Настройка шифрованного туннеля с использованием IPSEC

[ink08]

Привет.

Так все же ... Как сделать можно?
Есть две сети 192.168.1.0/24 (именно так, с одинаковой адресацией) и их надо соединить через ipsec (FreeBSD 7.2, kernel nat, racoon2).
Вариант - натить сетку на одной из сторон в другую, например, в 192.168.2.0/24 и соединять сети 192.168.1 и 192.168.2.
Но пробовал делать redirect_addr (один, не всю сеть) - не работает.
Может надо патч применять для NAT-T и его использовать?

Как вариант реализовать в виде точка-точка.

по определению не получится соеденить 2 удаленные сети с одинаковой адресацией ip туннелем... хотя есть решение - openvpn tap - именно то, что вам нужно

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[St@yt]

Привет! Нужна помощь…..

Задача такова: поднять VPN туннель через IPSec для соединения 2х сетей.
две сети (192.168.10.0/24 и 192.168.20.0/24), у каждой шлюз на фре( 7.2 и 8.0), через инет соединены с помощью VPN (IPSec).
Сеть №1 (192.168.10.0/24) внешний ip – 192.168.1.236, внутренний ip – 192.168.10.3. FreeBSD 8.0-RELEASE
Сеть №2 (192.168.20.0/24) внешний ip – 192.168.1.235, внутренний ip – 192.168.20.3. FreeBSD 7.2-RELEASE

Authentication Methods: preshared-key

Туннель поднялся нормально, в смысле, роутинг настроин. Пингуются все машины из обeих сетей.

Проблема: не шифруется трафик который идет через туннель.

Код: Выделить всё

21:54 /root>#> setkey -D
No SAD entries.
21:54 /root>#>

Код: Выделить всё

22:33 /var/log>#> ping 192.168.10.5
PING 192.168.10.5 (192.168.10.5): 56 data bytes
64 bytes from 192.168.10.5: icmp_seq=0 ttl=127 time=11.018 ms
64 bytes from 192.168.10.5: icmp_seq=1 ttl=127 time=5.212 ms
64 bytes from 192.168.10.5: icmp_seq=2 ttl=127 time=6.019 ms
^C
--- 192.168.10.5 ping statistics ---
3 packets transmitted, 3 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 5.212/7.416/11.018/2.568 ms
22:33 /var/log>#>

Конфиги первого шлюза 192.168.1.235 (внутренний ip – 192.168.20.3. FreeBSD 7.2-RELEASE )

Код: Выделить всё

22:30 /var/log>#> sysctl -a | grep ipsec
<118>Installing ipsec manual keys/policies.
<118>Installing ipsec manual keys/policies.
<118>Installing ipsec manual keys/policies.
<118>Installing ipsec manual keys/policies.
net.inet.ipsec.def_policy: 1
net.inet.ipsec.esp_trans_deflev: 1
net.inet.ipsec.esp_net_deflev: 1
net.inet.ipsec.ah_trans_deflev: 1
net.inet.ipsec.ah_net_deflev: 1
net.inet.ipsec.ah_cleartos: 1
net.inet.ipsec.ah_offsetmask: 0
net.inet.ipsec.dfbit: 0
net.inet.ipsec.ecn: 0
net.inet.ipsec.debug: 0
net.inet.ipsec.esp_randpad: -1
net.inet.ipsec.crypto_support: 50331648
22:30 /var/log>#>

Код: Выделить всё

#------IPSec Tunnel
gif_interfaces="gif0"
gifconfig_gif0="192.168.1.235 192.168.1.236"
ifconfig_gif0="inet 192.168.20.3 192.168.10.3 netmask 0xffffffff"
static_routes="vpn"
route_vpn="192.168.10.0/24 192.168.10.3"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
ipsec_program="/usr/local/sbin/setkey"
racoon_enable="yes"
racoon_flags="-f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log"

Код: Выделить всё

22:31 /var/log>#> ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:0c:29:01:d6:0d
        inet 192.168.1.235 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:0c:29:01:d6:17
        inet 192.168.20.3 netmask 0xffffff00 broadcast 192.168.20.255
        media: Ethernet autoselect (1000baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet 127.0.0.1 netmask 0xff000000
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280
        tunnel inet 192.168.1.235 --> 192.168.1.236
        inet 192.168.20.3 --> 192.168.10.3 netmask 0xffffffff
22:31 /var/log>#>

ipsec.conf

Код: Выделить всё

flush;
spdflush;
spdadd 192.168.20.0/24 192.168.10.0/24 ipencap -P out ipsec
esp/tunnel/192.168.1.235-192.168.1.236/require;
spdadd 192.168.10.0/24 192.168.20.0/24 ipencap -P in ipsec
esp/tunnel/192.168.1.236-192.168.1.235/require;

racoon.conf

Код: Выделить всё

path include "/usr/local/etc/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
padding
{
 maximum_length 20;
  randomize off;
  strict_check off;
  exclusive_tail off;
 }
listen
{
 isakmp 192.168.1.235 [500];
}
timer
{
 counter 5;
  interval 20 sec;
  persend 1;
  phase1 30 sec;
 phase2 15 sec;
}
remote 192.168.1.236 [500]
{
 exchange_mode main,aggressive;
 my_identifier address 192.168.1.235;
 peers_identifier address 192.168.1.236;
 lifetime time 60 min;
 nonce_size 16;
 initial_contact on;
 proposal_check obey;

 proposal {
  encryption_algorithm blowfish;
  hash_algorithm md5;
  authentication_method pre_shared_key;
  dh_group 1;
 }
}
sainfo address 192.168.20.0/24 any address 198.168.10.0/24 any
{
 pfs_group 1;
 lifetime time 24 hour;
 encryption_algorithm blowfish,3des;
 authentication_algorithm hmac_md5;
 compression_algorithm deflate;
}

racoon.log

Код: Выделить всё

2010-07-04 22:19:54: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
2010-07-04 22:19:54: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
2010-07-04 22:19:54: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2010-07-04 22:19:54: INFO: 192.168.1.235[500] used as isakmp port (fd=5)

Код: Выделить всё

22:57 /usr/local/myfirewall>#> ipfw list
00100 allow tcp from me to any dst-port 22
00200 allow tcp from any to me dst-port 22
>>> 00300 allow all from any to any via gif0 <<<
00400 divert 8668 ip from any to any via em0
00500 allow ip from any to any
65535 deny ip from any to any
22:58 /usr/local/myfirewall>#>

Код: Выделить всё

22:31 /var/log>#> setkey -DP
192.168.10.0/24[any] 192.168.20.0/24[any] ip4
        in ipsec
        esp/tunnel/192.168.1.236-192.168.1.235/require
        spid=2 seq=1 pid=935
        refcnt=1
192.168.20.0/24[any] 192.168.10.0/24[any] ip4
        out ipsec
        esp/tunnel/192.168.1.235-192.168.1.236/require
        spid=1 seq=0 pid=935
        refcnt=1
22:31 /var/log>#>

Конфиги второго шлюза 192.168.1.236 (внутренний ip – 192.168.10.3. FreeBSD 8-RELEASE )

Код: Выделить всё

22:06 /usr/local/billing>#> sysctl -a | grep ipsec
<118>Installing ipsec manual keys/policies.
<118>Installing ipsec manual keys/policies.
<118>Installing ipsec manual keys/policies.
<118>Installing ipsec manual keys/policies.
<118>Installing ipsec manual keys/policies.
net.inet.ipsec.def_policy: 1
net.inet.ipsec.esp_trans_deflev: 1
net.inet.ipsec.esp_net_deflev: 1
net.inet.ipsec.ah_trans_deflev: 1
net.inet.ipsec.ah_net_deflev: 1
net.inet.ipsec.ah_cleartos: 1
net.inet.ipsec.ah_offsetmask: 0
net.inet.ipsec.dfbit: 0
net.inet.ipsec.ecn: 0
net.inet.ipsec.debug: 0
net.inet.ipsec.filtertunnel: 0
net.inet.ipsec.crypto_support: 50331648
22:06 /usr/local/billing>#>

Код: Выделить всё

21:52 /root>#> ifconfig
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:0c:29:51:84:b5
        inet 192.168.1.236 netmask 0xffffff00 broadcast 192.168.1.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
em1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:0c:29:51:84:bf
        inet 192.168.10.3 netmask 0xffffff00 broadcast 192.168.10.255
        media: Ethernet autoselect (1000baseT <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        options=3<RXCSUM,TXCSUM>
        inet 127.0.0.1 netmask 0xff000000
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280
        tunnel inet 192.168.1.236 --> 192.168.1.235
        inet 192.168.10.3 --> 192.168.20.3 netmask 0xffffffff
        options=1<ACCEPT_REV_ETHIP_VER>
21:53 /root>#>

rc.conf

Код: Выделить всё

#-------IPSec Tunnel
gif_interfaces="gif0"
gifconfig_gif0="192.168.1.236 192.168.1.235"
ifconfig_gif0="inet 192.168.10.3 192.168.20.3 netmask 0xffffffff"
static_routes="vpn"
route_vpn="192.168.20.0/24 192.168.20.3"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
ipsec_program="/usr/local/sbin/setkey"
racoon_enable="yes"
racoon_flags="-f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log"

ipsec.conf

Код: Выделить всё

flush;
spdflush;
spdadd 192.168.10.0/24 192.168.20.0/24 ipencap -P out ipsec
esp/tunnel/192.168.1.236-192.168.1.235/require;
spdadd 192.168.20.0/24 192.168.10.0/24 ipencap -P in ipsec
esp/tunnel/192.168.1.235-192.168.1.236/require;

racoon.conf

Код: Выделить всё

path include "/usr/local/etc/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
padding
{
  maximum_length 20;
  randomize off;
  strict_check off;
  exclusive_tail off;
 }
listen
{
  isakmp 192.168.1.236 [500];
}
timer
{
  counter 5;
  interval 20 sec;
  persend 1;
  phase1 30 sec;
  phase2 15 sec;
}
remote 192.168.1.235 [500]
{
  exchange_mode main,aggressive;
  doi ipsec_doi;
  situation identity_only;
  my_identifier address 192.168.1.236;
  peers_identifier address 192.168.1.235;
  lifetime time 60 min;
  nonce_size 16;
  initial_contact on;
  proposal_check obey; 

  proposal {
    encryption_algorithm blowfish;
    hash_algorithm md5;
    authentication_method pre_shared_key;
    dh_group 1;
  }
}
sainfo address 192.168.10.0/24 any address 192.168.20.0/24 any
{
  pfs_group 1;
  lifetime time 24 hour;
  encryption_algorithm blowfish,3des;
  authentication_algorithm hmac_md5;
  compression_algorithm deflate;
}

racoon.log

Код: Выделить всё

2010-07-04 21:25:05: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
2010-07-04 21:25:05: INFO: @(#)This product linked OpenSSL 0.9.8k 25 Mar 2009 (http://www.openssl.org/)
2010-07-04 21:25:05: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2010-07-04 21:25:05: INFO: 192.168.1.236[500] used as isakmp port (fd=5)

Код: Выделить всё

22:04 /usr/local/billing>#> ipfw list
>>> 00100 allow log ip from any to any via gif0  <<<
00200 divert 8668 ip from any to any via em0
00300 allow ip from any to any
65535 deny ip from any to any
22:05 /usr/local/billing>#>

Код: Выделить всё

21:54 /root>#> setkey -DP
192.168.20.0/24[any] 192.168.10.0/24[any] ip4
        in ipsec
        esp/tunnel/192.168.1.235-192.168.1.236/require
        spid=2 seq=1 pid=1064
        refcnt=1
192.168.10.0/24[any] 192.168.20.0/24[any] ip4
        out ipsec
        esp/tunnel/192.168.1.236-192.168.1.235/require
        spid=1 seq=0 pid=1064
        refcnt=1
21:54 /root>#>

итого, пингуем машину в сети 192.168.10.0/24 с первого шлюза(192.168.1.235).

Код: Выделить всё

23:01 /usr/local/myfirewall>#> ping 192.168.10.5
PING 192.168.10.5 (192.168.10.5): 56 data bytes
64 bytes from 192.168.10.5: icmp_seq=0 ttl=127 time=18.166 ms
64 bytes from 192.168.10.5: icmp_seq=1 ttl=127 time=4.190 ms
64 bytes from 192.168.10.5: icmp_seq=2 ttl=127 time=4.735 ms
64 bytes from 192.168.10.5: icmp_seq=3 ttl=127 time=6.461 ms
64 bytes from 192.168.10.5: icmp_seq=4 ttl=127 time=6.588 ms
64 bytes from 192.168.10.5: icmp_seq=5 ttl=127 time=12.568 ms
64 bytes from 192.168.10.5: icmp_seq=6 ttl=127 time=4.798 ms
^C
--- 192.168.10.5 ping statistics ---
7 packets transmitted, 7 packets received, 0.0% packet loss
round-trip min/avg/max/stddev = 4.190/8.215/18.166/4.836 ms

получаем дамп (тот же шлюз):

Код: Выделить всё

23:01 /root>#> tcpdump -i em0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on em0, link-type EN10MB (Ethernet), capture size 96 bytes
23:01:56.801339 IP xgate > 192.168.1.236: IP 192.168.20.3 > 192.168.10.5: ICMP echo request, id 3076, seq 1, length 64 (ipip-proto-4)
23:01:56.803222 IP 192.168.1.236 > xgate: IP 192.168.10.5 > 192.168.20.3: ICMP echo reply, id 3076, seq 1, length 64 (ipip-proto-4)
23:01:57.809635 IP xgate > 192.168.1.236: IP 192.168.20.3 > 192.168.10.5: ICMP echo request, id 3076, seq 2, length 64 (ipip-proto-4)
23:01:57.811655 IP 192.168.1.236 > xgate: IP 192.168.10.5 > 192.168.20.3: ICMP echo reply, id 3076, seq 2, length 64 (ipip-proto-4)
23:01:57.816579 IP xgate.ssh > 192.168.1.233.4698: P 369:469(100) ack 52 win 65535
23:01:57.894088 IP 192.168.1.233.4698 > xgate.ssh: . ack 469 win 64107
^C
147 packets captured
266 packets received by filter
0 packets dropped by kernel

первый пакет потерян. я так думаю при обмене ключами.... но не шифруется....

парни, подскажите.... может я дето затупил и пропустил чото?....
зарание спасибо.

[sl1p]

St@yt, у меня то ж не получилось с шифрованием ( мои конфиги смотри , пару постов выше). Повторил с хендбука, все ок
http://www.freebsd.org/doc/en_US.ISO885 ... ipsec.html

[St@yt]

судя из того что я перерыл и перепробовал, разница только в определении политики.... а так, по логике, должно работать...
так не работает же, мать его.....

[St@yt]

вопрос решен....
прежде всего настраивал шифрование по HandBook на версии фря 8.0 ( и выше, пологике будет работать ).
на версиях ниже 8.0, в частности, у меня была 7.2, нужно патчить ядро. при установке racoon в конфиге необходима опция NATT. фря сказала чтобы опция функционировала нужно патчить ядро.

Код: Выделить всё

===> ATTENTION: You need a kernel patch to enable NAT-Traversal functionality!
===> You can download the patch here:
===>     http://ipsec-tools.sf.net/freebsd6-natt.diff
===> You might possibly have to do some steps manually if it fails to apply.

но он автоматом не пропатчился... может я чо-то неправильно сделал - не в тот каталог закачал патч... подскажите....

Код: Выделить всё

9:37 /usr/ports/security/ipsec-tools>#> cd /usr/src/sys
9:38 /usr/src/sys>#> fetch http://ipsec-tools.sf.net/freebsd6-natt.diff
fetch: http://ipsec-tools.sf.net/freebsd6-natt.diff: size of remote file is not known
freebsd6-natt.diff                                    1881  B 2010 kBps
9:39 /usr/src/sys>#> path <
9:39 /usr/src/sys>#> patch < freebsd6-natt.diff
Hmm...  I can't seem to find a patch in there anywhere.
9:40 /usr/src/sys>#>

а как в ручную это делать я не знаю.
пропатчился другой - отсюда: http://people.freebsd.org/~vanhu/NAT-T/ ... 05-12.diff
но при компиляции ядра выскочила ошибка... (может я и правда не в тот каталог закачал патч?)
короче я дальше не заморачивался... на 8 ке это исправлено и по хэнд буку работает.

[carnivore]

а если на одном из серваков 2 подсети, то как реализовать туннель??

[St@yt]

точно так же, остальное вопрос настройки роутинга...

[Bugaev]

к сожалению никак неработает racoon, незапускается, и как понять почему логов не создаёт

[snorlov]

к сожалению никак неработает racoon, незапускается, и как понять почему логов не создаёт

Если вы используете пароли, то проверьте права доступа на файл с паролями должен быть root и 600

[Bugaev]

пробовал делать и по паролю по видео от беши и от этой статьи с сертификатом, setkey -D -> no sad

[Bugaev]

может ктонить сделает виртуальную машину на вмваре и выложит?

[sergicus]

не подскажите ответ на загадку, у меня freebsd 8.2 , я настраиваю ipsec.conf

я запускаю setkey -f /etc/ipsec.conf
The result of line 1: File exists.
The result of line 2: File exists.

в итоге обнаружил что у меня нет команды spdadd? искал по всему серверу (find / -name "spdadd") , но не нашел

Пакут raсon и ipsec-tools у меня установлены

В чем дело ?? куда она пропала или может ее отменили ??

[pimlab]

ipsec.conf

Код: Выделить всё

flush;
spdflush;
spdadd 192.168.20.0/24 192.168.10.0/24 any -P out ipsec
esp/tunnel/192.168.1.235-192.168.1.236/require;
spdadd 192.168.10.0/24 192.168.20.0/24 any -P in ipsec
esp/tunnel/192.168.1.236-192.168.1.235/require;

а разве так не заработало бы?

[pimlab]

не подскажите ответ на загадку, у меня freebsd 8.2 , я настраиваю ipsec.conf

я запускаю setkey -f /etc/ipsec.conf
The result of line 1: File exists.
The result of line 2: File exists.

в итоге обнаружил что у меня нет команды spdadd? искал по всему серверу (find / -name "spdadd") , но не нашел

Пакут raсon и ipsec-tools у меня установлены

В чем дело ?? куда она пропала или может ее отменили ??

ipsec добавлен в ядро?
А лучше поднимайте openvpn, реально проще вещь... во всяком случае с динамическим ип точно.

[sergicus]

спасибо за ответ

ipsec добавлен в ядро?
А лучше поднимайте openvpn, реально проще вещь... во всяком случае с динамическим ип точно.

ipsec добавлен , вот кусок конфига ядра

Код: Выделить всё

options 	IPFIREWALL		#firewall
options 	IPFIREWALL_VERBOSE	#enable logging to syslogd(8)
options 	IPFIREWALL_VERBOSE_LIMIT=100	#limit verbosity
options 	IPFIREWALL_DEFAULT_TO_ACCEPT	#allow everything by default
options 	IPFIREWALL_FORWARD	#packet destination changes
options 	IPFIREWALL_NAT		#ipfw kernel nat support
options 	IPSEC			#IP security (requires device crypto)
options		IPSEC_NAT_T
device		crypto
device		cryptodev
options		LIBALIAS
options 	DUMMYNET
options IPDIVERT

openvpn не могу - просто сдругой стороны другая организация,а у них именно ipsec

[yurko-i]

Привет всем!!
Поставили задачу настроить VPN на удаленную точку продаж.
Вот сейчас у себя на работе тестирую. Купил роутер D-Link DI-804HV, пробую его подключить к VPN.
Cеть на работе имеет метрику 192.168.1.0/24, стоит FreeBsd 8.3 на ней нат крутится.
Офис куда подключаюсь, тож имеет метрику 192.168.1.0/24, стоит FreeBsd 8.2.
И чего-то не получается подключиться.
Пробовал из дома, там у меня притянут шнурок от провайдера, подключил, все работает.
Не скажете может не получаться из-за одинаковой метрики сети или это из-за того что роутер за натом стоит?
В офисе, куда подключаюсь ядро собрано без опции:

Код: Выделить всё

options      IPSEC_NAT_T

[sergicus]

Подскажите пожалуйста, вот настраиваю туннель
setkey - D говорит No SAD entries.

Запустил tpdump на внешнем интерфейсе
tcpdump -i wan_comcore host BBBB.ru

вот вывод

12:08:15.053299 IP AAAAA.ru > BBBB.ru: IP 192.168.85.1.50390 > 192.168.88.34.33623: UDP, length 24 (ipip-proto-4)
12:08:15.056510 IP BBBB.ru > AAAAA.ru: ICMP host BBBB.ru unreachable - admin prohibited, length 80
12:08:20.117643 IP AAAAA.ru > BBBB.ru: IP 192.168.85.1.50390 > 192.168.88.34.33624: UDP, length 24 (ipip-proto-4)
12:08:20.120696 IP BBBB.ru > AAAAA.ru: ICMP host BBBB.ru unreachable - admin prohibited, length 80
12:08:25.119730 IP AAAAA.ru > BBBB.ru: IP 192.168.85.1.50390 > 192.168.88.34.33625: UDP, length 24 (ipip-proto-4)
12:08:25.123026 IP BBBB.ru > AAAAA.ru: ICMP host BBBB.ru unreachable - admin prohibited, length 80
12:08:30.155750 IP AAAAA.ru > BBBB.ru: IP 192.168.85.1.50390 > 192.168.88.34.33626: UDP, length 24 (ipip-proto-4)
12:08:30.158898 IP BBBB.ru > AAAAA.ru: ICMP host BBBB.ru unreachable - admin prohibited, length 80


AAAAA это адрес моего шлюза
BBBBB это адрес чужого шлюза, с которым мне надо создать туннель


[root@gw] 08/21/12 /usr/home/serge $setkey -DP
192.168.85.0/24[any] 192.168.88.0/24[any] any
in ipsec
esp/tunnel/AAAAA-BBBB/require
spid=8 seq=1 pid=83322
refcnt=1
192.168.88.0/24[any] 192.168.85.0/24[any] any
out ipsec
esp/tunnel/BBBB-AAAAA/require
spid=7 seq=0 pid=83322
refcnt=1
[root@gw] 08/21/12 /usr/home/serge $


подскажите пожалуйста что за ошибка в логах tcpdumpa, и она ли влияет на то не создается туннеля, и на чьем она компьютере?

[arnel]

Раз тут тема про IPSEC, задам и я свой вопрос:
Все настроил, пакетики бегают, но туннель не поднимается, пока с серва не пинганешь удаленный шлюз. С удаленного шлюза пинговать не могу, там стоит Zyxel ZyWall USG20. И вот вопрос - как лучшее поднимать его во время старта? При чем при попытке пинга из локальной сети тоже не проходит и соединение не поднимает.