Portál AbcLinuxu, 16. července 2025 10:40


Dotaz: ISAKMP

14.6.2006 13:50 Petr
ISAKMP
Přečteno: 232×
Odpovědět | Admin
Ahoj,
Chtel jsem si zkusit vytvorit vpn tunel pres ipsec. Pouzil jsem k tomu demona ISAKMP a nastavoval jsem ho pomoci ruznych how-to a manualu.
Kdyz je spustim, tak vytvori jak bezpecnostni asociaci tak i svazky pravidel (overeno setkey-em) a zdanlive by melo vse fungovat.
Bohuzel, pokud zkusim pingnout z pocitace v jedne siti do druhe, vypise mi to Destination Net Unreachable (vychozi brana je nastavena na stroj s isakmpd). Pokud zkusim pinknout primo ze stroje kde bezi isakmpd, tak se paket zabali do esp a posle se na druhou stranu(zjisteno tcpdump-em), bohuzel se nevrati zpet ( predpokladam, ze to ma primou souvislost s pokusem o ping, jak jsem psal pred chvili).
Netusi nekdo, proc to nechce fungovat ?
Za kazdy tip moc dik
Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

14.6.2006 17:43 imro | skóre: 19 | blog: hovado
Rozbalit Rozbalit vše Re: ISAKMP
Odpovědět | | Sbalit | Link | Blokovat | Admin
Je to uplne jednoduche,preco ti to nejde. V pravidlach mas urcite nastavene,ze ak niekam odosles paket zabaleny do esp, tak ten stroj potom ocakava ako odpoved paket tiez zabaleny do esp. Na druhej strane ti teda chyba router,ktory by to robil,alebo potom nastav na tej druhej masine,ze na komunikaciu s tvojim routrom ma pouzit ipsec. P.S.Dakovat nemusis.
15.6.2006 21:28 Petr
Rozbalit Rozbalit vše Re: ISAKMP
Mam dva stroje, ktery se chovaj jako brany dvou subnetu (za kazdym strojem jedna). Na techto strojich jsem proti sobe pustil isakmpd. Kdyz dam z klienta v urcitem subnetu ping na clienta v druhem subnetu, tak mi to vypise Destination Net Unreachable. Routovani by melo byt nastavene spravne a firewall je vypnutej na vsech strojich. Pokud ale dam na jedne z bran ping na zarizeni v druhem(vzdalenem) subnetu, tak se ten paket do esp zabali a posle, bohuzel nedojde odpoved, protoze ta protilehla brana rekne klientovi u ni v subnetu ze takovou sit nezna (viz hlaska od ping vyse).
16.6.2006 09:44 petr_p
Rozbalit Rozbalit vše Re: ISAKMP
Proste lokalne generovany paket je spravne smerovan zkrs ESP tunel, kdezto pro forwardovany paket neni nalezeno zadne smerovaci pravidlo nebo neni mozne kontaktovat druhou stranu tunelu.

Ja s ESP tunelem zkusenosti nemam, takze muzu akorat odkazat na LARTC, kapitolu 7.3.

Jen tak mimochodem, IP forwarding mate na tech routerech zapnuty?

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.