Автор Тема: Vpn routing  (Прочетена 759 пъти)

winnetou

  • Новаци
  • *
  • Публикации: 1
    • Профил
Vpn routing
« -: Jul 28, 2006, 16:16 »
Здравейте,
Ще се опитам да бъда максимално кратък и ясен с проблема:

VPN установен с racoon и вградената подръжка на IPSec. От едната страна на "тунела" стои gateway Федора 5, от другата Линукс съвместимо устройство.

Тунела се изгражда успешно. Пинг работи от произволна машина на едната мрежа към произволна машина на другата мрежа (и обратно).

Проблема е, че:

1. Пинг и всякакви заявки вървят успешно от Федората към машини на другата мрежа.
2. ЕДИНСТВЕНО пинг работи от машини стоящи зад Федората към машини на другата мрежа.

Според мен проблема е в настройките на на iptables и route, а не е свързан с MTU. Но не мога да разбера какво точно пропускам:

Настройки на iptables:

$LOCAL_GW - wuprosnata Fedora
$REMOTE_GW - wuprosnoto Linux suwmestimo ustrojstwo
192.168.x.0/23 - remote LAN
192.168.y.0/24 - local LAN

# Generated by iptables-save v1.3.5 on Thu Jul 27 18:11:01 2006
*mangle
:PREROUTING ACCEPT [953:662425]
:INPUT ACCEPT [859:646970]
:FORWARD ACCEPT [94:15455]
:OUTPUT ACCEPT [920:161181]
:POSTROUTING ACCEPT [1014:176636]
-A PREROUTING -i eth0 -p ipv6-crypt -j MARK --set-mark 0x1
COMMIT
# Completed on Thu Jul 27 18:11:01 2006
# Generated by iptables-save v1.3.5 on Thu Jul 27 18:11:01 2006
*nat
:PREROUTING ACCEPT [69:5073]
:POSTROUTING ACCEPT [66:4168]
:OUTPUT ACCEPT [54:3554]
-A PREROUTING -m state --state RELATED,ESTABLISHED -j ACCEPT
-A PREROUTING -s 192.168.x.0/255.255.254.0 -i eth0 -m mark --mark 0x1 -j ACCEPT
-A POSTROUTING -s 192.168.y.0/255.255.255.0 -d ! 192.168.x.0/255.255.254.0 -o eth0 -j MASQUERADE
COMMIT
# Completed on Thu Jul 27 18:11:01 2006
# Generated by iptables-save v1.3.5 on Thu Jul 27 18:11:01 2006
*filter
:INPUT ACCEPT [33:6591]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [841:137877]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -s $REMOTE_GW -d $LOCAL_GW -i eth0 -p udp -m udp --sport 500 --dport 500 -j ACCEPT
-A INPUT -s $REMOTE_GW -d $LOCAL_GW -i eth0 -p tcp -m tcp --sport 500 --dport 500 -j ACCEPT
-A INPUT -s $REMOTE_GW -d $LOCAL_GW -i eth0 -p ipv6-auth -j ACCEPT
-A INPUT -s $REMOTE_GW -d $LOCAL_GW -i eth0 -p ipv6-crypt -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
-A INPUT -i eth0 -p udp -m udp --dport 500 -j ACCEPT
-A INPUT -i eth0 -m mark --mark 0x1 -j ACCEPT
-A FORWARD -i eth0 -o eth1 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth1 -o eth0 -j ACCEPT
-A FORWARD -j LOG
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -i eth0 -m mark --mark 0x1 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A OUTPUT -s $LOCAL_GW -d $REMOTE_GW -o eth0 -p udp -m udp --sport 500 --dport 500 -j ACCEPT
-A OUTPUT -s $LOCAL_GW -d $REMOTE_GW -o eth0 -p tcp -m tcp --sport 500 --dport 500 -j ACCEPT
-A OUTPUT -s $LOCAL_GW -d $REMOTE_GW -o eth0 -p ipv6-auth -j ACCEPT
-A OUTPUT -s $LOCAL_GW -d $REMOTE_GW -o eth0 -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 21 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 145 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu Jul 27 18:11:01 2006


Пътища:

r.e.m. - remote GW
l.o.c. - local GW

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
l.o.c.0    *               255.255.255.0   U     0      0        0 eth0
192.168.y.0    *           255.255.255.0   U     0      0        0 eth1
192.168.x.0     localGW  . 255.255.254.0   UG    0      0        0 eth0
169.254.0.0     *          255.255.0.0     U     0      0        0 eth1
default         localGW    0.0.0.0         UG    0      0        0 eth0


Предварително благодаря!
Активен

Подобни теми
Заглавие Започната от Отговора Прегледи Последна публикация
routing
Настройка на програми 		lem4o 10 2771 Последна публикация Feb 09, 2004, 20:03
от lem4o
routing
Настройка на програми 		ivo80 3 2123 Последна публикация Apr 08, 2004, 01:34
от biglamer
routing
Настройка на програми 		mozly 7 2701 Последна публикация Jul 26, 2004, 13:48
от
Routing
Настройка на програми 		sapa 1 1249 Последна публикация Oct 26, 2004, 13:40
от
Bridging + Routing
Настройка на програми 		delian123 5 1102 Последна публикация Dec 03, 2004, 00:11
от