26 Odpowiedź przez edd82

(11 odpowiedzi, napisanych Oprogramowanie / Software)

Dokładnie to ją łącze się z juniperem ssg5. Dlinki też się z nim łączą. Z jubilera jest połączenie do sieci 10.97.0.0/16. Na juniperze jest sieć 10.0.0.0/24. Na dlinkach są sieci 10.0.x.0/24.
Z dlinkow jest połączenie vpn do ssg5. Sieć lokalna to 10.0.*.0/24 sieć zdalna to 10.0.0.0/8. I dzięki temu mamy połączenie z siecią 10.97.0.0/16.
Na dlinkach jest vpn na ipsec bardzo podobnie zrealizowane do tego co mam na racoonie.

Najdziwniejsze jest to, że host z hostem się komunikowaly. Natomiast nie było połączenia tylko z mojej sieci do routerka, a z sieci zdalnej połączenie było bez problemów. Może musiałbym jedynie dopisać jakiś routing albo zasady w firewallu, ale niestety nie znam się aż tak bardzo na linuxie.

Idź do forum: Oprogramowanie / Software

27 Odpowiedź przez edd82

(11 odpowiedzi, napisanych Oprogramowanie / Software)

#!/usr/sbin/setkey -f

flush;
spdflush;

#FPW
spdadd 10.0.210.0/24 10.0.0.0/8 any -P out ipsec
esp/tunnel/178.235.x.x-81.18.y.y/require;

spdadd 10.0.0.0/8 10.0.210.0/24 any -P in ipsec
esp/tunnel/81.18.y.y-178.235.x.x/require;

Mam jeszcze pytanie czy najnowsza Gargoyla ma wgrane moduły z IPSEC bo nie działa racoon.

Mam taki komunikat

pfkey_open: Address family not supported by protocol

Z tego co wyczytałem to jest brak modułów od ipseca.

Wydaje mi się, że będzie już wszystko działać. Teraz mogę już odpalić plik setkey.conf (to faktycznie po jego uruchomieniu przestawała działać sieć).
Jednak na moje oko wina leżała po stronie pokrywających się lanów. Mój 10.0.210.0/24 i tunel z 10.0.0.0/8. Po zmianie mojej sieci na 192.168.100.1 plik się odpala a połączenie z routerkiem dalej jest.

Teraz zagadka dla bardziej wtajemniczonych dlaczego tak się dzieje. Mam w pracy zestawionych 6 tuneli w taki sposób że sieci się pokrywają i tam wszystko działa, jednak jest to na oryginalnym sofcie z D-Linka.

Idź do forum: Oprogramowanie / Software

28 Odpowiedź przez edd82

(11 odpowiedzi, napisanych Oprogramowanie / Software)

Dodam jeszcze, że w momencie zestawienia się tunelu traci się całkowicie łączność z routerkiem. Nie przydziela adresów z DHCP (tylko zaraz po starcie da adresy urządzeniom, które są połączone, jeżeli jakieś dopnie się później to już nie), router jako DNS w ogóle nie działa (ale to wynika m.in. z braku pinga do urządzenia). Dodatkowo zauważyłem, że przy próbie konfiguracji DHCP-a (dodanie hosta) z poziomu LUCI DHCP się wyłącza na LAN i już nic nie przydziela.

Firmware  Backfire 10.03.x by obsy (najnowszy, który był na stronie bez GUI.

Chyba, że proponujecie zmianę Firmwara na inny to mogę jeszcze coś pokombinować w taki sposób.

Sory za post pod postem, ale chciałem odrazu podnieść temat.

Idź do forum: Oprogramowanie / Software

29 Odpowiedź przez edd82

(11 odpowiedzi, napisanych Oprogramowanie / Software)

Jedyne co modyfikowałem w firewallu to wpisy wg instrukcji ze strony rpc i dodatkowo otwarłem sobie dostęp do routerka z pracy, abym mógł się do niego połączyć przez VPN lub zewn. IP (praca - routerek).

Problem znika wraz z wyłączeniem racoona i restartem urządzenia.

Konfiguracja firewalla

#VPN
config 'rule'
        option 'src' 'wan'
        option 'proto' 'esp'
        option 'target' 'ACCEPT'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'ah'
        option 'target' 'ACCEPT'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'ipcomp'
        option 'target' 'ACCEPT'

config 'rule'
        option 'dest_port' '500'
        option 'proto' 'udp'
        option 'target' 'ACCEPT'

config 'rule'
        option 'dest_port' '4500'
        option 'proto' 'udp'
        option 'target' 'ACCEPT'
#Koniec VPN
config 'defaults'
        option 'syn_flood' '1'
        option 'input' 'ACCEPT'
        option 'output' 'ACCEPT'
        option 'forward' 'REJECT'

config 'zone'
        option 'name' 'lan'
        option 'network' 'lan'
        option 'input' 'ACCEPT'
        option 'output' 'ACCEPT'
        option 'forward' 'REJECT'

config 'zone'
        option 'name' 'wan'
        option 'network' 'wan'
        option 'input' 'REJECT'
        option 'output' 'ACCEPT'
        option 'forward' 'REJECT'

config 'forwarding'
        option 'src' 'lan'
        option 'dest' 'wan'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'udp'
        option 'dest_port' '68'
        option 'target' 'ACCEPT'
        option 'family' 'ipv4'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'icmp'
        option 'icmp_type' 'echo-request'
        option 'family' 'ipv4'
        option 'target' 'ACCEPT'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'icmp'
        list 'icmp_type' 'echo-request'
        list 'icmp_type' 'destination-unreachable'
        list 'icmp_type' 'packet-too-big'
        list 'icmp_type' 'time-exceeded'
        list 'icmp_type' 'bad-header'
        list 'icmp_type' 'unknown-header-type'
        list 'icmp_type' 'router-solicitation'
        list 'icmp_type' 'neighbour-solicitation'
        option 'limit' '1000/sec'
        option 'family' 'ipv6'
        option 'target' 'ACCEPT'

config 'rule'
        option 'src' 'wan'
        option 'dest' '*'
        option 'proto' 'icmp'
        list 'icmp_type' 'echo-request'
        list 'icmp_type' 'destination-unreachable'
        list 'icmp_type' 'packet-too-big'
        list 'icmp_type' 'time-exceeded'
        list 'icmp_type' 'bad-header'
        list 'icmp_type' 'unknown-header-type'
        option 'limit' '1000/sec'
        option 'family' 'ipv6'
        
        option 'target' 'ACCEPT'

config 'include'
        option 'path' '/etc/firewall.user'

config 'rule'
        option '_name' 'OPS'
        option 'src' 'wan'
        option 'target' 'ACCEPT'
        option 'src_ip' '81.*.*.42'
        option 'src_ip' '10.0.0.210'

Oraz firewall.user

iptables -I FORWARD --src 10.0.0.0/8 -j ACCEPT
iptables -I FORWARD --dst 10.0.0.0/8 -j ACCEPT
iptables -t nat -I POSTROUTING -s 10.0.210.0/24 -d 10.0.0.0/8 -j ACCEPT
iptables -t nat -I POSTROUTING -p ipcomp -j ACCEPT
iptables -t nat -I POSTROUTING -p ah -j ACCEPT
iptables -t nat -I POSTROUTING -p esp -j ACCEPT

Jeżeli chodzi o trasy to nic nie modyfikuje.

Czy po uruchomieniu połączenia VPN należy dodać jakieś dodatkowe trasy albo polityki w firewallu aby móc się połączyć z sieci LAN do routera po adresie 10.0.210.1 ??

Idź do forum: Oprogramowanie / Software

30 Temat przez edd82

(11 odpowiedzi, napisanych Oprogramowanie / Software)

Witam

Mam TP-Linka1043N wgrałem do niego OpenWRT i wszystko było ok. Doinstalowałem racoon-a, aby zestawić VPN-a.
I teraz tak. Jak jest włączony racoon "/etc/init.d/racoon enable" i /etc/init.d/racoon start" przestaje pingować routerek. Komunikacja między komputerami połączonymi przez WiFi jest. Dostęp na adres lokalny routerka ze zdalnej lokalizacji jest bez problemu, tak samo jak na komputer w mojej sieci.

Adresy w mojej sieci to 10.0.210.0/24 a połączenie jest zestawione z 10.0.0.0/8.

Ja dokładnie łącze się z siecią 10.0.0.0/24 jednak z tej sieci są kolejne VPN-y na adresy 10.0.x.0/24 i 10.97.0.0/16.

Idź do forum: Oprogramowanie / Software