tunnel GRE / LINUX i keepalive

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
ssokolow
wannabe
wannabe
Posty: 109
Rejestracja: 13 cze 2005, 01:13

tunnel GRE / LINUX i keepalive

#1

#1 Post autor: ssokolow »

Witam - jak wlaczyc na linuxie zrobic taki tunel ktory bedzie gadal z cisco z wlaczonymi keepalivami??

Mam nadzieje ze keepaliave w tunelu to nie jakies rozszerzenie CISCO...
oczywiscie szukam juz w google - ale moze tutaj bedzie szybciej :/
Na górę
Awatar użytkownika
WOJO
inner circle
inner circle
Posty: 174
Rejestracja: 05 sie 2003, 20:48
Lokalizacja: Lublin

Re: tunnel GRE / LINUX i keepalive

#2

#2 Post autor: WOJO »

ssokolow pisze:Witam - jak wlaczyc na linuxie zrobic taki tunel ktory bedzie gadal z cisco z wlaczonymi keepalivami??

Mam nadzieje ze keepaliave w tunelu to nie jakies rozszerzenie CISCO...
oczywiscie szukam juz w google - ale moze tutaj bedzie szybciej :/
Kompilacja jajka z parametrami:
Networking options > IP: tuneling <M>
Networking options > IP: GRE tunnels over IP <M>
Networking options > IP: broadcast GRE over IP <*>
Networking options > 802.1Q VLAN Support <M>

Kompilacja/przeładowanie jądra.
insmod ip_gre
ip tunnel add nazwa_tunelu mode gre remote xxx.xxx.xxx.xxx local yyy.yyy.yyy.yyy ttl 255
ip link set nazwa_tunelu up
ip addr add zzz.zzz.zzz.zzz dev nazwa_tunelu
ip route add aaa.aaa.aaa.aaa/24 dev nazwa_tunelu
....
Oczywiście na POSTROUTINGU odpowiedni wpis np.
iptables -t nat -A POSTROUTING -o eth0 -s zzz.zzz.zzz.zzz/24 -j SNAT --to yyy.yyy.yyy.yyy
I już z adresu lokalnego np. zzz.zzz.zzz.123 możesz się dostać do urządzeń z klasy aaa.aaa.aaa.aaa
Pozdrawiam :)
WOJO
Na górę
ssokolow
wannabe
wannabe
Posty: 109
Rejestracja: 13 cze 2005, 01:13

#3

#3 Post autor: ssokolow »

tunel ktory bedzie gadal z cisco z wlaczonymi keepalivami
tunel normalnie potrafie sobie postawic ... - z wylaczonym keepalivem po stronie cisco...
chcialbym teraz zrobic cos wiecej - tj. moc wykrywac brak droznosci w tunelu -

czyli keepalivy od konca do konca... - na cisco - cisco - wystarczy wpisac "keepalive x y"

Podobno keepalivow nie ma w ogole w rfc ... to prawda?[/b]
Na górę
Awatar użytkownika
eprom
wannabe
wannabe
Posty: 414
Rejestracja: 17 lis 2003, 11:18
Lokalizacja: Krakow
Kontakt:
Skontaktuj się z eprom

#4

#4 Post autor: eprom »

ssokolow pisze:
tunel ktory bedzie gadal z cisco z wlaczonymi keepalivami
tunel normalnie potrafie sobie postawic ... - z wylaczonym keepalivem po stronie cisco...
chcialbym teraz zrobic cos wiecej - tj. moc wykrywac brak droznosci w tunelu -

czyli keepalivy od konca do konca... - na cisco - cisco - wystarczy wpisac "keepalive x y"

Podobno keepalivow nie ma w ogole w rfc ... to prawda?[/b]
czy komus udalo sie cos zrobic w tym temacie?

z moich doswiadczen wynika ze przesylany pakiet keepalive z routera Cisco jest poprawnie
dekapsulowany i odpowiedz pojawia sie na logicznym interfesje tunnel serwera linuxowego (z poprawnym src i dst) ale pakiet ten nie jest niestety wysylany przez interfejs fizyczny, tzn nie jest wysylany w siec...:( ?
--
Na górę
ODPOWIEDZ

Wróć do „Security”