openswan+VLAN - бывает?

Prince · 11.10.2011

openswan+VLAN - бывает?

Есть два маршрутизатора, один под дебианом, другой под слакой.

Задача: поднять между ними IPSEC туннель "сеть-сеть"

Софт установлен и настроен, модули KLIPS загружены.

Конфиг откатан на двух других парах, везде все нормально функционирует.
Эта пара маршрутизаторов отличается только тем, что внешний интерфейс у дебиана VLAN-овый.

И тут начинается ЦИРК
Если в конфиге /etc/ipsec.conf указывать interfaces "ipsec0=eth2.500" то в лог получаем:
003 no public interfaces found
(eth2.500 и есть внешний интерфейс маршрутизатора)
если в конфиге /etc/ipsec.conf указать interfaces "ipsec0=eth1 ipsec1=eth2.500" то злобного "003 no public interfaces found" в лог не получаем, зато pluto слушает ТОЛЬКО интерфейс eth1.
Соответственно при попытке поднять туннель на eth2.500 получаем в лог "022 "%имя_соединения%": We cannot identify ourselves with either end of this connection.", что вполне логично, т.к. маршрутизируемый ИП прибинден именно к eth2.500

В задаче спрашивается: возможно ли построение IPSEC через ВЛАНовый интерфейс и если да - то что я делаю не так?

ChuguevMan · 11.10.2011

Prince сказав(ла):
В задаче спрашивается: возможно ли построение IPSEC через ВЛАНовый интерфейс и если да - то что я делаю не так?

Спрашиваешь об этом на ХФ

Prince · 11.10.2011

ChuguevMan сказав(ла):
Спрашиваешь об этом на ХФ

Спасибо, помогло!

buryanov · 12.12.2011

Если б на FreeBSD были маршрутизаторы, я б помог

Prince · 12.12.2011

buryanov сказав(ла):
Если б на FreeBSD были маршрутизаторы, я б помог

Спасибо, вопрос уже собственно решен - с той стороны позвонили провайдеру и убедили снять ВПН.
Туннель завелся на ура и радует юзеров своей прозрачностью.

ЗЫ: Насчет фряхи - уважаю на нагруженных серверах, но на роутеры ставить нет ни малейшего желания. Тем более, что тот, с бывшим ВЛАНом вообще не мой

alex444 · 12.12.2011

Prince сказав(ла):
Насчет фряхи - уважаю на нагруженных серверах, но на роутеры ставить нет ни малейшего желания.

моё имхо - с точностью до наоборот. Роутеры из линуксовых ядер - никакие.

habu · 13.12.2011

alex444 сказав(ла):
моё имхо - с точностью до наоборот. Роутеры из линуксовых ядер - никакие.

Поддержу.

Prince · 13.12.2011

alex444 сказав(ла):
моё имхо - с точностью до наоборот. Роутеры из линуксовых ядер - никакие.

Флудить так флудить... моя тема - имею право. Все равно тему "общение завсегдатаев" удалили

ИМХО iproute2 + активно развивающийся iptables дают линям достаточно весомый аргумент как роутеру.

А фришные фаеры, как по мне - весьма неудобны. Правда, сталкивался с ними не так часто - а самый первый мой вообще от хабу в наследство остался...

alex444 · 13.12.2011

Prince сказав(ла):
Флудить так флудить... моя тема - имею право. Все равно тему "общение завсегдатаев" удалили
ИМХО iproute2 + активно развивающийся iptables дают линям достаточно весомый аргумент как роутеру.

А фришные фаеры, как по мне - весьма неудобны. Правда, сталкивался с ними не так часто - а самый первый мой вообще от хабу в наследство остался...

вопрос "зачем роутеру фаеры" оставляем за кадром.

накуй они ему?

Что бы там Герцог ни говорил про вятты на кернеле Торвальдса, а взятый "из коробки" линукс (сквиз) загнулся мгновенно (на том pps) там, где fbsd 7.2 (тоже без тюнинга) у меня уже несколько лет два фуллвью держит и маршрутизирует без особой натуги. Сам понимаешь, что дело ж не в том, кто кернел линуховый компилил - сборщики от дебиана, или там немцы из новелла. Ядра-то пишут не они ...

Prince · 13.12.2011

alex444 сказав(ла):
вопрос "зачем роутеру фаеры" оставляем за кадром. накуй они ему?

Бывают и нужны. Для моих задач роутер без фаера = "убийца бабочек".

alex444 сказав(ла):
Что бы там Герцог ни говорил про вятты на кернеле Торвальдса, а взятый "из коробки" линукс (сквиз) загнулся мгновенно (на том pps) там, где fbsd 7.2 (тоже без тюнинга) у меня уже несколько лет два фуллвью держит и маршрутизирует без особой натуги. Сам понимаешь, что дело ж не в том, кто кернел линуховый компилил - сборщики от дебиана, или там немцы из новелла. Ядра-то пишут не они ...

Вятта это вообще непонятно что за подделка... Я, например, еще недостаточно огерцогел, чтобы юзать это УГ - хватило двух дней тестирования

Ради форсу бандитского как только вернется из гарантийки мой будущий роутер я сведу на него десяток сетей /24, посмотрим что будет с ппс и с самим серваком - аж интересно. (бгп у меня нет и необходимости в нем также нет)

ЗЫ: линух "из коробки" противен и на вкус и на цвет. Равно как и фря. Которая делает себе харакири, если ФС, смонтированная в /home/govnouser/govnodir не смогла пройти фоновый fsck.

ЗЗЫ: Новела не существует - он продан мелкомягким. Помянем...

habu · 13.12.2011

Да не особо то и сложный я тебе фаер оставлял.

Кстати ipfw сам по себе весьма интересен особенно в связке с setfib и ipfw nat. Проверял уже у одного знакомца на домашнем роутере чтоб два канала разрулить, и еще в одном роутере.

Prince · 13.12.2011

habu сказав(ла):
Да не особо то и сложный я тебе фаер оставлял.

Как для первого раза с ипфв так нормальненько...
Учитывая совершенно нелогичную конструкцию ипфв "все в одну кучу" и кислую отладку...

habu сказав(ла):
Кстати ipfw сам по себе весьма интересен особенно в связке с setfib и ipfw nat. Проверял уже у одного знакомца на домашнем роутере чтоб два канала разрулить, и еще в одном роутере.

Ну у меня два канала в одном роутере под слакой с iproute2, и что?
плюс еще два GRE-туннеля, в которых гуляет оспф.

С трудом представляю размер паяльника, с помощью которого меня можно заставить поменять эту стройную конструкцию на ipfw+setfib+ipfw nat (учитывая то, что setfib нету "в коробке" - надо пересобирать ядро)

habu · 14.12.2011

Ну там собирать то особо нечего - в Generic добавил и погнал.
20-30 минут времени - на говножелезе.

Prince · 14.12.2011

habu сказав(ла):
Ну там собирать то особо нечего - в Generic добавил и погнал.
20-30 минут времени - на говножелезе.

Разговор шел о "из коробки".
сколько собирается ядро я в курсе

habu · 14.12.2011

Prince сказав(ла):
Разговор шел о "из коробки".
сколько собирается ядро я в курсе

Но и тебе же нужно было ставить кое-какие пакеты для нормальной работы твоей схемы...

Prince · 14.12.2011

habu сказав(ла):
Но и тебе же нужно было ставить кое-какие пакеты для нормальной работы твоей схемы...

Не-а.
как раз все "из коробки" о чем же ж и речь

habu · 14.12.2011

iproute2 из коробки ?
Хмммм. Знатно.

Prince · 14.12.2011

habu сказав(ла):
iproute2 из коробки ?
Хмммм. Знатно.

Да еще с 9 или 10 слаки iproute2 в коробке.
На 13-й оно уже как родное

habu · 14.12.2011

Демагогию тут развели о вкусе цветных фламастеров.
На самом деле ОС всего лишь инструмент, даже из Win можно сделать сервер который будет стабильно работать и выполнять поставленные задачи.

Prince · 14.12.2011

habu сказав(ла):
Демагогию тут развели о вкусе цветных фламастеров.
На самом деле ОС всего лишь инструмент, даже из Win можно сделать сервер который будет стабильно работать и выполнять поставленные задачи.

Ну и что? Можно двадцать минут хренячить напильником плоскую отвертку, и заточив ее, завернуть шуруп с головой под крест, а можно просто взять крестовую отвертку и завернуть этот же шуруп но без напильника и какой-то матери.
Как-то так.

openswan+VLAN - бывает?

Prince

ChuguevMan

Prince

buryanov

Prince

alex444

staff (вахтьор)

habu

Prince

alex444

staff (вахтьор)

Prince

habu

Prince

habu

Prince

habu

Prince

habu

Prince

habu

Prince