Kosa Attila
2009-02-06 11:31:13 UTC
Hello!
---- ---- ---- ---- ----
|1 |-------|2 |__ipsec____| 3|----| 4|----| 5|
| | | | | | | | | |
---- ---- ---- ---- ----
1 - 192.168.0.23 (/16-os halozatban, a teszt idejere linuxos, de
egyebkent windowsos gep lesz)
2 - linuxos tuzfal (van meg neki par laba, de, 123-as nincs,
ipsec-bol is van tobb)
3 - Cisco router
4 - valamilyen tuzfal
5 - valamilyen gep
Az ipsec-hez kaptam egy 123.36.97.0/24 tartomanyt, amelyeket a
belso halozat nehany gepere kellene beforgatnom (az 1-gyel jelolt
egy ezek kozul). A vpn mindket oldal szerint osszeall. A 2-es
gepen az alabbi szabalyok vannak (a kapcsolatra vonatkozoan):
-A POSTROUTING -o ipsec1 -p tcp -s 192.168.0.23 -j SNAT --to-source 123.36.97.1
-A PREROUTING -d 123.36.97.1 -j DNAT --to-destination 192.168.0.23
-A FORWARD -i eth2 -o ipsec1 -p icmp -s 192.168.0.23 -j ACCEPT
-A FORWARD -i eth2 -o ipsec1 -p icmp -s 192.168.0.23 -j ACCEPT
-A FORWARD -i ipsec1 -o eth2 -p icmp -d 192.168.0.23 -j ACCEPT
A "tcpdump -ni ipsec1 -s 0" latja az 1-es geprol kiindulo
csomagokat (sima ping-gel probalkozom, az 5-os gep valaszol a
ping-re), a megfelelo forras- (123.36.97.1) es celcim latszik. A
4-es gepen (de lehet, hogy a 3-as routeren, ez nem volt
egyertelmu) szinten latszanak a csomagok, ott is megfeleloek a
cimek. Ott azonban az is latszik, hogy az 5-os gep valaszol, a
2-es gepen a tcpdump-ban viszont nem latszik semmi a visszafele
jovo csomagokbol. Az 5-os gep szerint a visszafele jovo
csomagokban is jo a source es destination cim.
Hogy lehetne kideriteni, hogy miert nem jonnek vissza a csomagok?
A tuloldalhoz nem ferek hozza.
---- ---- ---- ---- ----
|1 |-------|2 |__ipsec____| 3|----| 4|----| 5|
| | | | | | | | | |
---- ---- ---- ---- ----
1 - 192.168.0.23 (/16-os halozatban, a teszt idejere linuxos, de
egyebkent windowsos gep lesz)
2 - linuxos tuzfal (van meg neki par laba, de, 123-as nincs,
ipsec-bol is van tobb)
3 - Cisco router
4 - valamilyen tuzfal
5 - valamilyen gep
Az ipsec-hez kaptam egy 123.36.97.0/24 tartomanyt, amelyeket a
belso halozat nehany gepere kellene beforgatnom (az 1-gyel jelolt
egy ezek kozul). A vpn mindket oldal szerint osszeall. A 2-es
gepen az alabbi szabalyok vannak (a kapcsolatra vonatkozoan):
-A POSTROUTING -o ipsec1 -p tcp -s 192.168.0.23 -j SNAT --to-source 123.36.97.1
-A PREROUTING -d 123.36.97.1 -j DNAT --to-destination 192.168.0.23
-A FORWARD -i eth2 -o ipsec1 -p icmp -s 192.168.0.23 -j ACCEPT
-A FORWARD -i eth2 -o ipsec1 -p icmp -s 192.168.0.23 -j ACCEPT
-A FORWARD -i ipsec1 -o eth2 -p icmp -d 192.168.0.23 -j ACCEPT
A "tcpdump -ni ipsec1 -s 0" latja az 1-es geprol kiindulo
csomagokat (sima ping-gel probalkozom, az 5-os gep valaszol a
ping-re), a megfelelo forras- (123.36.97.1) es celcim latszik. A
4-es gepen (de lehet, hogy a 3-as routeren, ez nem volt
egyertelmu) szinten latszanak a csomagok, ott is megfeleloek a
cimek. Ott azonban az is latszik, hogy az 5-os gep valaszol, a
2-es gepen a tcpdump-ban viszont nem latszik semmi a visszafele
jovo csomagokbol. Az 5-os gep szerint a visszafele jovo
csomagokban is jo a source es destination cim.
Hogy lehetne kideriteni, hogy miert nem jonnek vissza a csomagok?
A tuloldalhoz nem ferek hozza.
--
Udvozlettel
Zsiga
Udvozlettel
Zsiga