https://www.opennet.ru/openforum/vsluhforumID1/90967.html Не могу объединить офисы-сателиты.<br><br>Есть центральный сервер (внешний IP: A.B.C.D, внутренний: 192.168.7.1) FreeBSD 8.2, который строит туннели с офисами.<br>В rc.conf у меня:<br>-----------------<br>ifconfig_re0="inet A.B.C.D netmask 255.255.255.0"<br>ifconfig_em0="inet 192.168.7.1 netmask 255.255.255.0"<br>gif_interfaces="gif0 gif1 gif2"<br># Satelite_1<br>#gif_interfaces="gif0"<br>gifconfig_gif0="A.B.C.D A1.B1.C1.D1"<br>ifconfig_gif0="inet 192.168.7.1 192.168.0.8 netmask 255.255.255.0"<br># Satelite_2<br>#gif_interfaces="gif1"<br>gifconfig_gif1="A.B.C.D A2.B2.C2.D2"<br>ifconfig_gif1="inet 192.168.7.1 192.168.5.5 netmask 255.255.255.0"<br># Satelite_3<br>#gif_interfaces="gif2"<br>gifconfig_gif2="A.B.C.D A3.B3.C3.D3"<br>ifconfig_gif2="inet 192.168.7.1 192.168.8.10 netmask 255.255.255.0"<br>gateway_enable="YES"<br>static_routes="vpn0 vpn1 vpn2"<br>route_vpn0="192.168.0.0/24 -Interface gif0"<br>route_vpn1="192.168.5.0/24 -Interface gif1"<br>route_vpn2="192.168.8.0/24 -Interface gif2"<br>---------------<br>В ipsec.conf:<br><br>#!/usr/local/sbin/setkey -f<br>flush https://www.opennet.ru/openforum/vsluhforumID1/90967.html#6 Mon, 21 Feb 2011 04:05:48 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; могу понять в каком месте я упустил настройку.<br>&gt;&gt; Раз проблема в роутинге , то почему бы не посмотреть(показать) вывод netstat <br>&gt;&gt; -rn на втором и третьем участке?<br>&gt;&gt; И ещё. Вы зря усложняете сеть gif-ами, уберите их (принцип KISS). Достаточно <br>&gt;&gt; оставить только правила ipsec и прописать маршруты как советует Alexey <br>&gt;&gt; Leonchik.<br>&gt; На втором и третьем участке стоят CISCO PIX 501. Строить между ними <br>&gt; дополнительный туннель нехочется, т.к. будут ещё офисы и число туннелей увеличится <br>&gt; (тогда упадёт пропускная способность PIX`ов).<br>&gt; Фрагмент конфигов.<br><br>Вроде как в первом письме satelite2 имел адрес 192.168.5.5 ?<br>&gt; Satelite_2: <br>&gt; ------------- <br>&gt; access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.7.0 255.255.255.0 <br>&gt; access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.8.0 255.255.255.0 <br>&gt; access-list outside_cryptomap_60 permit ip 192.168.0.0 255.255.255.0 192.168.7.0 255.255.255.0 <br>&gt; access-list outside_cryptomap_60 permit ip 192.168.0.0 255.255. https://www.opennet.ru/openforum/vsluhforumID1/90967.html#5 Fri, 18 Feb 2011 14:25:23 GMT забыл сказать.<br><br>Gif`ы я убрал, чтобы не отвлекаться на них.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/90967.html#4 Fri, 18 Feb 2011 14:24:40 GMT &gt;[оверквотинг удален]<br>&gt;&gt; ------------------ <br>&gt;&gt; IPFW работает в режиме "разрешено все".<br>&gt;&gt; ========================================= <br>&gt;&gt; Очевидно, что проблема в роутинге, но я что-то конкретно торможу и не <br>&gt;&gt; могу понять в каком месте я упустил настройку.<br>&gt; Раз проблема в роутинге , то почему бы не посмотреть(показать) вывод netstat <br>&gt; -rn на втором и третьем участке?<br>&gt; И ещё. Вы зря усложняете сеть gif-ами, уберите их (принцип KISS). Достаточно <br>&gt; оставить только правила ipsec и прописать маршруты как советует Alexey <br>&gt; Leonchik.<br><br>На втором и третьем участке стоят CISCO PIX 501. Строить между ними дополнительный туннель нехочется, т.к. будут ещё офисы и число туннелей увеличится (тогда упадёт пропускная способность PIX`ов).<br><br>Фрагмент конфигов.<br><br>Satelite_2:<br>-------------<br>access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.7.0 255.255.255.0<br>access-list 100 permit ip 192.168.0.0 255.255.255.0 192.168.8.0 255.255.255.0<br>access-list outside_cryptomap_60 permit ip 192.168.0.0 255.255 https://www.opennet.ru/openforum/vsluhforumID1/90967.html#3 Fri, 18 Feb 2011 05:51:43 GMT &gt;[оверквотинг удален]<br>&gt; ------------------ <br>&gt; Что НЕ работает: <br>&gt; Не работает туннель: <br>&gt; "Satelite_2 &lt;---&gt; Satelite_3" <br>&gt; т.е. не ходит ничего, даже пинги <br>&gt; ------------------ <br>&gt; IPFW работает в режиме "разрешено все".<br>&gt; ========================================= <br>&gt; Очевидно, что проблема в роутинге, но я что-то конкретно торможу и не <br>&gt; могу понять в каком месте я упустил настройку.<br><br>Раз проблема в роутинге , то почему бы не посмотреть(показать) вывод netstat -rn на втором и третьем участке?<br><br>И ещё. Вы зря усложняете сеть gif-ами, уберите их (принцип KISS). Достаточно оставить только правила ipsec и прописать маршруты как советует Alexey Leonchik.<br><br><br> https://www.opennet.ru/openforum/vsluhforumID1/90967.html#2 Fri, 18 Feb 2011 00:34:05 GMT &gt; Не могу объединить офисы-сателиты.<br>&gt; ------------------ <br>&gt; Что НЕ работает: <br>&gt; Не работает туннель: <br>&gt; "Satelite_2 &lt;---&gt; Satelite_3" <br>&gt; т.е. не ходит ничего, даже пинги <br>&gt; ------------------ <br><br>On Satelite_2<br>route add -net satelite_3 gw IP_OF_Central_Office<br><br>On Satelite_3<br>route add -net satelite_2 gw IP_OF_Central_Office<br><br>Только ЭТОГО лучше не делать :) Потому как ваши 2-й и 3-й будут общаться между собой используя ваш КАНАЛ ЦЕНТРАЛЬНОГО офиса :) А зачем это нужно? Уж лучше в этом случае сделать Satelite_2 &lt;- IPSEC -&gt; Satelite_3<br><br>С уважением Алексей Леончик<br> https://www.opennet.ru/openforum/vsluhforumID1/90967.html#1 Thu, 17 Feb 2011 17:03:41 GMT Курите RIP или OSPF, или динамическая маржрутизация.<br>