LINUX.ORG.RU
ФорумAdmin

Proxmox ipsec cisco маршрутизация

 ,


0

2

Здравствуйте уважаемые!
Подскажите пож-та как решить следующую проблему.
Есть на известном хетзнере сервак, на котором крутится proxmox 3.4 ядро 2.6 ip a.a.a.a
Есть офис в котором стоит цыск rv180w ip b.b.b.b Между этими друзьями поднят ipsec.

Вот конфиги с линукса strongswan (настроен на гипервизоре):

conn cisco  
forceencaps=yes  
dpddelay=30  
dpdtimeout=120  
dpdaction=restart_by_peer  
ike=3des-sha1-modp1024  
ikelifetime=86400s  
authby=secret  
 
type=tunnel  
salifetime=3600s  
pfs=yes  
 
#left side (myside)  
left=a.a.a.a(gw)  
leftsubnet=10.10.0.0/16  
leftnexthop=a.a.a.a  
 
#right security gateway (CISCO side)  
right=b.b.b.b  
rightsubnet=192.168.1.0/24  
rightnexthop=b.b.b.b  
auto=start  

iptables:

#!/bin/bash  
/sbin/iptables -F  
/sbin/iptables -X  
/sbin/iptables -t nat -F  
/sbin/iptables -t nat -X  
 
/sbin/iptables -P INPUT DROP # блокируем входящие  
/sbin/iptables -P FORWARD ACCEPT  
/sbin/iptables -P OUTPUT ACCEPT  
 
/sbin/iptables -A INPUT -i lo -j ACCEPT  
/sbin/iptables -A OUTPUT -o lo -j ACCEPT  
 
/sbin/iptables -A INPUT -p icmp -j ACCEPT  
/sbin/iptables -A OUTPUT -p icmp -j ACCEPT  
 
/sbin/iptables -A INPUT -p udp --dport 500 -j ACCEPT  
/sbin/iptables -A INPUT -p tcp --dport 4500 -j ACCEPT  
/sbin/iptables -A INPUT -p udp --dport 4500 -j ACCEPT  
/sbin/iptables -A INPUT -p esp -j ACCEPT  
/sbin/iptables -A INPUT -p ah -j ACCEPT  
/sbin/iptables -t nat -I POSTROUTING 1 -p 50 -j ACCEPT  
/sbin/iptables -t nat -I POSTROUTING 1 -p 51 -j ACCEPT
# Cisco  
/sbin/iptables -t nat -A POSTROUTING -s 10.10.0.0/16 -d 192.168.1.0/24 -j SNAT --to-source b.b.b.b  
 
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 22 -j ACCEPT  
 
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 8006 -j ACCEPT  
 
/sbin/iptables -A INPUT -i vmbr0 -p tcp --dport 5900 -j ACCEPT  
 
/sbin/iptables -A INPUT -s 213.133.99.99 -j ACCEPT  
 
/sbin/iptables -A INPUT -s 213.133.100.100 -j ACCEPT  
 
/sbin/iptables -A INPUT -s 213.133.98.98 -j ACCEPT  
 
/sbin/iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT  
/sbin/iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT  
 
/sbin/iptables -t nat -A POSTROUTING -o vmbr0 -j MASQUERADE    

route:

Destination Gateway Genmask Flags Metric Ref Use Iface  
a.a.a.a * 255.255.255.224 U 0 0 0 vmbr0  
10.10.12.0 * 255.255.255.0 U 0 0 0 vmbr3  
10.10.13.0 * 255.255.255.0 U 0 0 0 vmbr4  
10.10.10.0 * 255.255.255.0 U 0 0 0 vmbr1  
10.10.11.0 * 255.255.255.0 U 0 0 0 vmbr2  
default a.a.a.a(gw) 0.0.0.0 UG 0 0 0 vmbr0  
# network interface settings  
auto lo  
iface lo inet loopback  
 
iface eth0 inet manual  
broadcast x.x.x.x  
up route add -net a.a.a.a netmask 255.255.255.224 gw a.a.a.a(gw) eth0  
 
# default route to access subnet  
 
auto vmbr0  
iface vmbr0 inet static  
address a.a.a.a  
netmask 255.255.255.224  
gateway a.a.a.a(gw)  
bridge_ports eth0  
bridge_stp off  
bridge_fd 0  
 
auto vmbr1  
iface vmbr1 inet static  
address 10.10.10.1  
netmask 255.255.255.0  
bridge_ports none  
bridge_stp off  
bridge_fd 0  
 
auto vmbr2  
iface vmbr2 inet static  
address 10.10.11.1  
netmask 255.255.255.0  
bridge_ports none  
bridge_stp off  
bridge_fd 0  

поднятый туннель:

IPsec running - pluto pid: 3461  
pluto pid 3461  
1 tunnels up  
some eroutes exist  

ipsec verify

Checking your system to see if IPsec got installed and started correctly:  
Version check and ipsec on-path [OK]  
Linux Openswan U2.6.37/K2.6.32-37-pve (netkey)  
Checking for IPsec support in kernel [OK]  
SAref kernel support [N/A]  
NETKEY: Testing XFRM related proc values [FAILED]  
 
Please disable /proc/sys/net/ipv4/conf/*/send_redirects  
or NETKEY will cause the sending of bogus ICMP redirects!  
 
[OK]  
[OK]  
Checking that pluto is running [OK]  
Pluto listening for IKE on udp 500 [OK]  
Pluto listening for NAT-T on udp 4500 [OK]  
Two or more interfaces found, checking IP forwarding [OK]  
Checking NAT and MASQUERADEing [OK]  
Checking for 'ip' command [OK]  
Checking /bin/sh is not /bin/dash [WARNING]  
Checking for 'iptables' command [OK]  
Opportunistic Encryption Support [DISABLED]  
/proc/sys/net/ipv4/conf/*/ - ругается я так понял на ipv6 для ipv4 отключено.

наблюдаем следующую картину.. со стороны b.b.b.b - a.a.a.a пинги и трафик ходит на ура. со стороны a.a.a.a - b.b.b.b пинги не идут, все молчит. курение мануалов, читание форумов результатов не дало, понимаю конечно что дело в маршрутизации, но как исправить.?



Последнее исправление: madmorf (всего исправлений: 1)
Ответ на: комментарий от madmorf

Заработало

iptables -t nat -I POSTROUTING -s 10.10.0.0/16 -d 192.168.1.0/24 -j SNAT --to-source b.b.b.b
iptables -I POSTROUTING -t nat -d 192.168.1.0/24 -j RETURN

madmorf
() автор топика
12 марта 2017 г.
Ответ на: Заработало от madmorf

CISCO RV180+StrongSwan

madmorf добрый день,

У меня похожая проблема, только у меня даже соединение не поднимается. Я уже описал ее, но по ошибке в другой ветке этого форума: ipsec cisco + strongswan (комментарий). Не мог бы ты глянуть опытным глазом на мои настройки, а то у меня уже руки опускаются (да и опыта недостаточно), а настроить это дело очень надо. Заранее благодарен.

orarun
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.