm hmac_md5;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
psk.txt
# IPv4/v6
addresses
172.20.0.220 sxd8419cfv
172.20.0.230 sxd8419cfv
172.20.0.210 sxd8419cfv
172.20.0.215 sxd8419cfv
ipsec-tools.conf
flush; #сбросить ассоциации безопасности (SAD)
spdflush; # сбросить политики безопасности (SPD)
## Some sample SPDs for use racoon
spdadd 10.20.0.0/16 10.10.0.0/16 any -P out ipsec
esp/tunnel/172.20.0.220-172.20.0.210/require;
spdadd 10.10.0.0/16 10.20.0.0/16 any -P in ipsec
esp/tunnel/172.20.0.210-172.20.0.220/require;
spdadd 10.20.0.0/16 10.30.0.0/16 any -P out ipsec
esp/tunnel/172.20.0.220-172.20.0.230/require;
spdadd 10.30.0.0/16 10.20.0.0/16 any -P in ipsec
esp/tunnel/172.20.0.230-172.20.0.220/require;
шлюз 3
racoon.conf
log debug2;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
listen
{
isakmp 172.20.0.230[500];
#isakmp_natt 172.20.0.230[4500];
strict_address;
}
remote 172.20.0.220
{
exchange_mode main,aggressive;
lifetime time 24 hour;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
generate_policy off;
nat_traversal off;
#ike_frag on;
#esp_frag 552;
}
sainfo address 10.30.0.0/16 any address 10.20.0.0/16 any
{
#pfs_group modp768;
pfs_group modp1024;
lifetime time 1 hour;
#lifetime time 5 min;
encryption_algorithm 3des;
#authentication_algorithm hmac_md5;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
psk.txt
# IPv4/v6 addresses
172.20.0.230 sxd8419cfv
172.20.0.220 sxd8419cfv
172.20.0.210 sxd8419cfv
172.20.0.215 sxd8419cfv
ipsec-tools.conf
flush; #сбросить ассоциации безопасности (SAD)
spdflush; # сбросить политики безопасности (SPD)
spdadd 10.30.0.0/16 10.20.0.0/16 any -P out ipsec
esp/tunnel/172.20.0.230-172.20.0.220/require;
spdadd 10.20.0.0/16 10.30.0.0/16 any -P in ipsec
esp/tunnel/172.20.0.220-172.20.0.230/require;
вот в принципе все
Пользователь решил продолжить мысль 05 Апреля 2013, 14:36:20:
Молчание в ответ(((
Профи этого форума помогите разобраться с проблемой