форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (VPN, IPSec / FreeBSD)
Изначальное сообщение		[ Отслеживать ]

"IPSec + резервный канал."	+/–
Сообщение от Aidaho (ok) on 14-Июл-10, 07:34
Добрый день. Возник такой вопрос. А можно ли сделать так что бы IPSec соединение автоматически перебрасывалось на резервный канал при падении основного? Имеются 2 офиса и у них по 2 канала, резервный и бэкапный соответственно, соединяемся сейчас через IPSec. Вот и хотелось бы сделать, что бы при падении одного из них, связь с фелилалом не прерывалась. Возможно ли такое сделать? и если да, то какими средствами?
Высказать мнение | Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "IPSec + резервный канал."	+/–
Сообщение от Zl0 (ok) on 14-Июл-10, 09:34
>Добрый день. >Возник такой вопрос. А можно ли сделать так что бы IPSec соединение >автоматически перебрасывалось на резервный канал при падении основного? >Имеются 2 офиса и у них по 2 канала, резервный и бэкапный >соответственно, соединяемся сейчас через IPSec. Вот и хотелось бы сделать, что >бы при падении одного из них, связь с фелилалом не прерывалась. > >Возможно ли такое сделать? и если да, то какими средствами? У меня сделано так, проложено несколько gre туннелей (это как бы провайдеры на серверах 1-1, 2-2, 1-2, 2-1), поверх ник ipsec, переключение производиться с помощью ospf.
Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	2. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 14-Июл-10, 09:37
	>[оверквотинг удален] >>Возник такой вопрос. А можно ли сделать так что бы IPSec соединение >>автоматически перебрасывалось на резервный канал при падении основного? >>Имеются 2 офиса и у них по 2 канала, резервный и бэкапный >>соответственно, соединяемся сейчас через IPSec. Вот и хотелось бы сделать, что >>бы при падении одного из них, связь с фелилалом не прерывалась. >> >>Возможно ли такое сделать? и если да, то какими средствами? > >У меня сделано так, проложен проложено несколько gre туннелей, поверх ник ipsec, >переключение производиться с помощью ospf. а можно подробней, как сделано через ospf? а то я динамической маршрутизации не бум-бум :( >У меня сделано так, проложен проложено несколько gre туннелей, это получается так же по несколько политик в ipsec.conf и несколько записей в racoon.conf ? И кстати, у нас 1 канал точка - точка (Е1), а второй (Резервный) интернетовский. Туннели подняты сейчас через gif интерфейсы.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	3. "IPSec + резервный канал."	+/–
	Сообщение от Zl0 (ok) on 14-Июл-10, 11:28
	>>[оверквотинг удален] >это получается так же по несколько политик в ipsec.conf и несколько записей >в racoon.conf ? Да именно так и получается. >И кстати, у нас 1 канал точка - точка (Е1), а второй >(Резервный) интернетовский. >Туннели подняты сейчас через gif интерфейсы. Есть статья, там только для linux, но для bsd я думаю все аналогично. http://my.opera.com/Zl0/blog/2010/05/06/ospf-gre-linux
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	4. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 14-Июл-10, 12:36
	>[оверквотинг удален] >>в racoon.conf ? > >Да именно так и получается. >>И кстати, у нас 1 канал точка - точка (Е1), а второй >>(Резервный) интернетовский. >>Туннели подняты сейчас через gif интерфейсы. > >Есть статья, там только для linux, но для bsd я думаю все >аналогично. >http://my.opera.com/Zl0/blog/2010/05/06/ospf-gre-linux да ) гугл мне уже показал эту статью. Ну принцип в принципе понятен. Только вопрос возник, в статье описаны 2 туннеля с разными айпи. У меня получается ипы будут одинаковые на туннелях, только через разных провов ходить будут. Не может ли быть тут каких либо траблов?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	5. "IPSec + резервный канал."	+/–
	Сообщение от Zl0 (ok) on 14-Июл-10, 12:47
	>да ) гугл мне уже показал эту статью. Ну принцип в принципе >понятен. Только вопрос возник, в статье описаны 2 туннеля с разными >айпи. У меня получается ипы будут одинаковые на туннелях, только через >разных провов ходить будут. Не может ли быть тут каких либо >траблов? Адреса внутри туннелей должны быть разные иначе будут коллизии.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	6. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 14-Июл-10, 13:24
	>>да ) гугл мне уже показал эту статью. Ну принцип в принципе >>понятен. Только вопрос возник, в статье описаны 2 туннеля с разными >>айпи. У меня получается ипы будут одинаковые на туннелях, только через >>разных провов ходить будут. Не может ли быть тут каких либо >>траблов? > >Адреса внутри туннелей должны быть разные иначе будут коллизии. хм, а как тогда можно будет это реализовать? потому что мне надо прокидывать одну подсеть. повесить алиас на интерфейс? сейчас работает так: 192.168.0.1/24 -- 10.10.10.1 ------ 10.10.10.2 -- 192.168.1.1/24 и я хочу сделать резервный канал по типу: 192.168.0.1/24 -- ччч.ччч.ччч.ччч ------ ххх.ххх.ххх.ххх -- 192.168.1.1/24 второй работать будет через интернет.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	7. "IPSec + резервный канал."	+/–
	Сообщение от Zl0 (ok) on 14-Июл-10, 13:34
	>сейчас работает так: > >192.168.0.1/24 -- 10.10.10.1 ------ 10.10.10.2 -- 192.168.1.1/24 > >и я хочу сделать резервный канал по типу: >192.168.0.1/24 -- ччч.ччч.ччч.ччч ------ ххх.ххх.ххх.ххх -- 192.168.1.1/24 >второй работать будет через интернет. Где то вы запутались или не до конца все допоняли У вас должно получится допустим такая картина: 192.168.0.1/24 -- 10.10.10.1 ------ 10.10.10.2 -- 192.168.1.1/24 192.168.0.1/24 -- 10.10.20.1 ------ 10.10.20.2 -- 192.168.1.1/24 10-я сетка висит на gif0 и допустим gif1 gifconfig_gif[номер]="[realip.address.source.tunnel] [realip.address.destination.tunnel]" ifconfig_gif[номер]="inet [ip.address.source.tunnel] \                             [ip.address.destination.tunnel] netmask 255.255.255.252" вы вешаете адреса из 10 сетки на  ваши  ip.address.source.unnel and destination tunnel address Что будет делать OSPF В зависимости от приоритета и доступности канала он будет менять таблицу маршрутизации на ваших граничный серверах допустим если в нормально то ip ro 192.168.37.1/24 via 10.10.10.2 dev gif0 а если нет ip ro 192.168.37.1/24 via 10.10.20.2 dev gif1 Ну и наоборот..
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	8. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 14-Июл-10, 13:43
	>[оверквотинг удален] >Что будет делать OSPF > >В зависимости от приоритета и доступности канала он будет менять таблицу маршрутизации >на ваших граничный серверах > >допустим если в нормально то >ip ro 192.168.37.1/24 via 10.10.10.2 dev gif0 >а если нет >ip ro 192.168.37.1/24 via 10.10.20.2 dev gif1 >Ну и наоборот.. На пальцах на много понятней, спасибо большое за разъяснение ) получается, я только поднимаю дополнительный gif интерфейс и настраивают ospf? Ну и в IPSec-e дополнительные настройки...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	9. "IPSec + резервный канал."	+/–
	Сообщение от Zl0 (ok) on 14-Июл-10, 13:48
	>На пальцах на много понятней, спасибо большое за разъяснение ) >получается, я только поднимаю дополнительный gif интерфейс и настраивают ospf? >Ну и в IPSec-e дополнительные настройки... Именно
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	10. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 16-Июл-10, 08:57
	>>На пальцах на много понятней, спасибо большое за разъяснение ) >>получается, я только поднимаю дополнительный gif интерфейс и настраивают ospf? >>Ну и в IPSec-e дополнительные настройки... > >Именно еще 1 вопрос возник по ходу настройки, дефаулт роут надо делать в системе или нет?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	11. "IPSec + резервный канал."	+/–
	Сообщение от Zl0 (ok) on 16-Июл-10, 11:45
	>>>На пальцах на много понятней, спасибо большое за разъяснение ) >>>получается, я только поднимаю дополнительный gif интерфейс и настраивают ospf? >>>Ну и в IPSec-e дополнительные настройки... >> >>Именно > >еще 1 вопрос возник по ходу настройки, дефаулт роут надо делать в >системе или нет? Я не помню как bsd но в linux нужно сделать через iproute2 чтобы пакеты пришедшие на интерфейс уходили через этот же интерфейс в интернет, а не через default route, он вам нужен чтобы все остальное гонять.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	12. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 16-Июл-10, 15:54
	>[оверквотинг удален] >>> >>>Именно >> >>еще 1 вопрос возник по ходу настройки, дефаулт роут надо делать в >>системе или нет? > >Я не помню как bsd но в linux нужно сделать через iproute2 >чтобы пакеты пришедшие на интерфейс уходили через этот же интерфейс в >интернет, а не через default route, он вам нужен чтобы все >остальное гонять. кстати, это мне придется все остальные соединения тоже что ли переводить на оспф? у меня там еще штук 10 соединений весят...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	13. "IPSec + резервный канал."	+/–
	Сообщение от Zl0 (ok) on 16-Июл-10, 16:53
	>кстати, это мне придется все остальные соединения тоже что ли переводить на >оспф? у меня там еще штук 10 соединений весят... ospf рулит только туннелями.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	14. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 27-Июл-10, 07:21
	>>кстати, это мне придется все остальные соединения тоже что ли переводить на >>оспф? у меня там еще штук 10 соединений весят... > >ospf рулит только туннелями. блин, что то не могу завести :( вот что пишет оспф по поводу соседей: > sh ip ospf ne     Neighbor ID Pri State           Dead Time Address         Interface            RXmtL RqstL DBsmL 192.168.72.1      1 ExStart/DROther   35.893s 192.168.73.1    gif10:192.168.101.1      0     0     0 192.168.72.1      1 ExStart/DROther   35.893s 192.168.72.1    gif11:192.168.100.1      0     0     0 почему не может завязаться полностью? как я понял проблема в ipsec-e, но куда именно копать? вот настройки интерфейсов гиф: gif10: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1376         tunnel inet 192.168.100.1 --> ччч.ччч.ччч.ччч         inet6 fe80::211:d8ff:fea2:6d9b%gif10 prefixlen 64 scopeid 0x10         inet 192.168.101.1 --> 192.168.73.1 netmask 0xffffffff gif11: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280         tunnel inet 10.10.10.6 --> 10.10.10.15         inet6 fe80::211:d8ff:fea2:6d9b%gif11 prefixlen 64 scopeid 0x11         inet 192.168.100.1 --> 192.168.72.1 netmask 0xffffffff это с одной стороны, со второй тоже самое.... вот, что в логе еще пишет? 2010/07/27 09:23:25 OSPF: Packet[DD]: Neighbor 192.168.72.1: Initial DBD from Slave, ignoring. 2010/07/27 09:23:29 OSPF: Packet from [192.168.72.1] received on wrong link fxp0 Хотя интерфейса fxp0 в настройках ни где нет. такая же строчка есть и на другой стороне 2010/07/27 09:24:00 OSPF: Packet from [192.168.100.1] received on wrong link ste1
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	15. "IPSec + резервный канал."	+/–
	Сообщение от Zl0 (ok) on 27-Июл-10, 16:23
	Вообще больше похоже что пиры не могут договорится о маршрутах, покажите лучше zebra & ospf  конфиги. и rc.conf ту часть про туннели.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	16. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 27-Июл-10, 16:27
	>Вообще больше похоже что пиры не могут договорится о маршрутах, покажите лучше >zebra & ospf  конфиги. > >и rc.conf ту часть про туннели. ок, вот конфиг зебры первого сревака: interface lo description loop interface gif11 description ISP1 interface gif10 description ISP2 ! log file /var/log/quagga/zebra.log оспф его же interface gif11 ip ospf network point-to-point ip ospf cost 10 ip ospf mtu-ignore ! interface gif10 ip ospf network point-to-point ip ospf cost 20 ip ospf mtu-ignore ! router ospf ospf router-id 192.168.100.1 redistribute connected redistribute static neighbor 192.168.72.1 neighbor 192.168.73.1 network 192.168.72.0/24 area 0.0.0.0 network 192.168.73.0/24 area 0.0.0.0 area 0.0.0.0 range 192.168.72.0/24 cost 10 area 0.0.0.0 rc.conf: gifconfig_gif10="192.168.100.1 xxx.xxx.xxx.xxx" ifconfig_gif10="inet 192.168.101.1 192.168.73.1 netmask 255.255.255.252 mtu 1376" route_vpn8=" -net 192.168.73 192.168.73.1" gifconfig_gif11="10.10.10.6 10.10.10.15" ifconfig_gif11="inet 192.168.100.1 192.168.72.1 netmask 255.255.255.252 mtu 1376" route_vpn9=" -net 192.168.72 192.168.72.1" теперь второй сервак зебра: interface lo description loop interface gif0 description ISP1 interface gif1 description ISP2 ! log file /var/log/quagga/zebra.log оспф: interface lo ! interface gif0 ip ospf network point-to-point ip ospf cost 10 ip ospf mtu-ignore ! interface gif1 ip ospf network point-to-point ip ospf cost 20 ip ospf mtu-ignore ! router ospf ospf router-id 192.168.72.1 redistribute connected redistribute static neighbor 192.168.100.1 neighbor 192.168.101.1 network 192.168.100.0/24 area 0.0.0.0 network 192.168.101.0/24 area 0.0.0.0 area 0.0.0.0 range 192.168.100.0/24 cost 10 area 0.0.0.0 range 192.168.101.0/24 cost 20 ну и рц конф: gifconfig_gif0="10.10.10.15 10.10.10.6" ifconfig_gif0="inet 192.168.72.1 192.168.100.1 netmask 255.255.255.255 mtu 1376" route_vpn1=" -net 192.168.100 192.168.100.1" gifconfig_gif1="212.154.141.35 212.154.141.34" ifconfig_gif1="inet 192.168.73.1 192.168.101.1 netmask 255.255.255.255 mtu 1376" route_vpn2=" -net 192.168.101 192.168.101.1"
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	17. "IPSec + резервный канал."	+/–
	Сообщение от Zl0 (ok) on 27-Июл-10, 17:04
	>gifconfig_gif10="192.168.100.1 xxx.xxx.xxx.xxx" >ifconfig_gif10="inet 192.168.101.1 192.168.73.1 netmask 255.255.255.252 mtu 1376" >route_vpn8=" -net 192.168.73 192.168.73.1" > >gifconfig_gif11="10.10.10.6 10.10.10.15" >ifconfig_gif11="inet 192.168.100.1 192.168.72.1 netmask 255.255.255.252 mtu 1376" >route_vpn9=" -net 192.168.72 192.168.72.1" У вас маски разные >gifconfig_gif0="10.10.10.15 10.10.10.6" >ifconfig_gif0="inet 192.168.72.1 192.168.100.1 netmask 255.255.255.255 mtu 1376" >route_vpn1=" -net 192.168.100 192.168.100.1" > >gifconfig_gif1="212.154.141.35 212.154.141.34" >ifconfig_gif1="inet 192.168.73.1 192.168.101.1 netmask 255.255.255.255 mtu 1376" >route_vpn2=" -net 192.168.101 192.168.101.1"
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	18. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 27-Июл-10, 17:05
	>>gifconfig_gif10="192.168.100.1 xxx.xxx.xxx.xxx" >>ifconfig_gif10="inet 192.168.101.1 192.168.73.1 netmask 255.255.255.252 mtu 1376" >>route_vpn8=" -net 192.168.73 192.168.73.1" >> >>gifconfig_gif11="10.10.10.6 10.10.10.15" >>ifconfig_gif11="inet 192.168.100.1 192.168.72.1 netmask 255.255.255.252 mtu 1376" >>route_vpn9=" -net 192.168.72 192.168.72.1" > >У вас маски разные > это я в rc.conf забыл поправить, выглядит туннели так: gif10: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1376         tunnel inet 192.168.100.1 --> ччч.ччч.ччч.ччч         inet6 fe80::211:d8ff:fea2:6d9b%gif10 prefixlen 64 scopeid 0x10         inet 192.168.101.1 --> 192.168.73.1 netmask 0xffffffff gif11: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1376         tunnel inet 10.10.10.6 --> 10.10.10.15         inet6 fe80::211:d8ff:fea2:6d9b%gif11 prefixlen 64 scopeid 0x11         inet 192.168.100.1 --> 192.168.72.1 netmask 0xffffffff
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	19. "IPSec + резервный канал."	+/–
	Сообщение от Zl0 (ok) on 27-Июл-10, 17:32
	Скажите у вас конец туннеля другой свой видит, пингуется? И еще я не могу понять какую сеть в пытаетесь анонсировать  через ospf? Потому что в конфиге у вас те же сети что и на туннелях, а где третьи сети, не из этого диапазона, которые он мог бы сообщить своему соседу??
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	20. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 27-Июл-10, 18:10
	>Скажите у вас конец туннеля другой свой видит, пингуется? >И еще я не могу понять какую сеть в пытаетесь анонсировать   >через ospf? Потому что в конфиге у вас те же сети >что и на туннелях, а где третьи сети, не из этого >диапазона, которые он мог бы сообщить своему соседу?? да, 72-ю видит. Вообще мне надо что бы работала только 72-ая сеть ну и 100-ая соответственно, как я понял по статьям, что без второй подсети ни чего не получится, вот и добавил 73 и 101, по факту нужна только 2 (72 и 100). Да и машины всего 2, по одной на каждой стороне тунеля.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	21. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 04-Авг-10, 07:59
	>[оверквотинг удален] >>что и на туннелях, а где третьи сети, не из этого >>диапазона, которые он мог бы сообщить своему соседу?? > >да, 72-ю видит. >Вообще мне надо что бы работала только 72-ая сеть ну и 100-ая >соответственно, как я понял по статьям, что без второй подсети ни >чего не получится, вот и добавил 73 и 101, по факту >нужна только 2 (72 и 100). > >Да и машины всего 2, по одной на каждой стороне тунеля. ну что? есть какие-либо идеи товарищи гуру?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	22. "IPSec + резервный канал."	+/–
	Сообщение от Zl0 (ok) on 04-Авг-10, 09:29
	>ну что? есть какие-либо идеи товарищи гуру? А на чем остановились? Так не не поднялся ospf?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	23. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 04-Авг-10, 09:32
	>>ну что? есть какие-либо идеи товарищи гуру? > >А на чем остановились? Так не не поднялся ospf? Ну как было так и осталось. ospf не поднялся.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	24. "IPSec + резервный канал."	+/–
	Сообщение от Zl0 (ok) on 04-Авг-10, 14:41
	Смотрю я на ваши конфиги и чего то не понимаю, если делать правильно, то у вас должно получится следующее Gre Сетки 192.168.73.0/24 и 192.168.101.0/24 - транзитные, используются только внутри туннелей.Статические роуты добавлять не нужно. gifconfig_gif0="10.10.10.15 10.10.10.6" ifconfig_gif0="inet 192.168.73.1 192.168.73.2 netmask 255.255.255.0 mtu 1376" на соседе gifconfig_gif0="10.10.10.6 10.10.10.15" ifconfig_gif0="inet 192.168.73.2 192.168.73.1 netmask 255.255.255.0 mtu 1376" gifconfig_gif1="212.154.141.35 212.154.141.34" ifconfig_gif1="inet 192.168.101.1 192.168.101.2 netmask 255.255.255.0 mtu 1376" на соседе gifconfig_gif1="212.154.141.34 212.154.141.35" ifconfig_gif1="inet 192.168.101.2 192.168.101.1 netmask 255.255.255.0 mtu 1376" Используйте маски /24 , я помню у меня была как-то проблема с сетками /30 Zebra interface gif0 ip ospf network point-to-point ip ospf cost 10 ip ospf mtu-ignore ! interface gif1 ip ospf network point-to-point ip ospf cost 20 ip ospf mtu-ignore ! router ospf ospf router-id 192.168.100.1 redistribute connected redistribute static network 192.168.100.0/24 area 0 network 192.168.73.0/24 area 0 network 192.168.101.0/24 area 0 ! log file /var/log/quagga/ospfd.log на соседе interface gif0 ip ospf network point-to-point ip ospf cost 10 ip ospf mtu-ignore ! interface gif1 ip ospf network point-to-point ip ospf cost 20 ip ospf mtu-ignore ! router ospf ospf router-id 192.168.72.1 redistribute connected redistribute static network 192.168.72.0/24 area 0 network 192.168.73.0/24 area 0 network 192.168.101.0/24 area 0 ! log file /var/log/quagga/ospfd.log Подключитесь с демону и посмотрите 1. Что на туннелях запустилась маршрутизация sh ip ospf interface 2. Что соседи нашлись sh ip ospf neighbor 3. Что все хорошо и маршруты получены sh ip ospf route
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	25. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 04-Авг-10, 16:02
	>gifconfig_gif1="212.154.141.35 212.154.141.34" >ifconfig_gif1="inet 192.168.101.1 192.168.101.2 netmask 255.255.255.0 mtu 1376" >на соседе >gifconfig_gif1="212.154.141.34 212.154.141.35" >ifconfig_gif1="inet 192.168.101.2 192.168.101.1 netmask 255.255.255.0 mtu 1376" почему то на этой строчки: inet 192.168.101.2 192.168.101.1 netmask 255.255.255.0 mtu 1376 выкидывает кернел паник и уходит в ребут ) записал в rc.conf даже загружаться не захотела система... а 101 и 73 сеть нигде прописывать не надо?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	26. "IPSec + резервный канал."	+/–
	Сообщение от Zl0 (ok) on 04-Авг-10, 17:14
	>а 101 и 73 сеть нигде прописывать не надо? Что значит прописывать? Вы используете эти сети для адресации внутри туннеля, в rc.conf добавлять их нужно.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	27. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 05-Авг-10, 07:22
	>>а 101 и 73 сеть нигде прописывать не надо? > >Что значит прописывать? >Вы используете эти сети для адресации внутри туннеля, в rc.conf добавлять их >нужно. я имел в виду только на gif интерфейсах? кстати, а если мне понадобиться добавить еще парочку таких же офисов, можно использовать эти же сети? например следующий айпи 101.3 и 73.3 ? кстати, а можно ли сделать так: gifconfig_gif0="10.10.10.15 10.10.10.6" ifconfig_gif0="inet 192.168.73.1 192.168.101.2 netmask 255.255.255.0 mtu 1376" на соседе gifconfig_gif0="10.10.10.6 10.10.10.15" ifconfig_gif0="inet 192.168.101.1 192.168.73.1 netmask 255.255.255.0 mtu 1376" gifconfig_gif1="212.154.141.35 212.154.141.34" ifconfig_gif1="inet 192.168.101.1 192.168.73.2 netmask 255.255.255.0 mtu 1376" на соседе gifconfig_gif1="212.154.141.34 212.154.141.35" ifconfig_gif1="inet 192.168.73.2 192.168.101.1 netmask 255.255.255.0 mtu 1376" при той настройки которую писали вы, у сервака кернал паник начинается...
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	28. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 11-Авг-10, 16:21
	>[оверквотинг удален] >>gifconfig_gif1="212.154.141.34 212.154.141.35" >>ifconfig_gif1="inet 192.168.101.2 192.168.101.1 netmask 255.255.255.0 mtu 1376" > >почему то на этой строчки: >inet 192.168.101.2 192.168.101.1 netmask 255.255.255.0 mtu 1376 > >выкидывает кернел паник и уходит в ребут ) >записал в rc.conf даже загружаться не захотела система... > >а 101 и 73 сеть нигде прописывать не надо? в общем после перехода на более новое ядро паники удалось избежать. через 1 интерфейс завязалось, но через второй в логах такая вот байда: 2010/08/11 18:26:37 OSPF: *** sendmsg in ospf_write failed to 224.0.0.5, id 0, off 0, len 64, interface gif10, mtu 1500: Input/output error вот настройки самого интерфейса: gif10: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500         tunnel inet 192.168.100.10 --> 212.154.141.35         inet 192.168.101.2 --> 192.168.101.1 netmask 0xffffff00 может это из-за того, что с одной стороны туннеля внутренний адрес?
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	29. "IPSec + резервный канал."	+/–
	Сообщение от Zl0 (ok) on 11-Авг-10, 18:59
	>gif10: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500 >        tunnel inet 192.168.100.10 --> 212.154.141.35 >        inet 192.168.101.2 --> 192.168.101.1 netmask 0xffffff00 > >может это из-за того, что с одной стороны туннеля внутренний адрес? Да в принципе какая разница какой там адрес висит, главное чтоб связь была между этими сетками. А связь то кстати есть по этому туннелю,все нормально ipsec работает?? tcpdumpом смотрели что внутри тоннеля бегает?? Что кстати sh ip ospf interface на этом интерфейсе показывает??
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	30. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 12-Авг-10, 11:45
	>>gif10: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1500 >>        tunnel inet 192.168.100.10 --> 212.154.141.35 >>        inet 192.168.101.2 --> 192.168.101.1 netmask 0xffffff00 >> >>может это из-за того, что с одной стороны туннеля внутренний адрес? > >Да в принципе какая разница какой там адрес висит, главное чтоб связь >была между этими сетками. А связь то кстати есть по этому >туннелю,все нормально ipsec работает?? tcpdumpом смотрели что внутри тоннеля бегает?? Что >кстати sh ip ospf interface на этом интерфейсе показывает?? как-то не правильно работает ospf, потому что если я прописываю 1 роут в ручную и вырубаю quagga, то все работает прекрасно. Включаю видно обоих соседов и пингуется, но после того, как они обменяются маршрутами, пинги с 1 туннеля пропадает и дохнет второй сосед.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	31. "IPSec + резервный канал."	+/–
	Сообщение от Zl0 (ok) on 12-Авг-10, 15:54
	>[оверквотинг удален] >> >>Да в принципе какая разница какой там адрес висит, главное чтоб связь >>была между этими сетками. А связь то кстати есть по этому >>туннелю,все нормально ipsec работает?? tcpdumpом смотрели что внутри тоннеля бегает?? Что >>кстати sh ip ospf interface на этом интерфейсе показывает?? > >как-то не правильно работает ospf, потому что если я прописываю 1 роут >в ручную и вырубаю quagga, то все работает прекрасно. Включаю видно >обоих соседов и пингуется, но после того, как они обменяются маршрутами, >пинги с 1 туннеля пропадает и дохнет второй сосед. Ну вы хоть бы логи выложили и показали что там внутри демона происходит на интерфейсах и что он получает от соседей.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	32. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 12-Авг-10, 15:58
	> >Ну вы хоть бы логи выложили и показали что там внутри демона >происходит на интерфейсах и что он получает от соседей. вот что в логах творится при старте 2010/08/12 18:08:49 OSPF: interface 192.168.100.10 [1] join AllSPFRouters Multicast group. 2010/08/12 18:08:49 OSPF: ospfTrapIfStateChange trap sent: 192.168.73.2 now Point-To-Point 2010/08/12 18:08:49 OSPF: interface 192.168.73.2 [6] join AllSPFRouters Multicast group. 2010/08/12 18:08:49 OSPF: ospfTrapIfStateChange trap sent: 192.168.101.2 now Point-To-Point 2010/08/12 18:08:49 OSPF: interface 192.168.101.2 [5] join AllSPFRouters Multicast group. 2010/08/12 18:08:49 OSPF: LSA[Type5:0.0.0.0]: Not originate AS-exntenal-LSA for default 2010/08/12 18:08:49 OSPF: Link State Update: Unknown Neighbor 192.168.72.1 on int: gif12:192.168.101.2 2010/08/12 18:08:49 OSPF: Packet[DD]: Neighbor 192.168.72.1: Initial DBD from Slave, ignoring. 2010/08/12 18:08:49 OSPF: Packet[DD]: Neighbor 192.168.72.1 Negotiation done (Master). 2010/08/12 18:08:49 OSPF: Packet[DD]: Neighbor 192.168.72.1: Initial DBD from Slave, ignoring. 2010/08/12 18:08:49 OSPF: Packet[DD]: Neighbor 192.168.72.1 Negotiation done (Master). 2010/08/12 18:08:49 OSPF: nsm_change_state(192.168.72.1, Loading -> Full): scheduling new router-LSA origination 2010/08/12 18:08:49 OSPF: nsm_change_state(192.168.72.1, Exchange -> Full): scheduling new router-LSA origination 2010/08/12 18:08:59 OSPF: *** sendmsg in ospf_write failed to 224.0.0.5, id 0, off 0, len 68, interface gif12, mtu 1376: Input/output error 2010/08/12 18:09:09 OSPF: *** sendmsg in ospf_write failed to 224.0.0.5, id 0, off 0, len 68, interface gif12, mtu 1376: Input/output error
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	33. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 18-Авг-10, 10:01
	>[оверквотинг удален] >2010/08/12 18:08:49 OSPF: Packet[DD]: Neighbor 192.168.72.1: Initial DBD from Slave, ignoring. >2010/08/12 18:08:49 OSPF: Packet[DD]: Neighbor 192.168.72.1 Negotiation done (Master). >2010/08/12 18:08:49 OSPF: Packet[DD]: Neighbor 192.168.72.1: Initial DBD from Slave, ignoring. >2010/08/12 18:08:49 OSPF: Packet[DD]: Neighbor 192.168.72.1 Negotiation done (Master). >2010/08/12 18:08:49 OSPF: nsm_change_state(192.168.72.1, Loading -> Full): scheduling new router-LSA origination >2010/08/12 18:08:49 OSPF: nsm_change_state(192.168.72.1, Exchange -> Full): scheduling new router-LSA origination >2010/08/12 18:08:59 OSPF: *** sendmsg in ospf_write failed to 224.0.0.5, id 0, >off 0, len 68, interface gif12, mtu 1376: Input/output error >2010/08/12 18:09:09 OSPF: *** sendmsg in ospf_write failed to 224.0.0.5, id 0, >off 0, len 68, interface gif12, mtu 1376: Input/output error продолжаю биться головой об стену (((
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

	34. "IPSec + резервный канал."	+/–
	Сообщение от Aidaho (ok) on 24-Авг-10, 12:28
	все, разобрался. Дело оказалось в 1 не правильном маршруте.
	Высказать мнение | Ответить | Правка | ^ | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема