ipsec и сертефикат

[ioj]

Здравствуйте все:)
решил поднять ipsec и появилась проблема. Может подскажите в чем и проблема или куда посмотреть

Код: Выделить всё

ERROR: /usr/local/etc/racoon/racoon.conf:69: ""/cert/client.key" failed to load certificate "/cert/client.crt"

строка в еноте

Код: Выделить всё

certificate_type x509 "/cert/client.crt" "/cert/client.key";

папка с сертификатами:

Код: Выделить всё

-rw-r--r--  1 ioj  wheel  969 Jul  5 12:21 client.crt
-rw-r--r--  1 ioj  wheel  712 Jul  5 12:20 client.csr
-rw-r--r--  1 ioj  wheel  887 Jul  5 12:19 client.key

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[ioj]

как говорят - утро вечера мудренее=) сам справился=)

[ioj]

может поможете с дырками для ipfw?

Код: Выделить всё

${FwCMD} add allow ip from any to any via gif0
${FwCMD} add allow esp from me to 10.16.5.83 keep-state
${FwCMD} add allow ipencap from any to any
${FwCMD} add allow udp from me to 10.16.5.83 500,1701,4500 keep-state

10.16.5.83 - ip на другой стороне
не могу понять что не так

[werder31]

Код: Выделить всё

$cmd 00005 allow ip from any to any via gif0
$cmd 00010 allow udp from $wanip1 to $wanip2 isakmp
$cmd 00020 allow udp from $wanip2 to $wanip1 isakmp
$cmd 00030 allow ipencap from $wanip1 to $wanip2
$cmd 00040 allow ipencap from $wanip2 to $wanip1
$cmd 00080 allow esp from $wanip1 to $wanip2
$cmd 00090 allow esp from $wanip2 to $wanip1

Сильно не критикуйте ))

[ioj]

спасибо, но пробовал(( толку 0... думаю попробовать на тестовые машины поставить pf... вдруг прокатит

[ioj]

может в конфиге енота что не так?

Код: Выделить всё

path include "usr/local/etc/racoon";


path certificate "usr/local/etc/racoon/cert";

log debug;

padding
{
        maximum_length 20;
        randomize off;
        strict_check off;
        exclusive_tail off;
}

listen
{
        isakmp wlan1 [500];
        isakmp_natt wlan1 [4500];
}

timer
{
        counter 5;
        interval 20 sec;
        natt_keepalive 15 sec;
        persend 1;

        phase1 30 sec;
        phase2 15 sec;
}

remote wlan2 [500]
{
        exchange_mode main,aggressive;
        doi ipsec_doi;
        lifetime time 24 hour;
        passive on;
        generate_policy on;
        proposal_check obey;
        nat_traversal on;
        ike_frag on;
        my_identifier asn1dn;
        peers_identifier asn1dn;
        verify_identifier on;
        send_cr on;
        verify_cert on;
        send_cert on;
        certificate_type x509 "/usr/local/etc/racoon/cert/server.crt" "/usr/local/etc/racoon/cert/server.key";
        ca_type x509 "/usr/local/etc/racoon/cert/ca/ca.crt";
        nonce_size 16;
        initial_contact on;

        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method rsasig;
                dh_group 2;
        }
}

sainfo anonymous
{
        pfs_group 2;
        lifetime time 1 hour;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

[ioj]

пока читал хендбук и рылся в и-нете в поисках всякого наткнулся на опцию ipsec для ядра

Код: Выделить всё

options         IPSEC_FILTERGIF 
pseudo-device   gif 

и это упоминается в связи с использованием ipfw. В связи с эим вопрос - на сколько это сейчас актуально, ибо записи достаточно старые.