Первая тачка:
Код: Выделить всё
cat /etc/ipsec.conf
spdadd 192.168.0.0/24 192.168.1.0/24 any -P out ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/require;
spdadd 192.168.1.0/24 192.168.0.0/24 any -P in ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X/require;
и
Код: Выделить всё
cat /usr/local/etc/racoon/racoon.conf | grep -v '#'
path include "/usr/local/etc/racoon" ;
path certificate "/usr/local/etc/racoon/cert/" ;
log debug2;
padding
{
}
listen
{
isakmp Y.Y.Y.Y [500];
}
timer
{
phase1 30 sec;
phase2 15 sec;
}
remote X.X.X.X
{
exchange_mode aggressive,main;
my_identifier asn1dn;
peers_identifier asn1dn;
certificate_type x509 "193.111.250.28.public" "193.111.250.28.private";
peers_certfile x509 "32.166.public";
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method rsasig;
dh_group 2 ;
}
}
sainfo anonymous
{
pfs_group 5;
lifetime time 60 min;
encryption_algorithm 3des ;
authentication_algorithm hmac_sha1;
compression_algorithm deflate ;
}
Вторая тачка
Код: Выделить всё
spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec esp/tunnel/X.X.X.X-A.A.A.A/require;
spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/A.A.A.A-X.X.X.X/require;
spdadd 192.168.1.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/require;
spdadd 192.168.0.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X/require;
и
Код: Выделить всё
/usr/local/etc/racoon/cert > cat /usr/local/etc/racoon/racoon.conf | grep -v '#'
path include "/usr/local/etc/racoon" ;
path certificate "/usr/local/etc/racoon/cert/" ;
log debug2;
padding
{
}
listen
{
isakmp X.X.X.X [500];
}
timer
{
phase1 30 sec;
phase2 15 sec;
}
remote B.B.B.B
{
exchange_mode aggressive,main;
my_identifier asn1dn;
peers_identifier asn1dn;
certificate_type x509 "32.166.public" "32.166.private";
peers_certfile x509 "stoyanka.epia.public";
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method rsasig;
dh_group 2 ;
}
}
remote A.A.A.A
{
exchange_mode aggressive,main;
my_identifier asn1dn;
peers_identifier asn1dn;
certificate_type x509 "32.166.public" "32.166.private";
peers_certfile x509 "39.202.public";
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method rsasig;
dh_group 2 ;
}
}
remote Y.Y.Y.Y
{
exchange_mode aggressive,main;
my_identifier asn1dn;
peers_identifier asn1dn;
certificate_type x509 "32.166.public" "32.166.private";
peers_certfile x509 "193.111.250.28.public";
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method rsasig;
dh_group 2 ;
}
}
sainfo anonymous
{
pfs_group 5;
lifetime time 60 min;
encryption_algorithm 3des ;
authentication_algorithm hmac_sha1;
compression_algorithm deflate ;
вот еще выводы ifconfig
для первой машины
Код: Выделить всё
gif2: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1396
tunnel inet Y.Y.Y.Y --> A.A.A.A
inet 192.168.0.1 --> 192.168.2.1 netmask 0xffffffff
gif1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet Y.Y.Y.Y --> X.X.X.X
inet 192.168.0.1 --> 192.168.1.251 netmask 0xffffffff
и для второй
Код: Выделить всё
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1396
tunnel inet X.X.X.X --> Y.Y.Y.Y
inet 192.168.1.251 --> 192.168.0.1 netmask 0xffffffff
gif2: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1396
tunnel inet X.X.X.X --> A.A.A.A
inet 192.168.1.251 --> 192.168.2.1 netmask 0xffffffff
п.с. я когда перенастраивал (прибивал старые и создавал новые ) интерфейсы , тунели и.д. машины не перегружал (может ребутнуть ?? но не хочется АпТайма уже на одной 179 дней))))))))))))))))))