linux路由设置--请高手帮忙

lzd7807 · 发表于 2005-9-5 16:39:59

marship 我是不是走错方向了啊?为什么B网在我本地的路由是这样呢?
10.2.2.0 219.133.4.1 255.255.255.0 UG 0 0 0 ipsec0
是不是由于做了VPN的原因?

lzd7807 · 发表于 2005-9-5 17:29:00

为什么在路由表中10.2.2.0/24的路由记录是
10.2.2.0 219.133.4.1 255.255.255.0 UG 0 0 0 ipsec0
是VPN的原因吗?
那如果是这样的话路由到10.3.3.0/24有可能性吗?

Axin · 发表于 2005-9-5 17:39:11

是vpn的原因！

因为使用了隧道，你发到10.2.2.0的子网的数据当然走219.133.4.1，要不然你准备发到哪？

lzd7807 · 发表于 2005-9-6 08:53:09

有没有什么办法让发到10.3.3.0/24上的包也走隧道?(在不做VPN的情况下)通过走10.2.2.0/24建立的隧道,完成和10.1.1.0/24的连通呢?

marship · 发表于 2005-9-6 10:35:28

你的情况（ppp0 Link encap

oint-to-Point Protocol
inet addr:219.133.231.185 P-t-P:219.133.4.1 Mask:255.255.255.255 ）
很明显有一条端对端线路，你看这一句
10.2.2.0 219.133.4.1 255.255.255.0 UG 0 0 0 ipsec0
说明发往10.2.2.0网络的包都被发向219.133.4.1，而你的默认路由
default 219.133.4.1 0.0.0.0 UG 0 0 0 ppp0 对把到10.3.3.0转发到10.133.4.1应该已经够用了,但为什么219.133.4.1不继续转发包可能是它那边的设置问题了.
你可以再试试显式的加上路由
＃：route add -net 10.3.3.0/24 gw 219.133.4.1 ipse0
最后两个traceroute的结果说明到10.2.2.0的包通过ppp链路直接到达了，
10.2.2.0和219.133.4.1应该在同一机器上，应该是就是你的防火墙,现在要看你在B网的配置了，现在它可能拒绝转发到10.3.3.0网段的包，你能把你在B网的路由表和ifconfig结果也贴出来吗

lzd7807 · 发表于 2005-9-7 09:00:52

大哥当执行了route add -net 10.3.3.0/24 gw 219.133.4.1 ipsec0 后
route
Kernel IP routing table
Destination    Gateway       Genmask       Flags Metric Ref Use Iface
219.133.4.1    *             255.255.255.255 UH 0    0       0 ppp0
219.133.4.1    *             255.255.255.255 UH 0    0       0 ipsec0
10.3.3.0    219.133.4.1    255.255.255.0 UG 0    0       0 ipsec0
10.1.1.0    *             255.255.255.0 U    0    0       0 eth0
1.1.1.0       *             255.255.255.0 U    0    0       0 eth1
10.2.2.0       219.133.4.1    255.255.255.0 UG 0    0       0 ipsec0
default       219.133.4.1    0.0.0.0       UG 0    0       0 ppp0

traceroute 10.3.3.1
traceroute to 10.3.3.1 (10.3.3.1), 30 hops max, 38 byte packets
1  10.1.1.1 (10.1.1.1)  0.232 ms  0.145 ms  0.119 ms
2  * *

还是不可达

我在想当10.2.2.0/24的包从网关发出去的时候,根据VPN协议走的是IPsec隧道,已经封装了.到对方VPN网关的时候再进行解封装,和到10.2.2.0/24的路由吗?当10.3.3.0/24的包走网关出去的时候仅仅根据路由协议就可以走IPsec隧道进行包的封装吗?10.3.3.0/24如何才能到达对方的VPN网关B,如果能到达B,那么到达B后B能对其进行识别然后路由吗?

marship大哥,俺只有控制A的权利,B在香港,俺没有权利控制,所以也就ifconfig不了了.
贴子交流了这么久了,希望您能不嫌烦哦.兄弟先拜谢了

marship · 发表于 2005-9-7 11:02:07

不客气，其实这个问题的关键还是在负责转发包的B那里，现在没有什么好办法，就这样吧。

lzd7807 · 发表于 2005-9-7 22:31:24

是啊 ,我现在搞了好久也没有办法 ,我想即使指定了走ipsec0,route add -net 10.3.3.0/24 gw 219.133.4.1 ipsec0但是由于我们的发到10.3.3.0/24的数据包就会进行VPN协议中的ipsec协议封装吗?

fke7985 · 发表于 2005-9-8 09:40:37

有那么大的局域网吗?
你们三个公司的联网不需要internet吗?
如果有internet还需要你上海的公司做跳板吗?

Axin · 发表于 2005-9-8 10:35:39

对ipsec不了解，不过呢，从网络安全的角度出发，或者从ipsec的基本思想出发，你这种做法完全违背了网络安全的思想。

所以我一开始就觉得基本上不可能实现，叫你去打电话问产品的技术支持（不过技术支持可能也不会这样的问题，很正常）。

fke7985 · 发表于 2005-9-8 11:27:44

其它两个公司的网络的网关都要设成上海公司（跳板），然后上海公司网络的routing要开启

#echo 1 > /proc/sys/net/ipv4/ip_forward
这个是redhat EL 4的
其它版本的不知道

stoneme · 发表于 2005-9-10 10:11:04

等你们弄成了告诉我一声，想学学
我想ipsec可以直接看成一段广域网，A--ipsec0---B--ipsec1----C
如果A到C想通，应该在A上对B对C都指定通过ipsec0,B分别指定向A向C，C指定向A向B的，ipsec好象默认只指定一个默认段，所以要手要加
如果B与A通，B与C通，应检查A和C的设置是否都加入的对方的段（经B）

		自动登录	找回密码
密码			注册