Проблема с VPN, не маршрутизируются пакеты, CheckPoint

0

1

Вот и меня коснулась проблема с VPN. Вводная - есть сервер, который шлюз из офиса в сеть. Есть контейнер на lxc, на котором развёрнута относительно древняя версия дебиана (7), под которым запщен сервер ike. В пакетах он так и зовётся - ike. Этот ike соединяется к другому серваку (CheckPoint) и получает интерфейс tap0, IP и маршруты до той сети. В общем, с самой виртуалки всё ОК. Всё пингуется. Теперь на сервере, который шлюз, хотим маршрутизоваться в нужные нам сети через эту виртуалку. Делаем на виртуалке ip_forward и маскарад при прохождении на tap0. На маршрутизаторе прописываем маршрут до IP (который на tap0 на виртуалке) через виртуалку. Пробуем пинговать. И не работает. :( Если я создают какой-нибудь br0 в виртуалке, задаю ему какой-нибудь адрес и на маршрутизаторе задаю маршрут на этот адрес через виртуалку, то всё пингуется и работает. А с чекпоинтом - нет. Ещё на tap0 получается MTU 1380, но, я так понимаю, именно для данного тестового случая роли не играет. Хотя пробовал и iptables'ами сгладить различия MTU. Кто сталкивался с подобной проблемой? Те же действия с OpenVPN я проделывал и не раз и всё ок. А тут хз что.

Ссылка

←	$DISPLAY -> vnc server на headless debian

Защита от форк бомбы?

→

Сходу, не очень понял, зачем тебе это:

Теперь на сервере, который шлюз, хотим маршрутизоваться в нужные нам сети через эту виртуалку.

Ну и маршрутизируйся. Зачем тебе NAT? У тебя нет возможности на другом конце прописать маршруты чтоль?

Но вообще, в целом, есть мнение, что в lxc, такие довольно низкоуровневые вещи как ipsec гонять не стоит.

DALDON ★★★★★
(10.12.14 17:30:14 MSK)
Последнее исправление: DALDON 10.12.14 17:30:39 MSK (всего исправлений: 1)

Ответ на: комментарий от DALDON 10.12.14 17:30:14 MSK

У меня на том конце контроля нет. Поэтому. Ну так через lxc openvpn то гонится нормально. Проблема только с ipsec. Или он ещё более низкоуровневый?

turtle_bazon ★★★★★
(10.12.14 17:59:48 MSK) автор топика

Ответ на: комментарий от turtle_bazon 10.12.14 17:59:48 MSK

По идее, да. Он вполне вероятно более низкоуровневый. Ну и вообще tap... А всякие /proc/sys/net/ipv4/conf/all/rp_filter - не могут тебе мешать? Посмотри на всякий случай.

DALDON ★★★★★
(10.12.14 20:02:57 MSK)

Если это Check Point, то вероятнее всего твои сети, которые ты хочешь маршрутизировать в туннель до Check Point-a должны быть описаны в топологии твоего шлюза, который другой админ завёл на СР как Externally Managed Gateway, т.е. надо чтобы тот админ сделал следующее:In the Topology page, define the Topology and the VPN Domain using the VPN Domain information obtained from the peer administrator. If the VPN Domain does not contain all the IP addresses behind the Security Gateway, define the VPN domain manually by defining a group or network of machines and setting them as the VPN Domain.

Ну и попроси у него логи с SmartView Tracker-a.

hoggor
(10.12.14 23:31:57 MSK)

Ответ на: комментарий от DALDON 10.12.14 20:02:57 MSK

tap точно не мешает. Потому что таким же макаром созданный openvpn вполне себе работает. Впрочем, попробую на реальной железке.

turtle_bazon ★★★★★
(11.12.14 01:04:13 MSK) автор топика
Последнее исправление: turtle_bazon 11.12.14 01:05:15 MSK (всего исправлений: 1)

Ответ на: комментарий от hoggor 10.12.14 23:31:57 MSK

Дык я не хочу соединить сети. Я хочу в одну сторону шлюзоваться посредством NAT. А он у меня даже не хочет локальный IP пинговать, который на этом компе клиентом получен.

turtle_bazon ★★★★★
(11.12.14 01:05:02 MSK) автор топика

Ссылка

Ответ на: комментарий от DALDON 10.12.14 20:02:57 MSK

rp_filter, если я правильно понял, не мешают.

turtle_bazon ★★★★★
(11.12.14 01:17:33 MSK) автор топика

Ответ на: комментарий от turtle_bazon 11.12.14 01:04:13 MSK

ipsec это не udp/tcp, a protocol 50 если мне память не изменяет, загугли.

~~sdio~~ ★★★★★
(11.12.14 01:23:46 MSK)

Ответ на: комментарий от turtle_bazon 11.12.14 01:17:33 MSK

А ты не гадай, включи логирование.

echo 1 > /proc/sys/net/ipv4/conf/all/log_martians

DALDON ★★★★★
(11.12.14 07:41:54 MSK)

Ответ на: комментарий от DALDON 11.12.14 07:41:54 MSK

В логах пусто. Буду подымать на реальной железке. О результатах отпишусь.

turtle_bazon ★★★★★
(11.12.14 10:53:31 MSK) автор топика

Ссылка

Ответ на: комментарий от sdio 11.12.14 01:23:46 MSK

С некоторых пор пользуюсь duckduckgo, но не суть. Почитал. Протокол 50 такой же отдельный, как tcp/udp и icmp. Но у меня даже icmp не ходит. Причём не ходит он на ту же машину на интерфейс, который поднят и IP, который локально имеется. Т.е. localhost и этот IP в данном случае это одна и та же сущность. Только разные интерфейсы.

turtle_bazon ★★★★★
(11.12.14 10:56:25 MSK) автор топика

Ссылка

Что у вас за демон ike такой? В debian-пакетах не нашел. Это racoon? IPsec работает несколько иначе, нежели привычный вам OpenVPN. Я не знаю про racoon, и, вероятно, KLIPS, который предположительно у вас используется, но с обычным ядровым IPsec (netkey) новых интерфейсов не создается, и маршрутизация вся идет через тот интерфейс, который смотрит в другую сторону, только сразу шифруется.

Используйте ip xfrm для просмотра установленных соединений.

ValdikSS ★★★★★
(11.12.14 12:14:05 MSK)

Ответ на: комментарий от ValdikSS 11.12.14 12:14:05 MSK

В 8-ке дебиана есть. Это shrew soft. Так создаётся tap0. За hint спасибо. Гляну.

turtle_bazon ★★★★★
(11.12.14 17:03:38 MSK) автор топика
Последнее исправление: turtle_bazon 11.12.14 17:03:53 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от DALDON 11.12.14 07:41:54 MSK

Не работает на реальной железке. Вообще, у ipsec с nat проблемы, как я почитал. Как при использовании ipsec over nat, так и при использовании nat over ipsec.

turtle_bazon ★★★★★
(20.12.14 19:17:44 MSK) автор топика

Ответ на: комментарий от turtle_bazon 20.12.14 19:17:44 MSK

Да, ipsec делали тогда, когда NAT не был так широко распространён.

DALDON ★★★★★
(09.01.15 19:43:06 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	$DISPLAY -> vnc server на headless debian

Admin

Защита от форк бомбы?

→

Похожие темы