Настройка шифрованного туннеля с использованием IPSEC

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
snorlov
подполковник
Сообщения: 3849
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение snorlov » 2009-07-02 8:17:13

Если вам не нужен IP6 то в ядре кроме options Inet6, должна быть закоментирована options SCTP

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

serrrega
рядовой
Сообщения: 17
Зарегистрирован: 2009-03-19 22:52:10

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение serrrega » 2009-07-02 8:30:54

Спасибо, хоть и поздновато, но всё равно спасибо, уже разобрался и пересобрал ядро

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение gmn » 2009-08-04 10:42:47

Всем привет.
Чтобы не плодить новую тему почти по тому же вопросу - решил задать вопрос здесь.

Ситуация такая.
Имеем две сети 192.168.1.0/24 и два шлюза на FreeBSD с адресами, например, 1.1.1.1 и 2.2.2.2.
Надо объединить эти две сети через IPSEC.
Если сети не совпадают (например, 192.168.1.0 и 192.168.2.0), то все ок, IPSEC работает.
ipsec реализован на racoon2, но это, думаю, не столь важно.
Как быть в случае совпадающих сетей?
Натить с одной стороны выход с локалки с другую подсеть?
Например, 192.168.1.0/24 в 192.168.2.0/24 и потом уже с с сети 192.168.2.0/24 попадать в туннель и в другую подсеть?
Но как это сделать? (FreeBSD 7, kernel nat).

Sadok123
сержант
Сообщения: 177
Зарегистрирован: 2008-09-04 10:59:32

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение Sadok123 » 2009-08-04 10:54:48

Никак. Надо разбивать на подсети или менять адресацию.

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение gmn » 2009-08-04 11:26:19

Sadok123 писал(а):Никак. Надо разбивать на подсети или менять адресацию.
На Cisco делается ...
Натится в "левую" подсеть, потом эта "левая" подсеть попадает в туннель.
Может как-то можно сделать, чтобы был нат с сети 192.168.1.0 на какую-то другую подсеть, например, 10.0.1.0.
И пакеты с 1-й сети, заначенные в сеть 10.0 уходили во вторую сеть 192.168.1.0 с сети 10.0., а не с 192.168.1.0.
И пакеты отратно с второй сети 192.168.1.0 возвращались не в 192.168.1.0 (1-я сеть, совпадающая по адресации), а в сеть 10.0 и проходили через нат и попадали с сеть назначения 192.168.1.0 (1-я сетка).
Соответственно, запрос с 1-й сети с адреса 192.168.1.1 во 2-ю сеть на адрес 192.168.1.2 будет выполняться не по 192.168.1.2, а по 10.0.1.2.
Аналогично и со второй сети - через промежуточную 10-ю сетку.
Только как реализовать - не придумаю :(

Аватара пользователя
gmn
сержант
Сообщения: 239
Зарегистрирован: 2007-02-28 18:01:37
Откуда: UA, Kiev
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение gmn » 2009-08-26 12:42:05

Привет.

Так все же ... Как сделать можно?
Есть две сети 192.168.1.0/24 (именно так, с одинаковой адресацией) и их надо соединить через ipsec (FreeBSD 7.2, kernel nat, racoon2).
Вариант - натить сетку на одной из сторон в другую, например, в 192.168.2.0/24 и соединять сети 192.168.1 и 192.168.2.
Но пробовал делать redirect_addr (один, не всю сеть) - не работает.
Может надо патч применять для NAT-T и его использовать?

alexandrneverov
проходил мимо
Сообщения: 5
Зарегистрирован: 2009-09-10 10:13:37

нужна помощь в маршрутах

Непрочитанное сообщение alexandrneverov » 2009-09-17 13:34:55

пытаюсь поднять туннель по статье про ipsec на gif интерфейсах
есть 2 фриБСД 7.1 с 2-мя сетевыми каждая смотрящими одна в мир(белый ip) и в локалку(серый ip). Вот
конфиг /etc/rc.conf первой машины

Код: Выделить всё

gateway_enable="YES"
keymap="ru.koi8-r"
sshd_enable="YES"
ifconfig_em1="inet 192.168.0.141  netmask 255.255.255.0"
ifconfig_em0="inet 91.90.22.229  netmask 255.255.255.240"
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="91.90.22.229 91.90.22.226"
ifconfig_gif0="inet 192.168.0.141 192.168.1.1 netmask 255.255.255.255"
defaultrouter="91.90.22.225"
static_routes="vpn"
route_vpn="192.168.1.0/24 -interface gif0"
hostname="valera"
firewall_enable="YES"
firewall_logging="YES"
natd_enable="YES"
natd_interface="em0"
natd_flags="-m -u -f /etc/natd.conf"
firewall_script="/etc/ipfw.rules"
inetd_enable="YES"
squid_enable="YES"
конфиг /etc/rc.conf второй машины

Код: Выделить всё

defaultrouter="91.90.22.225"
gateway_enable="YES"
hostname="dd"
ifconfig_age0="inet 91.90.22.226  netmask 255.255.255.0"
ifconfig_stge0="inet 192.168.1.1 netmask 255.255.255.0"
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="91.90.22.226 91.90.22.229"
ifconfig_gif0="inet 192.168.1.1 192.168.0.141 netmask 255.255.255.255"
static_routes="vpn"
route_vpn="192.168.0.0/24 -interface gif0"
keymap="ua.koi8-u"
sshd_enable="YES"
firewall_enable="YES"
firewall_logging="YES"
firewall_script="/etc/ipfw.rules"
squid_enable="YES"
natd_enable="YES"
natd_interface="age0"
inetd_enable="YES"

в фаерволе перед натом добавлены такие строки для пропуска траффика в туннель

Код: Выделить всё

$cmd 065 allow all from 91.90.22.229 to 91.90.22.226
$cmd 066 allow ip from any to any via gif0
$cmd 067 allow ip from 192.168.0.0/24 to 192.168.1.0/24 via $iif
$cmd 068 allow ip from 192.168.1.0/24 to 192.168.0.0/24 via $iif
туннель не работает((( Ping 192.168.0.141 c 91.90.22.226 ничего не дает. подскажите что не так.

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение f0s » 2009-09-17 13:47:18

а где остальные конфиги? + может сертификаты неправильно сгенерил. сам туннель-то поднимается?
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

alexandrneverov
проходил мимо
Сообщения: 5
Зарегистрирован: 2009-09-10 10:13:37

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение alexandrneverov » 2009-09-17 13:50:19

сертификаты не трогал пока
проблема именно в том что туннель не поднимается((( - какие еще конфиги нужно - все выложу

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение f0s » 2009-09-17 14:22:00

/etc/ipsec.conf
/usr/local/etc/racoon/racoon.conf
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

alexandrneverov
проходил мимо
Сообщения: 5
Зарегистрирован: 2009-09-10 10:13:37

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение alexandrneverov » 2009-09-17 15:41:40

этих конфигов нет и не в них дело. из тех настроек что я привел, по идее должен подниматься туннель а его нет. вот в чем собственно вопрос.

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение f0s » 2009-09-17 16:58:03

хм.. то есть обычный не шифрованный туннель.. ну х3. может быть. я так не пробовал.. тога бери tcpdump и смотри
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

alexandrneverov
проходил мимо
Сообщения: 5
Зарегистрирован: 2009-09-10 10:13:37

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение alexandrneverov » 2009-09-17 17:55:05

т.е. логически все правильно?

Аватара пользователя
f0s
ст. лейтенант
Сообщения: 1082
Зарегистрирован: 2007-03-13 18:43:31
Откуда: Санкт-Петербург
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение f0s » 2009-09-18 8:03:42

вот мои правила для ipfw:

Код: Выделить всё

00100   15217   1267486 allow ip from any to any via gif0
00200       0         0 allow udp from 11.175.22.232 to 22.52.64.20 dst-port 500
00250    2492   1123892 allow udp from 22.52.64.20 to 11.175.22.232 dst-port 500
00300       0         0 allow esp from 22.52.64.20 to 11.175.22.232
00350       0         0 allow esp from 11.175.22.232 to 22.52.64.20
00400       0         0 allow ipencap from 22.52.64.20 to 11.175.22.232
00450       0         0 allow ipencap from 11.175.22.232 to 22.52.64.20
named, named, what is my TTL value?..

[FidoNet 2:550/2 && 2:5030/4441]

snorlov
подполковник
Сообщения: 3849
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение snorlov » 2009-09-18 15:16:38

alexandrneverov писал(а):этих конфигов нет и не в них дело. из тех настроек что я привел, по идее должен подниматься туннель а его нет. вот в чем собственно вопрос.
в ifconfig_gif0 маску бы я поставил в 255.255.255.0
И еще
Ping 192.168.0.141 c 91.90.22.226
Этот пинг засовывается в nat, а не в тоннель, а вот Ping 192.168.0.141 на 192.168.1.1 должен быть отправлен в тоннель

daggerok
мл. сержант
Сообщения: 109
Зарегистрирован: 2009-03-06 14:54:05

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение daggerok » 2009-09-28 18:22:26

gmn писал(а):Привет.

Так все же ... Как сделать можно?
Есть две сети 192.168.1.0/24 (именно так, с одинаковой адресацией) и их надо соединить через ipsec (FreeBSD 7.2, kernel nat, racoon2).
Вариант - натить сетку на одной из сторон в другую, например, в 192.168.2.0/24 и соединять сети 192.168.1 и 192.168.2.
Но пробовал делать redirect_addr (один, не всю сеть) - не работает.
Может надо патч применять для NAT-T и его использовать?
Вы побороли уже?

CrazyPilot
ст. сержант
Сообщения: 321
Зарегистрирован: 2008-08-14 9:17:58
Откуда: Санкт-Петербург
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение CrazyPilot » 2010-01-11 15:29:32

Народ, хелп плиз. Запутался нахрен с этими ipsec туннелями. У нас есть gif интерфейс, по которому может гулять трафик между двумя хостами. Без ipsec у нас уже есть private network, но в виде нешифрованного ipencap. В статье указывается, что мы организуем ipsec туннель между реальными ip, и шифруем с помощью ipsec ipencap траффик между хостами, этот трафик гуляет по ipsec туннелю.

А не правильнее ли будет шифровать ipencap трафик между двумя этими хостами в transport mode? Объясните плз, я не втыкаю в принципиальную разницу в данном случае между tunnel и transport mode.
Например так (будем считать что 192.168.100.2 и 192.168.101.2 - это белые ip хостов).

Код: Выделить всё

flush;
spdflush;
spdadd 192.168.100.2 192.168.101.2 ipencap -P out ipsec esp/transport//require;
spdadd 192.168.101.2 192.168.100.2 ipencap -P in ipsec esp/transport//require;
gif получается такой:

Код: Выделить всё

gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280
        tunnel inet 192.168.100.2 --> 192.168.101.2
        inet 10.10.100.1 --> 10.10.101.1 netmask 0xffffffff
10.10.100.1 и 10.10.101.1 это LAN сетки, трафик между которыми надо секурно передавать по инету.
В этом случае (в транспортном режиме) ipencap пакет, вывалившийся из гифа, попадает на внешний интерфейс согласно настройке туннеля gif, там ipsec находит подходящую политику, шифрует этот пакет, заворачивает его в esp и отправляет на хост назначения (который сконфигурен у туннеля gif).
Получается что ipsec в tunnel mode нафиг не нужен? Поправьте меня, плз, если я не прав.

CrazyPilot
ст. сержант
Сообщения: 321
Зарегистрирован: 2008-08-14 9:17:58
Откуда: Санкт-Петербург
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение CrazyPilot » 2010-01-14 11:42:22

ээээ, who cares?
Может кто объяснить - зачем использовать ipsec в tunnel mode, когда трафик между шлюзами идет в ipencap?

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение arkan » 2010-01-18 10:42:56

Кстати а восьмая бздя незнает что такое
options IPSEC_ESP
как быть даже и понятия неимею
Да и фиг на него так как есть
device crypto
Последний раз редактировалось arkan 2010-01-18 10:51:23, всего редактировалось 1 раз.

CrazyPilot
ст. сержант
Сообщения: 321
Зарегистрирован: 2008-08-14 9:17:58
Откуда: Санкт-Петербург
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение CrazyPilot » 2010-01-18 10:51:21

RTFM. Хэндбук английский почитайте.

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение arkan » 2010-01-18 10:52:48

CrazyPilot писал(а):RTFM. Хэндбук английский почитайте.
Да только свой пост подредактировал а гляжу уже ответ написали
options IPSEC #IP security
device crypto

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение arkan » 2010-02-09 6:00:05

Привет всем кто в теме
сижу долблю потихонечку IPSEC
тунель давно уже работает
racoon тоже вроде как работает на 8 а на 6.2 небольшие проблеммы с запуском но это мелочи

У меня вопросик с созданием сертификатов
Хоть и делал не совсем чтоб по статье http://www.lissyara.su/articles/freebsd/security/ipsec/
но там есть чудная строчка которая недает мне покоя
Для второй машины тоже генерим ключи, и копируем с одной на другую файлики *.public.
Я вот чтото немогу вьехать
при создании ключа
openssl req -new -nodes -newkey rsa:1024 -sha1 -keyform PEM -keyout via.epia.private -outform PEM -out via.epia.pem
его надо положить в
/usr/local/etc/racoon/cert
Дак вот для других шлюзов заново надо генерить сертификаты или можно эти же два файла перетащить на другую машину и все будет работать ?

Тогда непонятно почему в логи сыпется
couldn't find the proper pskey, try to get one by the peer's address.

guest
проходил мимо

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение guest » 2010-06-09 18:36:14

а как быть если на 1 сервере нужно поднять 3 туннеля?
продублировать в rc.conf

Код: Выделить всё

gif_interfaces="gif0"
gif_interfaces="gif1"
gif_interfaces="gif2"
и т.д.
а так же в ipsec.conf 6 строк, по 2 на каждый и racoon.conf прописать к каждому блок "remote"

sl1p
проходил мимо
Сообщения: 2
Зарегистрирован: 2010-06-24 6:48:44

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение sl1p » 2010-06-24 7:08:30

всем привет. проблема в следующем, не удается установить шифрование

Код: Выделить всё

ifconfig_em0="inet 192.168.0.3  netmask 255.255.255.0"
ifconfig_em1="inet x.x.x.x  netmask 255.255.255.248"
defaultrouter="x.x.x.y"
gateway_enable="YES"

keymap="ru.koi8-r"
sshd_enable="YES"

firewall_enable="YES"
firewall_script="/etc/ipfw.script"
firewall_logging="YES"
natd_enable="YES"
natd_interface="em1"

racoon_enable="YES"
racoon_flags="-f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log"
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="x.x.x.x y.y.y.y"
ifconfig_gif0="inet 192.168.0.3 192.168.3.1 netmask 255.255.255.0"

ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
static_routes="remote"
route_remote="192.168.3.0/24 -interface gif0"

Код: Выделить всё

flush;
spdflush;
spdadd 192.168.0.0/24 192.168.3.0/24 ipencap -P out ipsec esp/tunnel/x.x.x.x-y.y.y.y/require;
spdadd 192.168.3.0/24 192.168.0.0/24 ipencap -P in ipsec esp/tunnel/y.y.y.y-x.x.x.x/require;

Код: Выделить всё

${FwCMD} add allow ip from any to any via gif0
${FwCMD} add allow udp from x.x.x.x to y.y.y.y isakmp
${FwCMD} add allow udp from y.y.y.y to x.x.x.x isakmp
${FwCMD} add allow esp from x.x.x.x to y.y.y.y
${FwCMD} add allow esp from y.y.y.y to x.x.x.x
${FwCMD} add allow ipencap from x.x.x.x to y.y.y.y
${FwCMD} add allow ipencap from y.y.y.y to x.x.x.x

Код: Выделить всё

path pre_shared_key "/usr/local/etc/racoon/psk.txt";
log debug2;

listen
{
isakmp x.x.x.x;
}
remote anonymous 
{
exchange_mode aggressive;
my_identifier address;
lifetime time 24 hour;

proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 12 hour;
encryption_algorithm 3des, blowfish, des, rijndael;
authentication_algorithm hmac_sha1, hmac_md5;
compression_algorithm deflate;
}
в psk.txt выставлены права, прописан ип и пасс
пинги ходят, при

Код: Выделить всё

setkey -D
No SAD entries

Код: Выделить всё

setkey -DP
192.168.3.0/24[any] 192.168.0.0/24[any] ip4
        in ipsec
        esp/tunnel/y.y.y.y-x.x.x.x/require
        spid=2 seq=1 pid=2983
        refcnt=1
192.168.0.0/24[any] 192.168.3.0/24[any] ip4
        out ipsec
        esp/tunnel/x.x.x.x-y.y.y.y/require
        spid=1 seq=0 pid=2983
        refcnt=1
в логах , что на одной стороне, что на другой одинаково

Код: Выделить всё

2010-06-24 02:16:45: INFO: caught signal 15
2010-06-24 02:16:46: INFO: racoon shutdown
2010-06-24 02:16:47: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
2010-06-24 02:16:47: INFO: @(#)This product linked OpenSSL 0.9.8k 25 Mar 2009 (http://www.openssl.org/)
2010-06-24 02:16:47: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2010-06-24 02:16:47: DEBUG2: lifetime = 86400
2010-06-24 02:16:47: DEBUG2: lifebyte = 0
2010-06-24 02:16:47: DEBUG2: encklen=0
2010-06-24 02:16:47: DEBUG2: p:1 t:1
2010-06-24 02:16:47: DEBUG2: 3DES-CBC(5)
2010-06-24 02:16:47: DEBUG2: SHA(2)
2010-06-24 02:16:47: DEBUG2: 1024-bit MODP group(2)
2010-06-24 02:16:47: DEBUG2: pre-shared key(1)
2010-06-24 02:16:47: DEBUG2: 
2010-06-24 02:16:47: DEBUG: hmac(modp1024)
2010-06-24 02:16:47: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.
2010-06-24 02:16:47: DEBUG: getsainfo params: loc='ANONYMOUS', rmt='ANONYMOUS', peer='NULL', id=0
2010-06-24 02:16:47: DEBUG: getsainfo pass #2
2010-06-24 02:16:47: DEBUG2: parse successed.
2010-06-24 02:16:47: INFO: x.x.x.x[500] used as isakmp port (fd=5)
2010-06-24 02:16:47: WARNING: setsockopt(UDP_ENCAP_ESPINUDP_NON_IKE): UDP_ENCAP Invalid argument
2010-06-24 02:16:47: DEBUG: pk_recv: retry[0] recv() 
2010-06-24 02:16:47: DEBUG: get pfkey X_SPDDUMP message
2010-06-24 02:16:47: DEBUG2: 
02120000 0f000100 01000000 1a050000 03000500 04180000 10020000 c0a80300
00000000 00000000 03000600 04180000 10020000 c0a80000 00000000 00000000
07001200 02000100 02000000 00000000 28003200 02020000 10020000 5c3284e6
00000000 00000000 10020000 5c328345 00000000 00000000
2010-06-24 02:16:47: DEBUG: pk_recv: retry[0] recv() 
2010-06-24 02:16:47: DEBUG: get pfkey X_SPDDUMP message
2010-06-24 02:16:47: DEBUG2: 
02120000 0f000100 00000000 1a050000 03000500 04180000 10020000 c0a80000
00000000 00000000 03000600 04180000 10020000 c0a80300 00000000 00000000
07001200 02000200 01000000 00000000 28003200 02020000 10020000 5c328345
00000000 00000000 10020000 5c3284e6 00000000 00000000
2010-06-24 02:16:47: DEBUG: sub:0xbfbfe4ac: 192.168.0.0/24[0] 192.168.3.0/24[0] proto=4 dir=out
2010-06-24 02:16:47: DEBUG: db :0x28547148: 192.168.3.0/24[0] 192.168.0.0/24[0] proto=4 dir=in
конфиг на другой стороне аналогичен, ип местами изменены
tcpdump не показывает шифрованные пакеты, где ошибся?
спасибо

promSSe
ефрейтор
Сообщения: 55
Зарегистрирован: 2008-12-15 14:16:36

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение promSSe » 2010-07-02 1:52:37

gmn писал(а):Привет.

Так все же ... Как сделать можно?
Есть две сети 192.168.1.0/24 (именно так, с одинаковой адресацией) и их надо соединить через ipsec (FreeBSD 7.2, kernel nat, racoon2).
Вариант - натить сетку на одной из сторон в другую, например, в 192.168.2.0/24 и соединять сети 192.168.1 и 192.168.2.
Но пробовал делать redirect_addr (один, не всю сеть) - не работает.
Может надо патч применять для NAT-T и его использовать?
Как вариант реализовать в виде точка-точка.