рдкреНрд░реЛрд╣реЛрд╕реНрдЯрд░ > ╨С╨╗╨╛╨│ > рдкреНрд░рд╢рд╛рд╕рди > рдХрд╕рд░реА рдШрд░реЗрд▓реБ IPsec VPN рд╕рдорд╕реНрдпрд╛ рдирд┐рд╡рд╛рд░рдг рдЧрд░реНрдиреЗред рднрд╛рдЧ 1

рдХрд╕рд░реА рдШрд░реЗрд▓реБ IPsec VPN рд╕рдорд╕реНрдпрд╛ рдирд┐рд╡рд╛рд░рдг рдЧрд░реНрдиреЗред рднрд╛рдЧ 1

рдХрд╕рд░реА рдШрд░реЗрд▓реБ IPsec VPN рд╕рдорд╕реНрдпрд╛ рдирд┐рд╡рд╛рд░рдг рдЧрд░реНрдиреЗред рднрд╛рдЧ 1

рдЕрд╡рд╕реНрдерд╛

рдЫреБрдЯреНрдЯреАрдХреЛ рджрд┐рдиред рдо рдХрдлреА рдкрд┐рдЙрдЫреБред рд╡рд┐рджреНрдпрд╛рд░реНрдереАрд▓реЗ рджреБрдИ рдмрд┐рдиреНрджреБрд╣рд░реВ рдмреАрдЪ VPN рдЬрдбрд╛рди рд╕реЗрдЯ рдЕрдк рдЧрд░реНрдпреЛ рд░ рдЧрд╛рдпрдм рднрдпреЛред рдо рдЬрд╛рдБрдЪ рдЧрд░реНрдЫреБ: рддреНрдпрд╣рд╛рдБ рд╕рд╛рдБрдЪреНрдЪреИ рдПрдЙрдЯрд╛ рд╕реБрд░реБрдЩ рдЫ, рддрд░ рд╕реБрд░реБрдЩрдорд╛ рдХреБрдиреИ рдЯреНрд░рд╛рдлрд┐рдХ рдЫреИрдиред рд╡рд┐рджреНрдпрд╛рд░реНрдереАрд▓реЗ рдХрд▓рдХреЛ рдЬрд╡рд╛рдл рджрд┐рдБрджреИрдирдиреНред

рдореИрд▓реЗ рдХреЗрддрд▓реА рд░рд╛рдЦреЗрдВ рд░ S-Terra рдЧреЗрдЯрд╡реЗ рд╕рдорд╕реНрдпрд╛ рдирд┐рд╡рд╛рд░рдгрдорд╛ рдбреБрдмреЗрдВред рдо рдореЗрд░реЛ рдЕрдиреБрднрд╡ рд░ рдХрд╛рд░реНрдпрд╡рд┐рдзрд┐ рд╕рд╛рдЭрд╛ рдЧрд░реНрдЫреБред

рд╕реНрд░реЛрдд рдбрд╛рдЯрд╛

рджреБрдИ рднреМрдЧреЛрд▓рд┐рдХ рд░реВрдкрдорд╛ рдЕрд▓рдЧ рдЧрд░рд┐рдПрдХрд╛ рд╕рд╛рдЗрдЯрд╣рд░реВ GRE рд╕реБрд░реБрдЩрджреНрд╡рд╛рд░рд╛ рдЬреЛрдбрд┐рдПрдХрд╛ рдЫрдиреНред GRE рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрди рдЖрд╡рд╢реНрдпрдХ рдЫ:

рдХрд╕рд░реА рдШрд░реЗрд▓реБ IPsec VPN рд╕рдорд╕реНрдпрд╛ рдирд┐рд╡рд╛рд░рдг рдЧрд░реНрдиреЗред рднрд╛рдЧ 1

рдо GRE рдЯрдиреЗрд▓рдХреЛ рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рдЬрд╛рдБрдЪ рдЧрд░реНрджреИрдЫреБред рдпреЛ рдЧрд░реНрдирдХреЛ рд▓рд╛рдЧрд┐, рдо рдпрдиреНрддреНрд░ R1 рдмрд╛рдЯ рдпрдиреНрддреНрд░ R2 рдХреЛ GRE рдЗрдиреНрдЯрд░рдлреЗрд╕рдорд╛ рдкрд┐рдВрдЧ рдЪрд▓рд╛рдЙрдБрдЫреБред рдпреЛ рдЧреБрдкреНрддрд┐рдХрд░рдгрдХреЛ рд▓рд╛рдЧрд┐ рд▓рдХреНрд╖рд┐рдд рдЯреНрд░рд╛рдлрд┐рдХ рд╣реЛред рдЬрд╡рд╛рдл рдЫреИрди:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057ms

рдо рдЧреЗрдЯ рез рд░ рдЧреЗрдЯ реи рдорд╛ рд▓рдЧрд╣рд░реВ рд╣реЗрд░реНрдЫреБред рд▓рдЧ рдЦреБрд╕реАрд╕рд╛рде рд░рд┐рдкреЛрд░реНрдЯ рдЧрд░реНрджрдЫ рдХрд┐ IPsec рд╕реБрд░реБрдЩ рд╕рдлрд▓рддрд╛рдкреВрд░реНрд╡рдХ рд╕реБрд░реБ рднрдПрдХреЛ рдерд┐рдпреЛ, рдХреБрдиреИ рд╕рдорд╕реНрдпрд╛ рдЫреИрди:

root@Gate1:~# cat /var/log/cspvpngate.log
Aug  5 16:14:23 localhost  vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter 
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1

рдЧреЗрдЯ рез рдорд╛ IPsec рдЯрдиреЗрд▓рдХреЛ рддрдереНрдпрд╛рдЩреНрдХрдорд╛ рдореИрд▓реЗ рджреЗрдЦреЗрдХреЛ рдЫреБ рдХрд┐ рддреНрдпрд╣рд╛рдБ рд╕рд╛рдБрдЪреНрдЪреИ рдПрдЙрдЯрд╛ рд╕реБрд░реБрдЩ рдЫ, рддрд░ R╤Бvd рдХрд╛рдЙрдиреНрдЯрд░ рд╢реВрдиреНрдпрдорд╛ рд░рд┐рд╕реЗрдЯ рдЧрд░рд┐рдПрдХреЛ рдЫ:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0

рдо S-Terra рд▓рд╛рдИ рдпрд╕рд░реА рд╕рдорд╕реНрдпрд╛ рдЧрд░реНрдЫреБ: рдо R1 рджреЗрдЦрд┐ R2 рдмрд╛рдЯ рдорд╛рд░реНрдЧрдорд╛ рд▓рдХреНрд╖рд┐рдд рдкреНрдпрд╛рдХреЗрдЯрд╣рд░реВ рдХрд╣рд╛рдБ рд╣рд░рд╛рдПрдХреЛ рдЫ рднрдиреЗрд░ рд╣реЗрд░реНрдЫреБред рдкреНрд░рдХреНрд░рд┐рдпрд╛рдорд╛ (рд╕реНрдкреЛрдЗрд▓рд░) рдо рдЧрд▓реНрддреА рдлреЗрд▓рд╛ рдкрд╛рд░реНрдиреЗрдЫреБред

рд╕рдорд╕реНрдпрд╛ рдирд┐рд╡рд╛рд░рдг

рдЪрд░рдг 1. R1 рдмрд╛рдЯ рдЧреЗрдЯ1 рд▓реЗ рдХреЗ рдкреНрд░рд╛рдкреНрдд рдЧрд░реНрдЫ

рдо рдмрд┐рд▓реНрдЯ-рдЗрди рдкреНрдпрд╛рдХреЗрдЯ рд╕реНрдирд┐рдлрд░ - tcpdump рдкреНрд░рдпреЛрдЧ рдЧрд░реНрдЫреБред рдо рдЖрдиреНрддрд░рд┐рдХ (рд╕рд┐рд╕реНрдХреЛ-рдЬрд╕реНрддреЛ рдиреЛрдЯреЗрд╢рдирдорд╛ Gi0/1 рд╡рд╛ рдбреЗрдмрд┐рдпрди рдУрдПрд╕ рдиреЛрдЯреЗрд╢рдирдорд╛ eth1) рдЗрдиреНрдЯрд░рдлреЗрд╕рдорд╛ рд╕реНрдирд┐рдлрд░ рд╕реБрд░реБ рдЧрд░реНрдЫреБ:

root@Gate1:~# tcpdump -i eth1

tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64

рдореИрд▓реЗ Gate1 рд▓реЗ R1 рдмрд╛рдЯ GRE рдкреНрдпрд╛рдХреЗрдЯрд╣рд░реВ рдкреНрд░рд╛рдкреНрдд рдЧрд░реЗрдХреЛ рджреЗрдЦреНрдЫреБред рдо рдЕрдШрд┐ рдмрдвреНрджреИ рдЫреБред

рдЪрд░рдг 2. GRE рдкреНрдпрд╛рдХреЗрдЯрд╣рд░реВрд╕рдБрдЧ Gate1 рдХреЗ рдЧрд░реНрдЫ

klogview рдЙрдкрдпреЛрдЧрд┐рддрд╛ рдкреНрд░рдпреЛрдЧ рдЧрд░реЗрд░ рдо S-Terra VPN рдбреНрд░рд╛рдЗрднрд░ рднрд┐рддреНрд░ GRE рдкреНрдпрд╛рдХреЗрдЯрд╣рд░реВрд╕рдБрдЧ рдХреЗ рднрдЗрд░рд╣реЗрдХреЛ рдЫ рднрдиреЗрд░ рджреЗрдЦреНрди рд╕рдХреНрдЫреБ:

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated

рдореИрд▓реЗ рджреЗрдЦреЗрдХреЛ рдЫреБ рдХрд┐ рд▓рдХреНрд╖реНрдп GRE рдЯреНрд░рд╛рдлрд┐рдХ (рдкреНрд░реЛрдЯреЛ 47) 172.16.0.1 -> 172.17.0.1 CMAP рдХреНрд░рд┐рдкреНрдЯреЛ рдирдХреНрд╕рд╛рдорд╛ LIST рдЗрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдирд┐рдпрдо рдЕрдиреНрддрд░реНрдЧрдд рдЖрдпреЛ рд░ encapsulated рдерд┐рдпреЛред рдЕрд░реНрдХреЛ, рдкреНрдпрд╛рдХреЗрдЯ рд░реВрдЯ рдЧрд░рд┐рдПрдХреЛ рдерд┐рдпреЛ (рдкрд╛рд╕ рдЖрдЙрдЯ)ред klogview рдЖрдЙрдЯрдкреБрдЯрдорд╛ рдХреБрдиреИ рдкреНрд░рддрд┐рдХреНрд░рд┐рдпрд╛ рдЯреНрд░рд╛рдлрд┐рдХ рдЫреИрдиред

рдо Gate1 рдпрдиреНрддреНрд░рдорд╛ рдкрд╣реБрдБрдЪ рд╕реВрдЪреАрд╣рд░реВ рдЬрд╛рдБрдЪ рдЧрд░реНрджреИрдЫреБред рдо рдПрдЙрдЯрд╛ рдкрд╣реБрдБрдЪ рд╕реВрдЪреА рд╕реВрдЪреА рджреЗрдЦреНрдЫреБ, рдЬрд╕рд▓реЗ рдЗрдиреНрдХреНрд░рд┐рдкреНрд╢рдирдХреЛ рд▓рд╛рдЧрд┐ рд▓рдХреНрд╖рд┐рдд рдЯреНрд░рд╛рдлрд┐рдХ рдкрд░рд┐рднрд╛рд╖рд┐рдд рдЧрд░реНрджрдЫ, рдЬрд╕рдХреЛ рдорддрд▓рдм рдлрд╛рдпрд░рд╡рд╛рд▓ рдирд┐рдпрдорд╣рд░реВ рдХрдиреНрдлрд┐рдЧрд░ рдЧрд░рд┐рдПрдХреЛ рдЫреИрди:

Gate1#show access-lists
Extended IP access list LIST
    10 permit gre host 172.16.0.1 host 172.17.0.1

рдирд┐рд╖реНрдХрд░реНрд╖: рд╕рдорд╕реНрдпрд╛ Gate1 рдЙрдкрдХрд░рдг рд╕рдВрдЧ рдЫреИрдиред

klogview рдХреЛ рдмрд╛рд░реЗ рдорд╛ рдЕрдзрд┐рдХ

VPN рдбреНрд░рд╛рдЗрднрд░рд▓реЗ рд╕рдмреИ рдиреЗрдЯрд╡рд░реНрдХ рдЯреНрд░рд╛рдлрд┐рдХ рд╣реНрдпрд╛рдиреНрдбрд▓ рдЧрд░реНрдЫ, рдЗрдиреНрдХреНрд░рд┐рдкреНрдЯ рдЧрд░реНрди рдЖрд╡рд╢реНрдпрдХ рдЯреНрд░рд╛рдлрд┐рдХ рдорд╛рддреНрд░ рд╣реЛрдЗрдиред рдпрджрд┐ VPN рдбреНрд░рд╛рдЗрднрд░рд▓реЗ рдиреЗрдЯрд╡рд░реНрдХ рдЯреНрд░рд╛рдлрд┐рдХрд▓рд╛рдИ рдкреНрд░рд╢реЛрдзрди рдЧрд░реНрдпреЛ рд░ рдпрд╕рд▓рд╛рдИ рдЧреБрдкреНрддрд┐рдХрд░рдг рдирдЧрд░реА рдкрдард╛рдпреЛ рднрдиреЗ рдпреА рд╕рдиреНрджреЗрд╢рд╣рд░реВ klogview рдорд╛ рджреЗрдЦрд┐рдиреЗ рдЫрдиреН:

root@R1:~# ping 172.17.0.1 -c 4

root@Gate1:~# klogview -f 0xffffffff

filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filtered

рдореИрд▓реЗ рджреЗрдЦреЗрдВ рдХрд┐ ICMP рдЯреНрд░рд╛рдлрд┐рдХ (рдкреНрд░реЛрдЯреЛ 1) 172.16.0.1->172.17.0.1 CMAP рдХреНрд░рд┐рдкреНрдЯреЛ рдХрд╛рд░реНрдбрдХреЛ рдЗрдиреНрдХреНрд░рд┐рдкреНрд╕рди рдирд┐рдпрдорд╣рд░реВрдорд╛ рд╕рдорд╛рд╡реЗрд╢ рдЧрд░рд┐рдПрдХреЛ рдерд┐рдПрди (рдХреБрдиреИ рдорд┐рд▓реНрджреИрди)ред рдкреНрдпрд╛рдХреЗрдЯ рд╕реНрдкрд╖реНрдЯ рдкрд╛рдардорд╛ рд░реВрдЯ рдЧрд░рд┐рдПрдХреЛ рдерд┐рдпреЛ (рдкрд╛рд╕ рдЖрдЙрдЯ)ред

рдЪрд░рдг 3. Gate2 рд▓реЗ Gate1 рдмрд╛рдЯ рдХреЗ рдкреНрд░рд╛рдкреНрдд рдЧрд░реНрдЫ

рдореИрд▓реЗ WAN (eth0) Gate2 рдЗрдиреНрдЯрд░рдлреЗрд╕рдорд╛ рд╕реНрдирд┐рдлрд░ рд╕реБрд░реБ рдЧрд░реНрдЫреБ:

root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140

рдореИрд▓реЗ Gate2 рд▓реЗ Gate1 рдмрд╛рдЯ ESP рдкреНрдпрд╛рдХреЗрдЯрд╣рд░реВ рдкреНрд░рд╛рдкреНрдд рдЧрд░реЗрдХреЛ рджреЗрдЦреНрдЫреБред

рдЪрд░рдг 4. Gate2 ESP рдкреНрдпрд╛рдХреЗрдЬрд╣рд░реВрд╕рдБрдЧ рдХреЗ рдЧрд░реНрдЫ

рдо рдЧреЗрдЯ реи рдорд╛ klogview рдЙрдкрдпреЛрдЧрд┐рддрд╛ рд╕реБрд░реБ рдЧрд░реНрдЫреБ:

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall

рдореИрд▓реЗ ESP рдкреНрдпрд╛рдХреЗрдЯрд╣рд░реВ (рдкреНрд░реЛрдЯреЛ 50) рдлрд╛рдпрд░рд╡рд╛рд▓ рдирд┐рдпрдо (L3VPN) рджреНрд╡рд╛рд░рд╛ рдЫреЛрдбрд┐рдПрдХреЛ (DROP) рджреЗрдЦреЗрдХреЛ рдЫреБред рдо рдирд┐рд╢реНрдЪрд┐рдд рдЧрд░реНрджрдЫреБ рдХрд┐ Gi0/0 рд▓рд╛рдИ рд╡рд╛рд╕реНрддрд╡рдорд╛ L3VPN рдкрд╣реБрдБрдЪ рд╕реВрдЪреА рдпрд╕рдорд╛ рд╕рдВрд▓рдЧреНрди рдЫ:

Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
  Internet address is 10.10.10.252/24
  MTU is 1500 bytes
  Outgoing access list is not set
  Inbound  access list is L3VPN

рдореИрд▓реЗ рд╕рдорд╕реНрдпрд╛ рдкрддреНрддрд╛ рд▓рдЧрд╛рдПред

рдЪрд░рдг 5. рдкрд╣реБрдБрдЪ рд╕реВрдЪреАрдорд╛ рдХреЗ рдЧрд▓рдд рдЫ

рдо L3VPN рдкрд╣реБрдБрдЪ рд╕реВрдЪреА рдХреЗ рд╣реЛ рд╣реЗрд░реНрдЫреБ:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit icmp host 10.10.10.251 any

рдо рджреЗрдЦреНрдЫреБ рдХрд┐ ISAKMP рдкреНрдпрд╛рдХреЗрдЯрд╣рд░реВрд▓рд╛рдИ рдЕрдиреБрдорддрд┐ рджрд┐рдЗрдПрдХреЛ рдЫ, рддреНрдпрд╕реИрд▓реЗ рдПрдЙрдЯрд╛ IPsec рд╕реБрд░реБрдЩ рд╕реНрдерд╛рдкрдирд╛ рднрдПрдХреЛ рдЫред рддрд░ ESP рдХреЛ рд▓рд╛рдЧрд┐ рдХреБрдиреИ рд╕рдХреНрд╖рдо рдирд┐рдпрдо рдЫреИрдиред рд╕реНрдкрд╖реНрдЯ рд░реВрдкрдорд╛, рд╡рд┐рджреНрдпрд╛рд░реНрдереАрд▓реЗ icmp рд░ esp рдХреЛ рднреНрд░рдордорд╛ рдкрд╛рд░реЗред

рдкрд╣реБрдБрдЪ рд╕реВрдЪреА рд╕рдореНрдкрд╛рджрди рдЧрд░реНрджреИ:

Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 any

рдЪрд░рдг 6. рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рдЬрд╛рдБрдЪ рдЧрд░реНрджреИ

рд╕рдмреИ рднрдиреНрджрд╛ рдкрд╣рд┐рд▓реЗ, рдо L3VPN рдкрд╣реБрдБрдЪ рд╕реВрдЪреА рд╕рд╣реА рдЫ рднрдиреЗрд░ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдЧрд░реНрдЫреБ:

Gate2#show access-list L3VPN
Extended IP access list L3VPN
    10 permit udp host 10.10.10.251 any eq isakmp
    20 permit udp host 10.10.10.251 any eq non500-isakmp
    30 permit esp host 10.10.10.251 any

рдЕрдм рдо рдЙрдкрдХрд░рдг R1 рдмрд╛рдЯ рд▓рдХреНрд╖рд┐рдд рдЯреНрд░рд╛рдлрд┐рдХ рд╕реБрд░реБ рдЧрд░реНрдЫреБ:

root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms

--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 ms

рд╡рд┐рдЬрдпред GRE рд╕реБрд░реБрдЩ рд╕реНрдерд╛рдкрдирд╛ рднрдПрдХреЛ рдЫред IPsec рддрдереНрдпрд╛рдЩреНрдХрдорд╛ рдЖрдЧрдорди рдЯреНрд░рд╛рдлрд┐рдХ рдХрд╛рдЙрдиреНрдЯрд░ рд╢реВрдиреНрдп рдЫреИрди:

root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded

ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350

IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480

Gate2 рдЧреЗрдЯрд╡реЗрдорд╛, klogview рдЖрдЙрдЯрдкреБрдЯрдорд╛, рд╕рдиреНрджреЗрд╢рд╣рд░реВ рджреЗрдЦрд╛ рдкрд░реНрдпреЛ рдХрд┐ рд▓рдХреНрд╖рд┐рдд рдЯреНрд░рд╛рдлрд┐рдХ 172.16.0.1->172.17.0.1 рд▓рд╛рдИ CMAP рдХреНрд░рд┐рдкреНрдЯреЛ рдирдХреНрд╕рд╛рдорд╛ LIST рдирд┐рдпрдорджреНрд╡рд╛рд░рд╛ рд╕рдлрд▓рддрд╛рдкреВрд░реНрд╡рдХ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ рдЧрд░рд┐рдПрдХреЛ рдерд┐рдпреЛ (PASS):

root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulated

рдкрд░рд┐рдгрд╛рдорд╣рд░реВ

рдПрдХ рд╡рд┐рджреНрдпрд╛рд░реНрдереАрд▓реЗ рдЖрдлреНрдиреЛ рдЫреБрдЯреНрдЯреАрдХреЛ рджрд┐рди рдмрд░реНрдмрд╛рдж рдЧрд░реЗред
ME рдирд┐рдпрдорд╣рд░реВрд╕рдБрдЧ рд╕рд╛рд╡рдзрд╛рди рд░рд╣рдиреБрд╣реЛрд╕реНред

рдмреЗрдирд╛рдореА рдЗрдиреНрдЬрд┐рдирд┐рдпрд░
t.me/anonymous_engineer

рд╕реНрд░реЛрдд: www.habr.com

рдПрдХ рдЯрд┐рдкреНрдкрдгреА рдердкреНрди