FreeBSD 7.1 p3 +Ipsec нужна консультация

[alik]

Код: Выделить всё

Здарова ребята, настроил я все по этой вот замечательной статье, автору зачет! Все работает.

Код: Выделить всё

http://www.lissyara.su/?id=1503
Автор: freeman_tnu. Спасибо.

Но возникли пару вопрос:

• • 1) Со стороны FreeBSD, имеется ввиду локалки пингуется локальная сеть за DLINKом, а вот наоборот не получается. То есть с филиалов не могут пропинговать сеть за фрёй.
    Привожу конфиг фаервола:
    

    Код: Выделить всё

    ext_if="rl0"
    int_if="sis0"
    vpn_if="vx0"
    ng_if="gif0"
    
    localnet="192.22.26.0/24"
    vpn_ip="192.23.28.170"
    office2_ip="192.23.28.172"
    vpn_net="192.168.3.0/24"
    
    tcp_ports="{22,80,443,110,465,995,5190, 21 > 1024}" 
    udp_ports="{53}"
    
    set skip on lo0
    set skip on gif0
    set skip on $int_if
    
    scrub in all
    
    nat on $ext_if from $localnet to any -> ($ext_if)
    #nat on $int_if from $vpn_net to any -> ($int_if)
    
    antispoof quick for $ext_if
    
    
    block in log all
    block out log all
    
    block in log quick on $ext_if from <ssh> to any
    block in log quick on $ext_if proto tcp from any port { 135 136 137 138 139 445 2967 6348 1433 5900 } to any
    block in log quick on $ext_if proto udp from any port { 135 136 137 138 139 445 1434 6348 } to any
    
    pass out on $ext_if proto tcp to any port $tcp_ports keep state
    pass out on $ext_if proto udp to any port $udp_ports keep state
    
    #pass in inet proto tcp from any to $ext_if port 22 keep state
    
    pass quick on $ext_if proto icmp all
    
    
    #VPN
    pass quick on $vpn_if proto icmp all
    
    #Ipsec output
    pass out quick on $vpn_if proto udp from $vpn_ip port = isakmp to $office2_ip port = isakmp
    pass out quick on $vpn_if proto esp from $vpn_ip to $office2_ip 
    pass out quick on $vpn_if proto ipencap from $vpn_ip to $office2_ip
    
    #Ipsec input
    pass in quick on $vpn_if proto udp from $office2_ip port = isakmp to $vpn_ip port = isakmp
    pass in quick on $vpn_if proto esp from $office2_ip to $vpn_ip 
    pass in quick on $vpn_if proto ipencap from $office2_ip to $vpn_ip

    2) Подскажите пожалуйста что это значит???
    

    Код: Выделить всё

    FreeBSD 7.1-RELEASE-p3 (MY) #2: Wed Mar 11 01:45:02 KGT 2009
    vpn# racoon -F -f /usr/local/etc/racoon/racoon.conf 
    Foreground mode.
    2009-03-18 19:46:01: INFO: @(#)ipsec-tools 0.7.1 (http://ipsec-tools.sourceforge.net)
    2009-03-18 19:46:01: INFO: @(#)This product linked OpenSSL 0.9.8j 07 Jan 2009 (http://www.openssl.org/)
    2009-03-18 19:46:01: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
    [b]2009-03-18 19:46:01: INFO: [b]Resize address pool from 0 to 255[/b]
    2009-03-18 19:46:01: ERROR: failed to bind to address 192.23.28.170[500] (Address already in use).
    2009-03-18 19:46:01: ERROR: no address could be bound.[/b]

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[alik]

Кстати роут со стороны DLINKa прописывал, но все равно дальше фри ничего не вижу.
Ребята очень помощь нужна

[Alex Keda]

Кстати роут со стороны DLINKa прописывал, но все равно дальше фри ничего не вижу.
Ребята очень помощь нужна

крутим эту страничку до верху, читаем текст на красном фоне.
вам лень соблюдать парвила - мне отвечать.
квиты

[Alex Keda]

маршруты покажи

[alik]

На Dlinke

Код: Выделить всё

Advanced ---- Routing tables list --- 

Destination           Subnetmask          Gateway 
192.22.26.0           255.255.255.0      172.22.28.172

На фрюхе
ipsec.conf

Код: Выделить всё

#!/usr/local/sbin/setkey -f
flush;
spdflush;

spdadd 192.22.26.0/24 192.168.3.0/24 any -P out ipsec
esp/tunnel/192.22.28.170-192.22.28.172/require;
spdadd 192.168.3.0/24 192.22.26.0/24 any -P in ipsec
esp/tunnel/192.22.28.172-192.22.28.170/require;