Yuri

Цитата: Для чего пускать vpn через ipsec? идея прокинуть вилан, что бы сеть была одна с обоих сорон. поэтому и был взят ipsec в качестве тунэля. Знаю что ipsec L3 поэтому и пришлось так изгалятся ipsec&802.1q Цитата: openvpn нельзя использовать с шифрованием? честно сказать первый раз о нем услышал. Вы с ним сталкивались? посредсвом openvpn можно прокинуть виланы? можно ли будет потом ВИЛАНЫ с писироутера прокинуть тунелем на каталист и там разрулить их? Спасибо.. счас поищу что умеет openvpn

Может кто из присутсвующих что то подобное реализовывал без ipsec? Есть ли другое решение этой задачи.

White_Mouse писал(а) ср, 22 февраля 2006 17:56 Это информация об организациях, чьи ip адреса вы "выбрали" для "своих" подсетей Вся схема с ipsec собрана на тестовом железе которое неимет выход в инет, адреса были взяты из головы. На деле такого конечно небудет. А за ссылки спасибо... прочту.. попытаюсь вникнуть, понять. если будут вопросы обращусь к Вам

эт что за абра кадабра? можно ссылку на тему?

Ситуация такая.... Был пoднять ipsec net to net от openswan? все работает все замечательно. решили прикрутить у нему 802.1q была собрана машинка с ipsec и 802.1q (идея конечно ужасная) если кто сталкивался с ipsec тот знает что там есть left subnet right subnet эти сабнеты должны принадлежать к разным сетям.. в одной они работать небудут в разных сетях все работает надо только роуты прописать. при одинаковых сабнетах попробоваль настроить iptables роуты вот роуты 40.40.40.0 20.20.20.2 255.255.255.0 UG 0 0 0 eth0 30.30.30.0 * 255.255.255.0 U 0 0 0 eth0 20.20.20.0 * 255.255.255.0 U 0 0 0 eth0 а это правила которые я добавил iptables -A FORWARD -s 40.40.40.1 -d 30.30.30.1 -j ACCEPT и iptables -A FORWARD -s 30.30.30.1 -d 40.40.40.1 -j ACCEPT где 40.40.40.1 это интерфейс Vlan40 а 30.30.30.1 интерфейс ipsec (натив) мысль была такой перенаправить пакеты с интерфейса vlan на интерфейс ipsec и наоборот... все что приходит с ipsec interface направлять в Vlan.... но почемуто эта схема неработает.... если кто та сталкивался с подобным или знает в чем проблема пожалуйста дайте добрый совет, давайте обсудим эту тему.

cerber_spb писал(а) вт, 17 января 2006 11:41 cerber_spb писал(а) вт, 17 января 2006 11:39 Разбей сети и пропиши маршруты Спасибо.... но буквально вчера все получилось... да как Вы и советуете... в одной сети они неработают.... пришлось разбить на разные правда неудобства... с одной стороны вилан адин а с другой другой....

White_Mouse писал(а) чт, 12 января 2006 17:38 Может быть полделитесь хотя бы в двух словах решением? Это хорошая и правильная практика, ИМХО. И здесь она приветствуется Вы знаете я немного поторопился с ответом...... не совсем он у меня готов. а расказать могу.... если Вам известен ipsec то начнем.... собрано две машины linuxserver ipsec&802.1q к одному интерфейсу привязан ipsec к другому vlan ipsec работает.... нет проблем.... а вот с виланми через ipsec тут загвоздка... если Вы преставили себе картину то сушествуют интерфейсы vlan к примеру vlan3 на каждом Linux server-е с адресами vlan3 10.10.10.1 и vlan3 10.10.10.2 Так вот с интерфейсов вилан 10.10.10.1 на 10.10.10.2 пинги ходят через ipsec.... пролема в другом за сервера линуховые неуходят........ так как и ipsec и виланы в одной сети.... что делать ума не приложу....

Все Все Все заработало.... спасибо.....

Все.... Все.... Все получилось.... спасибо... Виланы прокинуты через ipsec...

Решил реализовать 802.1q ядро у меня 2.6 сооответственно с поддержкой... начал настраивать.... Процес настройки я опущю дам только ссылку http://gazette.lrn.ru/rus/articles/talelinuxvlan.html ifconfig показывет eth0 no ip vlan2 192.168.3.1 netmask 255.255.255.0 vlan3 192.168.3.1 netmask 255.255.255.0 rout 192.168.3.0 255.255.255.0 vlan3 192.168.2.0 255.255.255.0 vlan2 на циске все как в руководстве interface FastEthernet1/0/10 switchport trunk encapsulation dot1q switchport trunk allowed vlan 3 switchport mode trunk duplex full speed 100 no mdix auto так же создан interface vlan3 c адресом 192.168.3.2 255.255.255.0 и interface FastEthernet1/0/11 switchport access vlan 3 switchport trunk encapsulation dot1q switchport mode access duplex half speed 10 no mdix auto К нему подключена другая тачка с адресом 192.168.3.5 так вот... с 192.168.3.5 я вижу 192.168.3.2 тоесть dot 11 а вот с Linuxa ничерта.... пингую 192.168.3.5/192.168.3.2 ответ от 192.168.3.1 дистинэйшис хост анричибл Вроде все элементарно но чтото я недоглядел.... Кто нибуть реализовывал такое?

Ситуация такая... настроен IPsec типа net to net все работает все замечательно..... появилась надобность через IPsec прокинуть Vlan's... От сюда и вопрос как IPsec ведет себя с Vlan's Есть ли такая возможность.....