Здравствуйте, гуру, не бейте сильно, только разбираюсь, подскажите, где накосячил.
Есть два шлюза FreeBSD, на них поднят GRE туннель без ipsec. Внутренние сети имеют вид типа 192.168.0.0 и 192.168.10.0. С шлюзов я пингую внутренние адреса сетевой карты противоположного шлюза, к примеру с шлюза 192.168.0.1 идет пинг до шлюза 192.168.10.1, но не могу пинговать устройства, которые стоят за этим шлюзом, к примеру адрес второй внутренней сети 192.168.10.100. Подскажите, в чем проблема?
> Здравствуйте, гуру, не бейте сильно, только разбираюсь, подскажите, где накосячил.
> Есть два шлюза FreeBSD, на них поднят GRE туннель без ipsec. Внутренние
> сети имеют вид типа 192.168.0.0 и 192.168.10.0. С шлюзов я пингую
> внутренние адреса сетевой карты противоположного шлюза, к примеру с шлюза 192.168.0.1
> идет пинг до шлюза 192.168.10.1, но не могу пинговать устройства, которые
> стоят за этим шлюзом, к примеру адрес второй внутренней сети 192.168.10.100.
> Подскажите, в чем проблема?Нет маршрутов.
>> Здравствуйте, гуру, не бейте сильно, только разбираюсь, подскажите, где накосячил.
>> Есть два шлюза FreeBSD, на них поднят GRE туннель без ipsec. Внутренние
>> сети имеют вид типа 192.168.0.0 и 192.168.10.0. С шлюзов я пингую
>> внутренние адреса сетевой карты противоположного шлюза, к примеру с шлюза 192.168.0.1
>> идет пинг до шлюза 192.168.10.1, но не могу пинговать устройства, которые
>> стоят за этим шлюзом, к примеру адрес второй внутренней сети 192.168.10.100.
>> Подскажите, в чем проблема?
> Нет маршрутов.Да, я понял что нет маршрутов, а может кто-нибудь подсказать как правильно указывать их?
Я прописал маршрут route add -net 192.168.10.0/24 x.x.x.x(внешний IP) и тогда я смог пинговать 192.168.10.1 с адреса 192.168.0.1. Какие маршруты надо прописать чтобы видеть дальше устройства за шлюзом?
> Здравствуйте, гуру, не бейте сильно, только разбираюсь, подскажите, где накосячил.
> Есть два шлюза FreeBSD, на них поднят GRE туннель без ipsec. Внутренние
> сети имеют вид типа 192.168.0.0 и 192.168.10.0. С шлюзов я пингую
> внутренние адреса сетевой карты противоположного шлюза, к примеру с шлюза 192.168.0.1
> идет пинг до шлюза 192.168.10.1, но не могу пинговать устройства, которые
> стоят за этим шлюзом, к примеру адрес второй внутренней сети 192.168.10.100.
> Подскажите, в чем проблема?Не спец во фре, но если по аналогии с линуксом, то по идее должен быть включен форвардинг и прописаны соответствующие маршруты на шлюзах. Ну и адекватно настроен фаервол.
>[оверквотинг удален]
>> Здравствуйте, гуру, не бейте сильно, только разбираюсь, подскажите, где накосячил.
>> Есть два шлюза FreeBSD, на них поднят GRE туннель без ipsec. Внутренние
>> сети имеют вид типа 192.168.0.0 и 192.168.10.0. С шлюзов я пингую
>> внутренние адреса сетевой карты противоположного шлюза, к примеру с шлюза 192.168.0.1
>> идет пинг до шлюза 192.168.10.1, но не могу пинговать устройства, которые
>> стоят за этим шлюзом, к примеру адрес второй внутренней сети 192.168.10.100.
>> Подскажите, в чем проблема?
> Не спец во фре, но если по аналогии с линуксом, то по
> идее должен быть включен форвардинг и прописаны соответствующие маршруты на шлюзах.
> Ну и адекватно настроен фаервол.
> Подскажите, в чем проблема?сначала проверьте есть ли маршрут, потом настройки файера...
>> Подскажите, в чем проблема?
> сначала проверьте есть ли маршрут, потом настройки файера...прописал маршрут route add -net 192.168.10.0/24 x.x.x.x(внешний IP) и тогда я смог пинговать 192.168.10.1 с адреса 192.168.0.1. Какие маршруты надо прописать чтобы видеть дальше устройства за шлюзом?
>>> Подскажите, в чем проблема?
>> сначала проверьте есть ли маршрут, потом настройки файера...
> прописал маршрут route add -net 192.168.10.0/24 x.x.x.x(внешний IP) и тогда я смог
> пинговать 192.168.10.1 с адреса 192.168.0.1. Какие маршруты надо прописать чтобы видеть
> дальше устройства за шлюзом?читать до полного понимания, желательно все части
https://habrahabr.ru/post/140552/
>>>> Подскажите, в чем проблема?
>>> сначала проверьте есть ли маршрут, потом настройки файера...
>> прописал маршрут route add -net 192.168.10.0/24 x.x.x.x(внешний IP) и тогда я смог
>> пинговать 192.168.10.1 с адреса 192.168.0.1. Какие маршруты надо прописать чтобы видеть
>> дальше устройства за шлюзом?
> читать до полного понимания, желательно все части
> https://habrahabr.ru/post/140552/Прочитал, не нашел ответа на вопрос почему после настройки маршрутов внутренний IP шлюза пингуется, а за шлюзом пинга нет
> Прочитал, не нашел ответа на вопрос почему после настройки маршрутов внутренний IP
> шлюза пингуется, а за шлюзом пинга нетэто печально, значит тебе не дано понять базовае принципы работы сетей, увы
найми профи-одмина, за деньги
предложи оному одмину за ещё большие деньги обучить тебя азам сетей на пальцах
>> Прочитал, не нашел ответа на вопрос почему после настройки маршрутов внутренний IP
>> шлюза пингуется, а за шлюзом пинга нет
> это печально, значит тебе не дано понять базовае принципы работы сетей, увы
> найми профи-одмина, за деньги
> предложи оному одмину за ещё большие деньги обучить тебя азам сетей на
> пальцахЧто ты умника из себя строишь =))) ?? в статье все понятно написано, но там нет решения моей проблемы. =)))
>>>>> Подскажите, в чем проблема?
>>>> сначала проверьте есть ли маршрут, потом настройки файера...
>>> прописал маршрут route add -net 192.168.10.0/24 x.x.x.x(внешний IP) и тогда я смог
>>> пинговать 192.168.10.1 с адреса 192.168.0.1. Какие маршруты надо прописать чтобы видеть
>>> дальше устройства за шлюзом?
>> читать до полного понимания, желательно все части
>> https://habrahabr.ru/post/140552/
> Прочитал, не нашел ответа на вопрос почему после настройки маршрутов внутренний IP
> шлюза пингуется, а за шлюзом пинга нетПотому что вы настроили не то и не там.
>>>>>> Подскажите, в чем проблема?
>>>>> сначала проверьте есть ли маршрут, потом настройки файера...
>>>> прописал маршрут route add -net 192.168.10.0/24 x.x.x.x(внешний IP) и тогда я смог
>>>> пинговать 192.168.10.1 с адреса 192.168.0.1. Какие маршруты надо прописать чтобы видеть
>>>> дальше устройства за шлюзом?
>>> читать до полного понимания, желательно все части
>>> https://habrahabr.ru/post/140552/
>> Прочитал, не нашел ответа на вопрос почему после настройки маршрутов внутренний IP
>> шлюза пингуется, а за шлюзом пинга нет
> Потому что вы настроили не то и не там.о да, лучший ответ, а я не догадался без вас, что не там не то настроил.
>[оверквотинг удален]
>>>>> прописал маршрут route add -net 192.168.10.0/24 x.x.x.x(внешний IP) и тогда я смог
>>>>> пинговать 192.168.10.1 с адреса 192.168.0.1. Какие маршруты надо прописать чтобы видеть
>>>>> дальше устройства за шлюзом?
>>>> читать до полного понимания, желательно все части
>>>> https://habrahabr.ru/post/140552/
>>> Прочитал, не нашел ответа на вопрос почему после настройки маршрутов внутренний IP
>>> шлюза пингуется, а за шлюзом пинга нет
>> Потому что вы настроили не то и не там.
> о да, лучший ответ, а я не догадался без вас, что
> не там не то настроил.Вместо того чтобы показать ifconfig -a и netstat -rn,
Вы сначала:
- обвинили форумы RUNet в тупости (что можно ожидать после этого?)
- затем стали огрызаться...Сами себя поставили в неудобное положение...
>[оверквотинг удален]
>>>> Прочитал, не нашел ответа на вопрос почему после настройки маршрутов внутренний IP
>>>> шлюза пингуется, а за шлюзом пинга нет
>>> Потому что вы настроили не то и не там.
>> о да, лучший ответ, а я не догадался без вас, что
>> не там не то настроил.
> Вместо того чтобы показать ifconfig -a и netstat -rn,
> Вы сначала:
> - обвинили форумы RUNet в тупости (что можно ожидать после этого?)
> - затем стали огрызаться...
> Сами себя поставили в неудобное положение...Тема того что на российских IT форумах сложно получить ответ уже стала анекдотичной =( и это крайний вариант отчаяния, когда ищешь там решение...
Еслиб вы подсказали, я бы был вам искренне признателен. Выше ошибся с написанием, я прописываю маршрут не к внешнему адресу, а естественно адрес шлюза в тунеле: route add -net 192.168.0.0/24 192.168.254.10 , тогда могу пинговать шлюз 192.168.0.10, но дальше, за него, маршрут не проходит.
netstat -nr
Routing tablesInternet:
Destination Gateway Flags Netif Expire
default y.y.y.y UGS rl0
x.x.x.x/29 link#2 U rl0
z.z.z.z link#2 UHS lo0
127.0.0.1 link#3 UH lo0
192.168.0.0/24 192.168.254.10 UGS gre0
192.168.16.0/24 link#1 U em0
192.168.16.12 link#1 UHS lo0
192.168.254.10 link#4 UH gre0
192.168.254.12 link#4 UHS lo0Internet6:
Destination Gateway Flags Netif Expire
::/96 ::1 UGRS lo0
::1 link#3 UH lo0
::ffff:0.0.0.0/96 ::1 UGRS lo0
fe80::/10 ::1 UGRS lo0
fe80::%lo0/64 link#3 U lo0
fe80::1%lo0 link#3 UHS lo0
fe80::%gre0/64 link#4 U gre0
fe80::222:4dff:fea1:3bf5%gre0 link#4 UHS lo0
ff02::/16 ::1 UGRS lo0
ifconfig -a
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=4219b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM,TSO4,WOL_MAGIC,VLAN_HWTSO>
ether 00:22:4d:a1:3b:f5
inet 192.168.16.12 netmask 0xffffff00 broadcast 192.168.16.255
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
media: Ethernet autoselect (1000baseT <full-duplex>)
status: active
rl0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=2008<VLAN_MTU,WOL_MAGIC>
ether 00:e0:4c:60:74:36
inet z.z.z.z netmask 0xfffffff8 broadcast d.d.d.d
nd6 options=29<PERFORMNUD,IFDISABLED,AUTO_LINKLOCAL>
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
options=600003<RXCSUM,TXCSUM,RXCSUM_IPV6,TXCSUM_IPV6>
inet6 ::1 prefixlen 128
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet 127.0.0.1 netmask 0xff000000
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
groups: lo
gre0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1476
options=80000<LINKSTATE>
tunnel inet z.z.z.z --> s.s.s.s
inet 192.168.254.12 --> 192.168.254.10 netmask 0xffffff00
inet6 fe80::222:4dff:fea1:3bf5%gre0 prefixlen 64 scopeid 0x4
nd6 options=21<PERFORMNUD,AUTO_LINKLOCAL>
groups: gre
> Еслиб вы подсказали, я бы был вам искренне признателен. Выше ошибся с
> написанием, я прописываю маршрут не к внешнему адресу, а естественно адрес
> шлюза в тунеле: route add -net 192.168.0.0/24 192.168.254.10 , тогда могу
> пинговать шлюз 192.168.0.10, но дальше, за него, маршрут не проходит.
> netstat -nr[cut]
> ifconfig -a[cut]
смотреть настройки интерфейсов и таблицы маршрутизации надо не на одном хосте, а на всех четырех, участвующих в обмене (и это как минимум, возможно что для хостов 1/2 фря1/2 не является дефолтным роутером, тогда возможно потребуется смотреть/прописывать на маршруты на дефолтных роутерах этих хостов).
Хост1---Фря1==туннель==Фря2----Хост2
Пока вы не осознаете, как бегают пакетики и туда и обратно, у вас будут проблемы с маршрутизацией.
[ИМХО]
>Тема того что на российских IT форумах сложно получить ответ уже стала анекдотичной
Люди, которые имеют уровень знаний, приходят сюда чтобы:
- поделиться знаниями, чему-то научить - повысить чей-то уровень знаний.
- найти для себя интересные проблемы, помочь их решить и повысить _свой_ уровень знаний, а не ваш.Проблема, озвученная в теме, разжевана на тысячи раз, и рассказывать это по сотому кругу у участников форумов рунета желания обычно нет.
Разжевывание очевидных вещей только тратит время, но уровень знаний не повышает, поэтому мало кому интересно.
Ссылки на внятные статьи вроде как здесь уже приводили, раз они вам не помогли - то вам большего наверное тут ожидать и нечего. Такие как вы приходят сюда разово, ожидают что им всё разжуют, при этом показывают очень слабые знания в области и прикладывают минимум усилий чтобы их повысить. При этом показывают также неготовность задумываться и отвечать на задаваемые вопросы, считая что ответ должен содержать только ответ, причем сразу, и без дополнительных вопросов. Это показатель низкой обучаемости - кому надо с этим возиться?
Возникает несоответствие целей и полученного результата, и я считаю, что это проблема не отвечающих, а задающих вопросы.
Здесь согласны обучать, а не решать чужие проблемы.
[/ИМХО]
>[оверквотинг удален]
> Такие как вы приходят сюда разово, ожидают что им всё разжуют,
> при этом показывают очень слабые знания в области и прикладывают минимум
> усилий чтобы их повысить. При этом показывают также неготовность задумываться и
> отвечать на задаваемые вопросы, считая что ответ должен содержать только ответ,
> причем сразу, и без дополнительных вопросов. Это показатель низкой обучаемости
> - кому надо с этим возиться?
> Возникает несоответствие целей и полученного результата, и я считаю, что это проблема
> не отвечающих, а задающих вопросы.
> Здесь согласны обучать, а не решать чужие проблемы.
> [/ИМХО]я все отлично понимаю как бегаю пакетики =)) на втором узле такая же конфигурация!! Проблему видите??
>[оверквотинг удален]
>> усилий чтобы их повысить. При этом показывают также неготовность задумываться и
>> отвечать на задаваемые вопросы, считая что ответ должен содержать только ответ,
>> причем сразу, и без дополнительных вопросов. Это показатель низкой обучаемости
>> - кому надо с этим возиться?
>> Возникает несоответствие целей и полученного результата, и я считаю, что это проблема
>> не отвечающих, а задающих вопросы.
>> Здесь согласны обучать, а не решать чужие проблемы.
>> [/ИМХО]
> я все отлично понимаю как бегаю пакетики =)) на втором узле
> такая же конфигурация!! Проблему видите??если человек "отлично понимающий как бегают пакетики" задает подобные топику вопросы... что же думать о тех кто помогает ему решать проблему с потерявшимися в пути пакетиками? Боги?
>[оверквотинг удален]
>>> - кому надо с этим возиться?
>>> Возникает несоответствие целей и полученного результата, и я считаю, что это проблема
>>> не отвечающих, а задающих вопросы.
>>> Здесь согласны обучать, а не решать чужие проблемы.
>>> [/ИМХО]
>> я все отлично понимаю как бегаю пакетики =)) на втором узле
>> такая же конфигурация!! Проблему видите??
> если человек "отлично понимающий как бегают пакетики" задает подобные топику вопросы...
> что же думать о тех кто помогает ему решать проблему с
> потерявшимися в пути пакетиками? Боги?проблема решена, маршрутизация и тунели были настроены корректно
>[оверквотинг удален]
> Такие как вы приходят сюда разово, ожидают что им всё разжуют,
> при этом показывают очень слабые знания в области и прикладывают минимум
> усилий чтобы их повысить. При этом показывают также неготовность задумываться и
> отвечать на задаваемые вопросы, считая что ответ должен содержать только ответ,
> причем сразу, и без дополнительных вопросов. Это показатель низкой обучаемости
> - кому надо с этим возиться?
> Возникает несоответствие целей и полученного результата, и я считаю, что это проблема
> не отвечающих, а задающих вопросы.
> Здесь согласны обучать, а не решать чужие проблемы.
> [/ИМХО]скаие ссылки?? что за бред?? кинули ссылку на общую маршрутизацию и настройку gif под ipsec? когда я в самом начале пишу что настраиваю маршрутизацию gre и именно с ней проблема!! что за бред?? вы сами видели эти ссылки?? где там про маршрутизацию gre? не надо кидать мне про марштрутизацию gif!! Я описал КОНКРЕТНУЮ проблему, вы хоть видите что за бред мне прислали почитать?? Каким местом это относится к этой конкретной проблеме?*?
>>>> Подскажите, в чем проблема?
>>> сначала проверьте есть ли маршрут, потом настройки файера...
>> прописал маршрут route add -net 192.168.10.0/24 x.x.x.x(внешний IP) и тогда я смог
>> пинговать 192.168.10.1 с адреса 192.168.0.1. Какие маршруты надо прописать чтобы видеть
>> дальше устройства за шлюзом?
> читать до полного понимания, желательно все части
> https://habrahabr.ru/post/140552/
Российские форумы самые тупые конечно... зачем отвечать если нет ответа, и так понятно что нужна маршрутизация, но какая именно конечно сказать не могут, но написать об это надо....
> Российские форумы самые тупые конечно...А тут умных обычно очень мало.
Читать нынче не модно, думать нынче не модно.
Модно писать вопросы и ждать готовых решений с учетом всех возможных нюансов.> зачем отвечать если нет ответа,
Покажи класс, где посмотреть на твои ответы?
> и так понятно что нужна маршрутизация, но какая именно конечно сказать не могут,
> но написать об это надо....А какая ("какая именно") она бывает?
Чет я не понимаю чего-то, видимо.
>[оверквотинг удален]
>> Российские форумы самые тупые конечно...
> А тут умных обычно очень мало.
> Читать нынче не модно, думать нынче не модно.
> Модно писать вопросы и ждать готовых решений с учетом всех возможных нюансов.
>> зачем отвечать если нет ответа,
> Покажи класс, где посмотреть на твои ответы?
>> и так понятно что нужна маршрутизация, но какая именно конечно сказать не могут,
>> но написать об это надо....
> А какая ("какая именно") она бывает?
> Чет я не понимаю чего-то, видимо.
> Здравствуйте, гуру, не бейте сильно, только разбираюсь, подскажите, где накосячил.
> Есть два шлюза FreeBSD, на них поднят GRE туннель без ipsec. Внутренние
> сети имеют вид типа 192.168.0.0 и 192.168.10.0. С шлюзов я пингую
> внутренние адреса сетевой карты противоположного шлюза, к примеру с шлюза 192.168.0.1
> идет пинг до шлюза 192.168.10.1, но не могу пинговать устройства, которые
> стоят за этим шлюзом, к примеру адрес второй внутренней сети 192.168.10.100.
> Подскажите, в чем проблема?
>> Здравствуйте, гуру, не бейте сильно, только разбираюсь, подскажите, где накосячил.
>> Есть два шлюза FreeBSD, на них поднят GRE туннель без ipsec. Внутренние
>> сети имеют вид типа 192.168.0.0 и 192.168.10.0. С шлюзов я пингую
>> внутренние адреса сетевой карты противоположного шлюза, к примеру с шлюза 192.168.0.1
>> идет пинг до шлюза 192.168.10.1, но не могу пинговать устройства, которые
>> стоят за этим шлюзом, к примеру адрес второй внутренней сети 192.168.10.100.
>> Подскажите, в чем проблема?В голове... Почитайте https://www.freebsd.org/doc/ru/books/handbook/ipsec.html, там все хорошо расписано...
>>> Здравствуйте, гуру, не бейте сильно, только разбираюсь, подскажите, где накосячил.
>>> Есть два шлюза FreeBSD, на них поднят GRE туннель без ipsec. Внутренние
>>> сети имеют вид типа 192.168.0.0 и 192.168.10.0. С шлюзов я пингую
>>> внутренние адреса сетевой карты противоположного шлюза, к примеру с шлюза 192.168.0.1
>>> идет пинг до шлюза 192.168.10.1, но не могу пинговать устройства, которые
>>> стоят за этим шлюзом, к примеру адрес второй внутренней сети 192.168.10.100.
>>> Подскажите, в чем проблема?
> В голове... Почитайте https://www.freebsd.org/doc/ru/books/handbook/ipsec.html,
> там все хорошо расписано...почитал, там не gre, а gif и там другое правило маршрутизации соответственно прописывается, там сразу указывается локальный ip, а в gre указывается адрес подсети и пока разбирался в проблеме наткнулся на следующую статью и маршрутизация настроена там как у меня http://www.cyberforum.ru/freebsd/thread1242412.html разницу заметно?
>>> Здравствуйте, гуру, не бейте сильно, только разбираюсь, подскажите, где накосячил.
>>> Есть два шлюза FreeBSD, на них поднят GRE туннель без ipsec. Внутренние
>>> сети имеют вид типа 192.168.0.0 и 192.168.10.0. С шлюзов я пингую
>>> внутренние адреса сетевой карты противоположного шлюза, к примеру с шлюза 192.168.0.1
>>> идет пинг до шлюза 192.168.10.1, но не могу пинговать устройства, которые
>>> стоят за этим шлюзом, к примеру адрес второй внутренней сети 192.168.10.100.
>>> Подскажите, в чем проблема?
> В голове... Почитайте https://www.freebsd.org/doc/ru/books/handbook/ipsec.html,
> там все хорошо расписано...кстати по этой статье я раньше как-то и настраивал, но сейчас я хотел поднять на gre и возникли траблы с маршрутизацией и увы какое-то одно хамство на форуме =( я по ходу зря в начале про гуру написал... почему-то многие откоментившие подумали это про себя...
>[оверквотинг удален]
>>>> внутренние адреса сетевой карты противоположного шлюза, к примеру с шлюза 192.168.0.1
>>>> идет пинг до шлюза 192.168.10.1, но не могу пинговать устройства, которые
>>>> стоят за этим шлюзом, к примеру адрес второй внутренней сети 192.168.10.100.
>>>> Подскажите, в чем проблема?
>> В голове... Почитайте https://www.freebsd.org/doc/ru/books/handbook/ipsec.html,
>> там все хорошо расписано...
> кстати по этой статье я раньше как-то и настраивал, но сейчас я
> хотел поднять на gre и возникли траблы с маршрутизацией и увы
> какое-то одно хамство на форуме =( я по ходу зря в
> начале про гуру написал... почему-то многие откоментившие подумали это про себя...И вот опять вы хамите и пытаетесь оскорбить собеседников, у которых просите помощи. странное поведение надо сказать. Между тем, у людей - то что надо - работает...
Вам нужно, проверить, что пакет - приходит на узел за хопом.
как проверить? tcpdump
если пакет пришел - то проверить есть ли обратный маршрут на узле (или срабатывает ли корректно маршрут по умолчанию на узле для шлюза. маршрут по умолчанию должен отсылать на шлюз а на шлюзе с той стороны тунеля должен быть маршрут на эту сеть)
если пакет не пришел - смотреть файрвол или смотреть разрешена ли передача пакетов между интерфейсами тунеля и серой сети за шлюзом
это же очевидно и элементарно....
>[оверквотинг удален]
> что надо - работает...
> Вам нужно, проверить, что пакет - приходит на узел за хопом.
> как проверить? tcpdump
> если пакет пришел - то проверить есть ли обратный маршрут на узле
> (или срабатывает ли корректно маршрут по умолчанию на узле для шлюза.
> маршрут по умолчанию должен отсылать на шлюз а на шлюзе с
> той стороны тунеля должен быть маршрут на эту сеть)
> если пакет не пришел - смотреть файрвол или смотреть разрешена ли передача
> пакетов между интерфейсами тунеля и серой сети за шлюзом
> это же очевидно и элементарно....да, я и просил отписываться специалистов по этому вопросу, может кто в курсе конкретной проблемы, а не кидать мне статьи на маршрутизацию cisco-freebsd, и настройку gif туннеля под ipsec, когда я настраиваю gre без ipsec, это и удивляет что люди подумали что они гуру и стали бред мне писать =( серьезно, я с реальной проблемой обратился. Если прочитаете что я писал, то поймете, что маршрутизация и передача между интерфейсами настроена... во всяком случае нашел как и у себя ситуацию, но там нет проблемы потери маршрута за удаленным узлом туннеля http://www.cyberforum.ru/freebsd/thread1242412.html
>[оверквотинг удален]
>> это же очевидно и элементарно....
> да, я и просил отписываться специалистов по этому вопросу, может кто в
> курсе конкретной проблемы, а не кидать мне статьи на маршрутизацию cisco-freebsd,
> и настройку gif туннеля под ipsec, когда я настраиваю gre без
> ipsec, это и удивляет что люди подумали что они гуру и
> стали бред мне писать =( серьезно, я с реальной проблемой обратился.
> Если прочитаете что я писал, то поймете, что маршрутизация и передача
> между интерфейсами настроена... во всяком случае нашел как и у себя
> ситуацию, но там нет проблемы потери маршрута за удаленным узлом туннеля
> http://www.cyberforum.ru/freebsd/thread1242412.htmlНу вот у меня -такой проблемы не возникает. И у других людей не возникает. И если у вас возникает - то винить в том надо не меня. или тех кто вам помогает на форуме, а собственную самоуверенность.
Вы что-то делаете неправильно, причем нечто такое - чего вы похоже основательно недопонимаете и что очень очевидно и банально.Как и что проверять я уже написал.
Вы запустили tcpdump на хостах? проследили путь пакета? пакет входящий пинга на машину в локальной сети за хопом приходит?
если да- то есть ли исходящий?
если нет - то а со шлюза- с того конца - он выходит?
в каком месте пакет теряется на пути своего следования?
>> В голове... Почитайте https://www.freebsd.org/doc/ru/books/handbook/ipsec.html,
>> там все хорошо расписано...
> кстати по этой статье я раньше как-то и настраивал, но сейчас я
> хотел поднять на gre и возникли траблы с маршрутизацией и увы
> какое-то одно хамство на форуме =( я по ходу зря в
> начале про гуру написал... почему-то многие откоментившие подумали это про себя...У вас что-то явно с головой или знаниями, vpn на базе ipsec отличается от простой инкапсуляции(gre) только одним - шифрованием тоннеля или пакетов в нем
>>> В голове... Почитайте https://www.freebsd.org/doc/ru/books/handbook/ipsec.html,
>>> там все хорошо расписано...
>> кстати по этой статье я раньше как-то и настраивал, но сейчас я
>> хотел поднять на gre и возникли траблы с маршрутизацией и увы
>> какое-то одно хамство на форуме =( я по ходу зря в
>> начале про гуру написал... почему-то многие откоментившие подумали это про себя...
> У вас что-то явно с головой или знаниями, vpn на базе
> ipsec отличается от простой инкапсуляции(gre) только одним - шифрованием тоннеля
> или пакетов в немУ вас что-то с головой или знаниями ipsec. Это про вас: "читаю книгу, вижу фигу", настройка маршрутизации gre и gif туннелей не имеет никаких различий?? я в начале написал что возникла проблема маршрутизации тунеля GRE без IPSEC, специально это указал, нет нашелся особо одаренный приславший статью про ipsec под gif =( что в бошке у коментирующих??
>настройка маршрутизации gre и gif туннелей не имеет никаких различий??Вы наверное не поверите, но, различий таки нет.
>>настройка маршрутизации gre и gif туннелей не имеет никаких различий??
> Вы наверное не поверите, но, различий таки нет.Вы наверно не поверите, но маршрутизация в gif настраивается следующим образом:
route add 192.168.2.0 192.168.2.1 netmask 0xffffff00 где 192.168.2.1 -адрес шлюза ЛОКАЛЬНОЙ сети на конечном узле туннеляа в GRE указываются 2-а статических маршрута:
ip route 0.0.0.0 0.0.0.0 100.0.0.2
ip route 192.168.2.0 255.255.255.255 10.2.2.2 , где 10.2.2.2 - адрес узла туннеля GREэ-э-э... точно различий не видите?
>>>настройка маршрутизации gre и gif туннелей не имеет никаких различий??
>> Вы наверное не поверите, но, различий таки нет.
> Вы наверно не поверите, но маршрутизация в gif настраивается следующим образом:
> route add 192.168.2.0 192.168.2.1 netmask 0xffffff00 где 192.168.2.1 -адрес шлюза ЛОКАЛЬНОЙ
> сети на конечном узле туннеля
> а в GRE указываются 2-а статических маршрута:
> ip route 0.0.0.0 0.0.0.0 100.0.0.2
> ip route 192.168.2.0 255.255.255.255 10.2.2.2 , где 10.2.2.2 - адрес узла туннеля
> GRE
> э-э-э... точно различий не видите?когда вы наконец возьмете в руки tcpdump и проследите путь пакета по всей цепочке- вы поймете, что указанное вами "различие" - не имеет ни какого значения для вашей проблемы.
>[оверквотинг удален]
>> route add 192.168.2.0 192.168.2.1 netmask 0xffffff00 где 192.168.2.1 -адрес шлюза ЛОКАЛЬНОЙ
>> сети на конечном узле туннеля
>> а в GRE указываются 2-а статических маршрута:
>> ip route 0.0.0.0 0.0.0.0 100.0.0.2
>> ip route 192.168.2.0 255.255.255.255 10.2.2.2 , где 10.2.2.2 - адрес узла туннеля
>> GRE
>> э-э-э... точно различий не видите?
> когда вы наконец возьмете в руки tcpdump и проследите путь пакета по
> всей цепочке- вы поймете, что указанное вами "различие" - не имеет
> ни какого значения для вашей проблемы.Большое Вам спасибо за помощь, искренне признателен, извините если мой язвительный тон доставил не удобства, поиск проблемы при помощи tcpdump решил ее!! Большое спасибо что подсказали чем копать!! Оказалось что маршруты и туннели на обоих шлюзах настроены верно, а вот уже за самими шлюзами пакеты отбрасывались фаерволом, потому-что приходили из других сетей, естественно верная настройка маршрутов никак не решала проблему блокировки виндовым фаерволом за шлюзом, вобщем по уму как я понимаю весь трафик надо правильно натить, чтобы избежать подобных проблем. Всего Вам доброго и еще раз спасибо что рассмотрели и помогли решить проблему!!
> Вы наверно не поверите, но маршрутизация в gif настраивается следующим образом:
> route add 192.168.2.0 192.168.2.1 netmask 0xffffff00 где 192.168.2.1 -адрес шлюза
> сети на конечном узле туннеля
> а в GRE указываются 2-а статических маршрута:
> ip route 0.0.0.0 0.0.0.0 100.0.0.2
> ip route 192.168.2.0 255.255.255.255 10.2.2.2 , где 10.2.2.2 - адрес узла туннеля
> GRE
> э-э-э... точно различий не видите?У вас
gre0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1476
options=80000<LINKSTATE>
tunnel inet z.z.z.z --> s.s.s.s
inet 192.168.254.12 --> 192.168.254.10 netmask 0xffffff00
а сеточки для соединений 192.168.0.0 и 192.168.10.0
>[оверквотинг удален]
>> GRE
>> э-э-э... точно различий не видите?
> У вас
> gre0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1476
> options=80000<LINKSTATE>
> tunnel inet z.z.z.z -->
> s.s.s.s
> inet 192.168.254.12 --> 192.168.254.10
> netmask 0xffffff00
> а сеточки для соединений 192.168.0.0 и 192.168.10.0изучите пожалуйста GRE, а потом давайте советы. все правильно http://wiki.izhnet.org/pages/viewpage.action?pageId=819203
я уже понял что вы не видите различий между gif и gre
>[оверквотинг удален]
>> У вас
>> gre0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1476
>> options=80000<LINKSTATE>
>> tunnel inet z.z.z.z -->
>> s.s.s.s
>> inet 192.168.254.12 --> 192.168.254.10
>> netmask 0xffffff00
>> а сеточки для соединений 192.168.0.0 и 192.168.10.0
> изучите пожалуйста GRE, а потом давайте советы. все правильно http://wiki.izhnet.org/pages/viewpage.action?pageId=819203
> я уже понял что вы не видите различий между gif и greНо в показанном вами ifconfig нет интерфейсов принадлежащих сетям 192.168.0.0 и 192.168.10.0
>[оверквотинг удален]
>>> gre0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1476
>>> options=80000<LINKSTATE>
>>> tunnel inet z.z.z.z -->
>>> s.s.s.s
>>> inet 192.168.254.12 --> 192.168.254.10
>>> netmask 0xffffff00
>>> а сеточки для соединений 192.168.0.0 и 192.168.10.0
>> изучите пожалуйста GRE, а потом давайте советы. все правильно http://wiki.izhnet.org/pages/viewpage.action?pageId=819203
>> я уже понял что вы не видите различий между gif и gre
> Но в показанном вами ifconfig нет интерфейсов принадлежащих сетям 192.168.0.0 и 192.168.10.0И что еще более плачевно - на показанном netstat -nr есть маршрут в сеть 192.168.0.0 на ТОТ конец тунеля, но нет маршрута в сеть 192.168.10.0 на ЭТОМ конце.
Тоесть если конфиги симметричны, то вероятно на том концу тунеля, тоже отсутствует маршрут в 192.168.0.0/24 сеть.То есть налицо тривиальная проблема с маршрутизацией
>[оверквотинг удален]
>>>> а сеточки для соединений 192.168.0.0 и 192.168.10.0
>>> изучите пожалуйста GRE, а потом давайте советы. все правильно http://wiki.izhnet.org/pages/viewpage.action?pageId=819203
>>> я уже понял что вы не видите различий между gif и gre
>> Но в показанном вами ifconfig нет интерфейсов принадлежащих сетям 192.168.0.0 и 192.168.10.0
> И что еще более плачевно - на показанном netstat -nr есть маршрут
> в сеть 192.168.0.0 на ТОТ конец тунеля, но нет маршрута в
> сеть 192.168.10.0 на ЭТОМ конце.
> Тоесть если конфиги симметричны, то вероятно на том концу тунеля, тоже отсутствует
> маршрут в 192.168.0.0/24 сеть.
> То есть налицо тривиальная проблема с маршрутизациейпотому что у меня нет сети 192.168.10.0 я соединяю 192.168.0.0 и 192.168.16.0
>[оверквотинг удален]
>>> gre0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1476
>>> options=80000<LINKSTATE>
>>> tunnel inet z.z.z.z -->
>>> s.s.s.s
>>> inet 192.168.254.12 --> 192.168.254.10
>>> netmask 0xffffff00
>>> а сеточки для соединений 192.168.0.0 и 192.168.10.0
>> изучите пожалуйста GRE, а потом давайте советы. все правильно http://wiki.izhnet.org/pages/viewpage.action?pageId=819203
>> я уже понял что вы не видите различий между gif и gre
> Но в показанном вами ifconfig нет интерфейсов принадлежащих сетям 192.168.0.0 и 192.168.10.0потому что у меня нет сети 192.168.10.0 я соединяю 192.168.0.0 и 192.168.16.0, в начале я написал как пример соединения 192.168.10.0 и 192.168.0.0, потому что не хотел указывать реальные адреса сетей, но ниже в конфиге выложил реальные!
>[оверквотинг удален]
>>>> tunnel inet z.z.z.z -->
>>>> s.s.s.s
>>>> inet 192.168.254.12 --> 192.168.254.10
>>>> netmask 0xffffff00
>>>> а сеточки для соединений 192.168.0.0 и 192.168.10.0
>>> изучите пожалуйста GRE, а потом давайте советы. все правильно http://wiki.izhnet.org/pages/viewpage.action?pageId=819203
>>> я уже понял что вы не видите различий между gif и gre
>> Но в показанном вами ifconfig нет интерфейсов принадлежащих сетям 192.168.0.0 и 192.168.10.0
> потому что у меня нет сети 192.168.10.0 я соединяю 192.168.0.0 и
> 192.168.16.0А это кто писал?
============================
>прописал маршрут route add -net 192.168.10.0/24 x.x.x.x(внешний IP) и тогда я смог >пинговать 192.168.10.1 с адреса 192.168.0.1.=============================
зачем вы пинговали 192.168.10.1 если ее у вас нет?
>[оверквотинг удален]
>>>> изучите пожалуйста GRE, а потом давайте советы. все правильно http://wiki.izhnet.org/pages/viewpage.action?pageId=819203
>>>> я уже понял что вы не видите различий между gif и gre
>>> Но в показанном вами ifconfig нет интерфейсов принадлежащих сетям 192.168.0.0 и 192.168.10.0
>> потому что у меня нет сети 192.168.10.0 я соединяю 192.168.0.0 и
>> 192.168.16.0
> А это кто писал?
> ============================
>>прописал маршрут route add -net 192.168.10.0/24 x.x.x.x(внешний IP) и тогда я смог >пинговать 192.168.10.1 с адреса 192.168.0.1.
> =============================
> зачем вы пинговали 192.168.10.1 если ее у вас нет?в начале я написал как пример соединения 192.168.10.0 и 192.168.0.0, потому что не хотел указывать реальные адреса сетей, но ниже в конфиге выложил реальные!
>[оверквотинг удален]
>>> э-э-э... точно различий не видите?
>> У вас
>> gre0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1476
>> options=80000<LINKSTATE>
>> tunnel inet z.z.z.z -->
>> s.s.s.s
>> inet 192.168.254.12 --> 192.168.254.10
>> netmask 0xffffff00
>> а сеточки для соединений 192.168.0.0 и 192.168.10.0
> я уже понял что вы не видите различий между gif и greУ вас наверное еще и файер разрешает на внутреннем интефейсе только пакеты от локалки
>[оверквотинг удален]
>>> gre0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1476
>>> options=80000<LINKSTATE>
>>> tunnel inet z.z.z.z -->
>>> s.s.s.s
>>> inet 192.168.254.12 --> 192.168.254.10
>>> netmask 0xffffff00
>>> а сеточки для соединений 192.168.0.0 и 192.168.10.0
>> я уже понял что вы не видите различий между gif и gre
> У вас наверное еще и файер разрешает на внутреннем интефейсе
> только пакеты от локалкипроверял, нет, открытым делал... но все равно склонен полагать что данный вопрос маршрутизации связан с натом и фаерволом, в чем в общем то и разбираюсь сейчас...
>[оверквотинг удален]
>>>> s.s.s.s
>>>> inet 192.168.254.12 --> 192.168.254.10
>>>> netmask 0xffffff00
>>>> а сеточки для соединений 192.168.0.0 и 192.168.10.0
>>> я уже понял что вы не видите различий между gif и gre
>> У вас наверное еще и файер разрешает на внутреннем интефейсе
>> только пакеты от локалки
> проверял, нет, открытым делал... но все равно склонен полагать что данный вопрос
> маршрутизации связан с натом и фаерволом, в чем в общем то
> и разбираюсь сейчас...с каким натом???? откуда нат взялся?
>[оверквотинг удален]
>>>>> inet 192.168.254.12 --> 192.168.254.10
>>>>> netmask 0xffffff00
>>>>> а сеточки для соединений 192.168.0.0 и 192.168.10.0
>>>> я уже понял что вы не видите различий между gif и gre
>>> У вас наверное еще и файер разрешает на внутреннем интефейсе
>>> только пакеты от локалки
>> проверял, нет, открытым делал... но все равно склонен полагать что данный вопрос
>> маршрутизации связан с натом и фаерволом, в чем в общем то
>> и разбираюсь сейчас...
> с каким натом???? откуда нат взялся?от сквида
>[оверквотинг удален]
>>>>>> netmask 0xffffff00
>>>>>> а сеточки для соединений 192.168.0.0 и 192.168.10.0
>>>>> я уже понял что вы не видите различий между gif и gre
>>>> У вас наверное еще и файер разрешает на внутреннем интефейсе
>>>> только пакеты от локалки
>>> проверял, нет, открытым делал... но все равно склонен полагать что данный вопрос
>>> маршрутизации связан с натом и фаерволом, в чем в общем то
>>> и разбираюсь сейчас...
>> с каким натом???? откуда нат взялся?
> от сквидасквид умеет нат ?
>[оверквотинг удален]
>>>>>>> а сеточки для соединений 192.168.0.0 и 192.168.10.0
>>>>>> я уже понял что вы не видите различий между gif и gre
>>>>> У вас наверное еще и файер разрешает на внутреннем интефейсе
>>>>> только пакеты от локалки
>>>> проверял, нет, открытым делал... но все равно склонен полагать что данный вопрос
>>>> маршрутизации связан с натом и фаерволом, в чем в общем то
>>>> и разбираюсь сейчас...
>>> с каким натом???? откуда нат взялся?
>> от сквида
> сквид умеет нат ?нет, нат делает сквид прозрачным
>[оверквотинг удален]
>>>>>>> я уже понял что вы не видите различий между gif и gre
>>>>>> У вас наверное еще и файер разрешает на внутреннем интефейсе
>>>>>> только пакеты от локалки
>>>>> проверял, нет, открытым делал... но все равно склонен полагать что данный вопрос
>>>>> маршрутизации связан с натом и фаерволом, в чем в общем то
>>>>> и разбираюсь сейчас...
>>>> с каким натом???? откуда нат взялся?
>>> от сквида
>> сквид умеет нат ?
> нет, нат делает сквид прозрачнымну так включите логирование на файрволе и посмотрите есть ли исходящий пакет в локалку и есть ли обратный от клиента?
>[оверквотинг удален]
>>>>>>> только пакеты от локалки
>>>>>> проверял, нет, открытым делал... но все равно склонен полагать что данный вопрос
>>>>>> маршрутизации связан с натом и фаерволом, в чем в общем то
>>>>>> и разбираюсь сейчас...
>>>>> с каким натом???? откуда нат взялся?
>>>> от сквида
>>> сквид умеет нат ?
>> нет, нат делает сквид прозрачным
> ну так включите логирование на файрволе и посмотрите есть ли исходящий пакет
> в локалку и есть ли обратный от клиента?посмотрел трафик доходит до конечного узла за шлюзом, но обратно не возвращается
>[оверквотинг удален]
>>>>>>> проверял, нет, открытым делал... но все равно склонен полагать что данный вопрос
>>>>>>> маршрутизации связан с натом и фаерволом, в чем в общем то
>>>>>>> и разбираюсь сейчас...
>>>>>> с каким натом???? откуда нат взялся?
>>>>> от сквида
>>>> сквид умеет нат ?
>>> нет, нат делает сквид прозрачным
>> ну так включите логирование на файрволе и посмотрите есть ли исходящий пакет
>> в локалку и есть ли обратный от клиента?
> посмотрел трафик доходит до конечного узла за шлюзом, но обратно не возвращаетсяна конечном узле нет обратного маршрута?
>[оверквотинг удален]
>>>>>>>> маршрутизации связан с натом и фаерволом, в чем в общем то
>>>>>>>> и разбираюсь сейчас...
>>>>>>> с каким натом???? откуда нат взялся?
>>>>>> от сквида
>>>>> сквид умеет нат ?
>>>> нет, нат делает сквид прозрачным
>>> ну так включите логирование на файрволе и посмотрите есть ли исходящий пакет
>>> в локалку и есть ли обратный от клиента?
>> посмотрел трафик доходит до конечного узла за шлюзом, но обратно не возвращается
> на конечном узле нет обратного маршрута?например потому что, как уже упоминалось ранее - дефолтный шлюз на конечном узле не является тем шлюзом через который идет тунель?
следовательно либо указать маршрутизацию через тунель прямо на клиенте,либо сменить дефолтный шлюз, опять же изменив маршрутизацию...
> нет, нат делает сквид прозрачнымwth?
>> нет, нат делает сквид прозрачным
> wth?http://www.opennet.me/base/net/freebsd_gw2.txt.html
# отправляем всех на прозрачный squid
$cmd 050 fwd 127.0.0.1,3129 tcp from $lannet to any 21,80,443,5190 out via $eif# Входящий NAT
$cmd 060 divert natd ip from any to any in via $eif
> # отправляем всех на прозрачный squid
> $cmd 050 fwd 127.0.0.1,3129 tcp from $lannet to any 21,80,443,5190 out via
> $eif
> # Входящий NAT
> $cmd 060 divert natd ip from any to any in via $eifвы очень зашифровались... Нам не нужны ваши внешние ip, обзывайте их хоть v.v.v.v ...
А локальные реальные все-таки приведите, у меня тоже где то есть сеть 192.168.0/24...
А в файере после разрешение доступа к локалхосту добавьте 2-а правила, причем до ната разрешеающее другую локалку, нечто типа
allow all from 192.168.0/24 to 192.168.10/24 via <внутренний интерфейс>
allow all from 192.168.10/24 to 192.168.0/24 via <внутренний интерфейс>А вообще то, у вас очень сильный характер, я честно говоря при*сал бы использовать нешифрованный тоннель...
> А вообще то, у вас очень сильный характер, я честноДа, Петька, Василь Иваныч еще крепок...
>> А вообще то, у вас очень сильный характер, я честно
> Да, Петька, Василь Иваныч еще крепок...да, я об этом в принципе и писал, ценные комментарии на этом форуме!! прочитавшие их конечно в пустую потратят свое время...
>>> А вообще то, у вас очень сильный характер, я честно
>> Да, Петька, Василь Иваныч еще крепок...
> да, я об этом в принципе и писал, ценные комментарии на этом
> форуме!! прочитавшие их конечно в пустую потратят свое время...Вы tcpdump запустили? логирование на файрволе включили? проход пакета по точкам маршрута отследили?
Ну а что вы тогда ждете? что кто то это сделает за вас?
>[оверквотинг удален]
> вы очень зашифровались... Нам не нужны ваши внешние ip, обзывайте их
> хоть v.v.v.v ...
> А локальные реальные все-таки приведите, у меня тоже где то есть
> сеть 192.168.0/24...
> А в файере после разрешение доступа к локалхосту добавьте 2-а правила,
> причем до ната разрешеающее другую локалку, нечто типа
> allow all from 192.168.0/24 to 192.168.10/24 via <внутренний интерфейс>
> allow all from 192.168.10/24 to 192.168.0/24 via <внутренний интерфейс>
> А вообще то, у вас очень сильный характер, я честно
> говоря при*сал бы использовать нешифрованный тоннель...очень ценный комментарий, но прежде чем вешать IPsec, надо бы поднять сам туннель наверно?
>[оверквотинг удален]
> вы очень зашифровались... Нам не нужны ваши внешние ip, обзывайте их
> хоть v.v.v.v ...
> А локальные реальные все-таки приведите, у меня тоже где то есть
> сеть 192.168.0/24...
> А в файере после разрешение доступа к локалхосту добавьте 2-а правила,
> причем до ната разрешеающее другую локалку, нечто типа
> allow all from 192.168.0/24 to 192.168.10/24 via <внутренний интерфейс>
> allow all from 192.168.10/24 to 192.168.0/24 via <внутренний интерфейс>
> А вообще то, у вас очень сильный характер, я честно
> говоря при*сал бы использовать нешифрованный тоннель...allow all from 192.168.0/24 to 192.168.16/24 via <внутренний интерфейс>
allow all from 192.168.16/24 to 192.168.0/24 via <внутренний интерфейс>
прописывалось естественно... короч чистую фряху пойду разворачивать.. не знаю, может потому что 11 релиз, помню на 8-ом все без проблем как-то развернулось... а тут после настройки сквида думал дело за малым... осталось по-быстрому сделать туннели... не тут то было, и я как вижу я все так-же прописывал маршрутизацию как указано в мануалах....
>>>настройка маршрутизации gre и gif туннелей не имеет никаких различий??
>> Вы наверное не поверите, но, различий таки нет.
> Вы наверно не поверите, но маршрутизация в gif настраивается следующим образом:
> route add 192.168.2.0 192.168.2.1 netmask 0xffffff00 где 192.168.2.1 -адрес шлюза ЛОКАЛЬНОЙ
> сети на конечном узле туннеля
> а в GRE указываются 2-а статических маршрута:
> ip route 0.0.0.0 0.0.0.0 100.0.0.2
> ip route 192.168.2.0 255.255.255.255 10.2.2.2 , где 10.2.2.2 - адрес узла туннеля
> GRE
> э-э-э... точно различий не видите?То, что вы что-то как-то наворотили не означает, что есть различия в маршрутизации gre и gif туннелей.
>[оверквотинг удален]
>> Вы наверно не поверите, но маршрутизация в gif настраивается следующим образом:
>> route add 192.168.2.0 192.168.2.1 netmask 0xffffff00 где 192.168.2.1 -адрес шлюза ЛОКАЛЬНОЙ
>> сети на конечном узле туннеля
>> а в GRE указываются 2-а статических маршрута:
>> ip route 0.0.0.0 0.0.0.0 100.0.0.2
>> ip route 192.168.2.0 255.255.255.255 10.2.2.2 , где 10.2.2.2 - адрес узла туннеля
>> GRE
>> э-э-э... точно различий не видите?
> То, что вы что-то как-то наворотили не означает, что есть различия в
> маршрутизации gre и gif туннелей.да, я понимаю что я что-то не то настроил, я начал обращение с этих слов, а на счет разницы в настройке маршрутизации gre и gif написал выше. Соглашусь лишь в том что маршрутизация самих туннелей настроена верно, и проблема в маршрутизации между интерфейсами. Не важно с какого интерфейса, gif или gre, трафик с одного шлюза, не уходит за другой.
>[оверквотинг удален]
>> Вы наверно не поверите, но маршрутизация в gif настраивается следующим образом:
>> route add 192.168.2.0 192.168.2.1 netmask 0xffffff00 где 192.168.2.1 -адрес шлюза ЛОКАЛЬНОЙ
>> сети на конечном узле туннеля
>> а в GRE указываются 2-а статических маршрута:
>> ip route 0.0.0.0 0.0.0.0 100.0.0.2
>> ip route 192.168.2.0 255.255.255.255 10.2.2.2 , где 10.2.2.2 - адрес узла туннеля
>> GRE
>> э-э-э... точно различий не видите?
> То, что вы что-то как-то наворотили не означает, что есть различия в
> маршрутизации gre и gif туннелей.Зачем вы разглагольствуете, вы пишете что для вас форум это место в чем-то разобраться, но не заметил чтобы вы в чем-то разбирались, один пустой треп =( в проблеме разобрался, маршрутизация была в порядке, туннели настроены верно. Не там искал проблему. Спасибо люди подсказали где искать, и тут нужен был скорее опыт, совет в какую сторону копать решение, поэтому и писал что нужна помощь гуру! Не понимаю, почему вы стали писать тут, я же хотел знать мнение специалиста!!
> Здравствуйте, гуру, не бейте сильно, только разбираюсь, подскажите, где накосячил.
> Есть два шлюза FreeBSD, на них поднят GRE туннель без ipsec. Внутренние
> сети имеют вид типа 192.168.0.0 и 192.168.10.0. С шлюзов я пингую
> внутренние адреса сетевой карты противоположного шлюза, к примеру с шлюза 192.168.0.1
> идет пинг до шлюза 192.168.10.1, но не могу пинговать устройства, которые
> стоят за этим шлюзом, к примеру адрес второй внутренней сети 192.168.10.100.
> Подскажите, в чем проблема?Решение - чисто мой косяк, надо было отключать виндовый фаервол за шлюзом во время настройки =(, пакеты приходили из других сетей, невнимательность!!
> Решение - чисто мой косяк, надо было отключать виндовый фаервол за шлюзом
> во время настройки =(, пакеты приходили из других сетей, невнимательность!!Вопрос чисто не по теме, а как вы считаете нужен ли в локалке файер на виндовых станциях,
то что антиыирус нужен вопросов нет, а вот файер ? Плюсы и минусы...
>> Решение - чисто мой косяк, надо было отключать виндовый фаервол за шлюзом
>> во время настройки =(, пакеты приходили из других сетей, невнимательность!!
> Вопрос чисто не по теме, а как вы считаете нужен
> ли в локалке файер на виндовых станциях,
> то что антиыирус нужен вопросов нет, а вот файер ? Плюсы и
> минусы...Не вижу смысла отключать фаервол на виндовых машинах. Маршруитизация сети должна быть настроена корректно, если из-за фаервола блокируются сети, значит надо натить и настраивать правильно. Виндовый фаервол не так нагружает систему, как это делают офисные приложения, посему не вижу необходимости его отключать.
>> Решение - чисто мой косяк, надо было отключать виндовый фаервол за шлюзом
>> во время настройки =(, пакеты приходили из других сетей, невнимательность!!
> Вопрос чисто не по теме, а как вы считаете нужен
> ли в локалке файер на виндовых станциях,
> то что антиыирус нужен вопросов нет, а вот файер ? Плюсы и
> минусы...По поводу антивируса, скажу что на самих машинах далеко не всегда есть необходимость в его использовании, особенно если их основная роль - роль терминальных клиентов для работы на сервере, и крутятся они под линуксом, и пользоваться интернетом с этих машин запрещено, вероятность занесения вируса с флешки под линуксом практически равна нулю =)))