Перейти к содержанию

Vlan's через IPsec


Рекомендуемые сообщения

Ситуация такая...

настроен IPsec типа net to net

все работает все замечательно.....

появилась надобность через IPsec прокинуть Vlan's...

От сюда и вопрос как IPsec ведет себя с Vlan's

Есть ли такая возможность.....

Ссылка на комментарий
Поделиться на другие сайты

  • 4 недели спустя...

Может быть полделитесь хотя бы в двух словах решением? Это хорошая и правильная практика, ИМХО. И здесь она приветствуется Smile

Ссылка на комментарий
Поделиться на другие сайты

White_Mouse писал(а) чт, 12 января 2006 17:38

Может быть полделитесь хотя бы в двух словах решением? Это хорошая и правильная практика, ИМХО. И здесь она приветствуется Smile

Вы знаете я немного поторопился с ответом......

не совсем он у меня готов.

а расказать могу....

если Вам известен ipsec то начнем....

собрано две машины linuxserver ipsec&802.1q

к одному интерфейсу привязан ipsec к другому vlan

ipsec работает.... нет проблем....

а вот с виланми через ipsec тут загвоздка...

если Вы преставили себе картину то сушествуют интерфейсы vlan

к примеру vlan3 на каждом Linux server-е

с адресами vlan3 10.10.10.1 и vlan3 10.10.10.2

Так вот с интерфейсов вилан 10.10.10.1 на 10.10.10.2 пинги ходят через ipsec.... пролема в другом за сервера линуховые неуходят........ так как и ipsec и виланы в одной сети....

что делать ума не приложу....

Ссылка на комментарий
Поделиться на другие сайты

cerber_spb писал(а) вт, 17 января 2006 11:41

cerber_spb писал(а) вт, 17 января 2006 11:39

Разбей сети и пропиши маршруты

Спасибо....

но буквально вчера все получилось...

да как Вы и советуете...

в одной сети они неработают.... пришлось разбить на разные

правда неудобства... с одной стороны вилан адин а с другой другой....

Ссылка на комментарий
Поделиться на другие сайты

  • 1 месяц спустя...

Ситуация такая....

Был пoднять ipsec net to net от openswan? все работает все замечательно.

решили прикрутить у нему 802.1q была собрана машинка с ipsec и 802.1q (идея конечно ужасная)

если кто сталкивался с ipsec тот знает что там есть left subnet right subnet эти сабнеты должны принадлежать к разным сетям.. в одной они работать небудут

в разных сетях все работает надо только роуты прописать.

при одинаковых сабнетах попробоваль настроить iptables

роуты

вот роуты

40.40.40.0 20.20.20.2 255.255.255.0 UG 0 0 0 eth0

30.30.30.0 * 255.255.255.0 U 0 0 0 eth0

20.20.20.0 * 255.255.255.0 U 0 0 0 eth0

а это правила которые я добавил

iptables -A FORWARD -s 40.40.40.1 -d 30.30.30.1 -j ACCEPT

и

iptables -A FORWARD -s 30.30.30.1 -d 40.40.40.1 -j ACCEPT

где 40.40.40.1 это интерфейс Vlan40 а 30.30.30.1 интерфейс ipsec (натив)

мысль была такой перенаправить пакеты с интерфейса vlan на интерфейс ipsec и наоборот...

все что приходит с ipsec interface направлять в Vlan....

но почемуто эта схема неработает....

если кто та сталкивался с подобным или знает в чем проблема пожалуйста дайте добрый совет, давайте обсудим эту тему.

Ссылка на комментарий
Поделиться на другие сайты

Епт Smile Еще один Smile

Yuri, смотрите какая чцдесная картина у нас складывается Smile

WHOIS results for 40.40.40.0

Generated by www.DNSstuff.com

Location: United States [City: Lafayette, Indiana]

NOTE: More information appears to be available at ZE16-ARIN.

OrgName: Eli Lilly and Company

OrgID: ELILIL

Address: Lilly Corporate Center

City: Indianapolis

StateProv: IN

PostalCode: 46285

Country: US

NetRange: 40.0.0.0 - 40.255.255.255

CIDR: 40.0.0.0/8

NetName: LILLY-NET

NetHandle: NET-40-0-0-0-1

Parent:

NetType: Direct Assignment

NameServer: DNS1I.XH1.LILLY.COM

NameServer: NS1.IQUEST.NET

NameServer: AUTH40.NS.UU.NET

NameServer: AUTH62.NS.UU.NET

Comment:

RegDate: 1991-04-23

Updated: 2001-07-17

RTechHandle: ZE16-ARIN

RTechName: Eli Lilly and Company

RTechPhone: +1-317-277-7000

RTechEmail: **********@lilly.com

WHOIS results for 30.30.30.0

Generated by www.DNSstuff.com

Location: United States [City: Columbus, Ohio]

NOTE: More information appears to be available at MIL-HSTMST-ARIN.

OrgName: DoD Network Information Center

OrgID: DNIC

Address: 3990 E. Broad Street

City: Columbus

StateProv: OH

PostalCode: 43218

Country: US

NetRange: 30.0.0.0 - 30.255.255.255

CIDR: 30.0.0.0/8

NetName: ARPAX25-TEMP

NetHandle: NET-30-0-0-0-1

Parent:

NetType: Direct Allocation

Comment: Defense Information Systems Agency

Comment: Washington, DC 20305-2000 US

RegDate:

Updated: 2002-10-07

OrgTechHandle: MIL-HSTMST-ARIN

OrgTechName: Network DoD

OrgTechPhone: +1-800-365-3642

OrgTechEmail: **********@nic.mil

WHOIS results for 20.20.20.0

Generated by www.DNSstuff.com

Location: United States [City: Falls Church, Virginia]

NOTE: More information appears to be available at PG618-ARIN.

Using 30+ day old [sTALE - being deleted now] cached answer (or, you can get fresh results).

Hiding E-mail address (you can get results with the E-mail address).

OrgName: Computer Sciences Corporation

OrgID: CSC-68

Address: 3170 Fairview Park Drive

City: Falls Church

StateProv: VA

PostalCode: 22042

Country: US

NetRange: 20.0.0.0 - 20.255.255.255

CIDR: 20.0.0.0/8

NetName: CSC

NetHandle: NET-20-0-0-0-1

Parent:

NetType: Direct Assignment

NameServer: NS1.CSC.COM

NameServer: NS2.CSC.COM

Comment:

RegDate: 1989-09-04

Updated: 2002-05-31

TechHandle: PG618-ARIN

TechName: Gross, Pete

TechPhone: +1-703-641-3322

TechEmail: ******@csc.com

OrgAbuseHandle: PG618-ARIN

OrgAbuseName: Gross, Pete

OrgAbusePhone: +1-703-641-3322

OrgAbuseEmail: ******@csc.com

OrgTechHandle: PG618-ARIN

OrgTechName: Gross, Pete

OrgTechPhone: +1-703-641-3322

OrgTechEmail: ******@csc.com

Ссылка на комментарий
Поделиться на другие сайты

Это информация об организациях, чьи ip адреса вы "выбрали" для "своих" подсетей Smile

В некотором смысле, вот непосредственный ответ:

http://www.tldp.org/LDP/nag2/x-087-2-issues.ip-addresses.htm l#X-087-2-ISSUES.RESERVED.ADDRESSES

Я бы на вашем месте начал с основ "сетевого дела" так сказать:

http://www.tldp.org/LDP/nag2/index.html

В особености, вот этот раздел вам будет интересен:

http://www.tldp.org/LDP/nag2/x-087-2-issues.html

Ссылка на комментарий
Поделиться на другие сайты

White_Mouse писал(а) ср, 22 февраля 2006 17:56

Это информация об организациях, чьи ip адреса вы "выбрали" для "своих" подсетей Smile

Вся схема с ipsec собрана на тестовом железе которое неимет выход в инет, адреса были взяты из головы.

На деле такого конечно небудет.

А за ссылки спасибо...

прочту.. попытаюсь вникнуть, понять. если будут вопросы обращусь к Вам

Ссылка на комментарий
Поделиться на другие сайты

Yuri писал(а) пт, 24 февраля 2006 09:46

Может кто из присутсвующих что то подобное реализовывал без ipsec?

Есть ли другое решение этой задачи.

Для чего пускать vpn через ipsec?

openvpn нельзя использовать с шифрованием?

Ссылка на комментарий
Поделиться на другие сайты

Цитата:

Для чего пускать vpn через ipsec?

идея прокинуть вилан, что бы сеть была одна с обоих сорон.

поэтому и был взят ipsec в качестве тунэля.

Знаю что ipsec L3 поэтому и пришлось так изгалятся

ipsec&802.1q

Цитата:

openvpn нельзя использовать с шифрованием?

честно сказать первый раз о нем услышал.

Вы с ним сталкивались?

посредсвом openvpn можно прокинуть виланы?

можно ли будет потом ВИЛАНЫ с писироутера прокинуть тунелем

на каталист и там разрулить их?

Спасибо.. счас поищу что умеет openvpn

Ссылка на комментарий
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

Загрузка...
×
×
  • Создать...