Некоторое время назад возникла необходимость туннелировать трафик к одному из партнеров, используя внутри туннеля внешнюю адресацию. В результате получился весьма любопытный конфиг, где вместе присутствуют три варианта L2L туннелей: классический с частными подсетями на концах, второй с внешними маршрутизируемыми адресами и третий между частной подсетью и внешним адресом, про него и комментарий:
базовая настройка, вкратце, такова - int fas 0/1 - WAN (IP xxx.xx1.xxx.xxx/27) на нем криптокарта PART_VPN, int fas 0/0 - LAN (IP 192.168.221.0/24), требование, чтобы в сеть партнера 10.201.20.48/28 было обращение с внешнего(их) адреса(ов), требование, конечно, необычное, но нежелание админа с другой стороны маяться с пересекающимися адресными диапазонами (если такие появятся), было понятно. Скорее всего, можно было бы просто взять "левый" адрес, типа 1.253.23.200, но нашлась "честная" подсеть, из которой "одолжили" адресок для поNATить (xxx.xx2.xxx.xxx/26). Получилось неплохо:
int fas 0/1
ip addr xxx.xx1.xxx.xxx 255.255.255.224
ip nat out
crypto-map PART_VPN
...
!настройка WAN интерфейса
ip access-list extended NAT
71 deny ip 192.168.221.0 0.0.0.255 10.201.20.48 0.0.0.15
! убираем из общего NAT'а туннельный трафик
crypto isakmp policy 60
encr 3des
authentication pre-share
group 2
lifetime 28800
crypto ipsec transform-set PARTNER_VPN6 esp-3des esp-sha-hmac
! определяем параметры фаз
crypto isakmp key *** address yyy.yy1.yyy.yyy no-xauth
! ключ для пира на стороне партнера
ip nat pool IP_FOR_NAT xxx.xx2.xxx.xxx xxx.xx2.xxx.xxx prefix-length 26
ip access-list extended FROM_221_TO_NAT
permit ip 192.168.221.0 0.0.0.255 10.201.20.48 0.0.0.15
! фильтр для пакетов в подсеть партнера для последующего NAT'а
ip nat inside source list FROM_221_TO_NAT pool IP_FOR_NAT overload
! собственно сама трансляция адресов по фильтру
ip access-list extended VPN6-ACL
permit ip host xxx.xx2.xxx.xxx 10.201.20.48 0.0.0.15
! так как адрес теперь заNATчен, то его гоним в туннель, как interesting трафик
crypto map PART_VPN 60 ipsec-isakmp
set peer yyy.yy1.yyy.yyy
set transform-set PARTNER_VPN6
set pfs group2
match address VPN6-ACL
! добавляем запись в криптомап для данного туннеля
Для удобства и понимания, конечно, стоило бы прописать description'ы, особенно, когда в большом конфиге эти настройки разбросаны по разным углам...
четверг, 30 сентября 2010 г.
пятница, 3 сентября 2010 г.
Ошибка апдейта .ICEauthority при входе в Ubuntu
После недавнего апгрейда стала появляться ошибка:
Cannot update /home/mik17/.ICEauthority
для борьбы с ошибкой:
sudo chown mik17:mik17 /home/mik17/.ICEauthority
sudo chmod 644 /home/mik17/.ICEauthority
sudo reboot
Cannot update /home/mik17/.ICEauthority
для борьбы с ошибкой:
sudo chown mik17:mik17 /home/mik17/.ICEauthority
sudo chmod 644 /home/mik17/.ICEauthority
sudo reboot
четверг, 2 сентября 2010 г.
Добавление интерфейса в kismet.conf
Сразу после установки Kismet:
sudo apt-get install kismet
при попытке его запуска появится сообщение об ошибке - не настроены источники (интерфейсы) в файле /etc/kismet/kismet.conf
для определения, какие парамтры вводить воспользуемся такими командами:
iwconfig
lo no wireless extensions.
eth0 no wireless extensions.
wlan0 IEEE 802.11bg Mode:Monitor Frequency:2.462 GHz Tx-Power=20 dBm
Retry long limit:7 RTS thr:off Fragment thr:off
Power Management:off
pan0 no wireless extensions.
vboxnet0 no wireless extensions.
теперь определим какой драйвер (модуль) управляет интерфейсом:
lsmod | grep 80211
mac80211 205146 1 ath5k
cfg80211 126517 3 ath5k,mac80211,ath
Итак, в конфигурационный файл вписываем параметры:
source=ath5k,wlan0,laptop card
теперь проблем с запуском нет
sudo kismet
sudo apt-get install kismet
при попытке его запуска появится сообщение об ошибке - не настроены источники (интерфейсы) в файле /etc/kismet/kismet.conf
для определения, какие парамтры вводить воспользуемся такими командами:
iwconfig
lo no wireless extensions.
eth0 no wireless extensions.
wlan0 IEEE 802.11bg Mode:Monitor Frequency:2.462 GHz Tx-Power=20 dBm
Retry long limit:7 RTS thr:off Fragment thr:off
Power Management:off
pan0 no wireless extensions.
vboxnet0 no wireless extensions.
теперь определим какой драйвер (модуль) управляет интерфейсом:
lsmod | grep 80211
mac80211 205146 1 ath5k
cfg80211 126517 3 ath5k,mac80211,ath
Итак, в конфигурационный файл вписываем параметры:
source=ath5k,wlan0,laptop card
теперь проблем с запуском нет
sudo kismet
Подписаться на:
Сообщения (Atom)