роутер в офисе на FreeBSD 6.2:
pf, mpd5, racoon2
Код: Выделить всё
KERNCONF:
device pf
device pflog
device pfsync
options ALTQ
device gre
options NETGRAPH
options NETGRAPH_ETHER
options NETGRAPH_SOCKET
options NETGRAPH_TEE
options NETGRAPH_MPPC_ENCRYPTION
options NETGRAPH_MPPC_COMPRESSION
options NETGRAPH_BPF
options NETGRAPH_IFACE
options NETGRAPH_KSOCKET
options NETGRAPH_PPP
options NETGRAPH_PPTPGRE
options NETGRAPH_TCPMSS
options NETGRAPH_VJC
options NETGRAPH_ONE2MANY
options NETGRAPH_RFC1490
options NETGRAPH_TEE
options NETGRAPH_TTY
options NETGRAPH_UI
options IPSEC
options IPSEC_ESP
options IPSEC_DEBUG
device crypto
Код: Выделить всё
Jan 28 10:28:31 router kernel: ng_mppc_decompress: too many (3959) packets dropped, disabling node 0xc19bc500!
Jan 28 10:28:42 router routed[728]: Send sendto(ng0, 10.10.0.1.520): No buffer space available
не помогло:
Код: Выделить всё
2009-01-28 10:35:36 [INFO]: ikev1.c:1492:ikev1_post_acquire(): IPsec-SA request for 192.168.4.80 queued since no phase1 found
2009-01-28 10:35:36 [INFO]: ikev1.c:911:isakmp_ph1begin_i(): initiate new phase 1 negotiation: 192.168.4.1[500]<=>192.168.4.80[500]
2009-01-28 10:35:36 [INFO]: ikev1.c:916:isakmp_ph1begin_i(): begin Identity Protection mode.
2009-01-28 10:36:07 [INTERNAL_ERR]: ikev1.c:1535:isakmp_chkph1there(): phase2 negotiation failed due to time up waiting for phase1. ESP 192.168.4.80[0]->192.168.4.1[0]
2009-01-28 10:36:07 [INFO]: ikev1.c:1540:isakmp_chkph1there(): delete phase 2 handler.
Код: Выделить всё
#racoon.conf
interface
{
spmd {
unix "/var/run/racoon2/spmif";
};
spmd_password "/usr/local/etc/racoon2/psk/spmd.psk";
ike {
192.168.4.1 port 500;
};
};
# resolver info
resolver
{
resolver off;
};
default
{
remote {
acceptable_kmp { ikev1; };
ikev1 {
logmode normal;
kmp_sa_lifetime_time 3600 sec;
kmp_sa_lifetime_byte infinite;
interval_to_send 10 sec;
times_per_send 1;
ipsec_sa_nego_time_limit 40 sec;
kmp_enc_alg { aes128_cbc; 3des_cbc; };
kmp_hash_alg { sha1; md5; };
kmp_dh_group { modp3072; modp2048; modp1024; };
kmp_auth_method { psk; };
random_pad_content on;
# max_padlen 50 bytes;
};
policy {
ipsec_mode transport;
ipsec_level require;
};
ipsec {
ipsec_sa_lifetime_time infinite;
ipsec_sa_lifetime_byte infinite;
};
sa {
esp_enc_alg { aes128_cbc; 3des_cbc; };
esp_auth_alg { hmac_sha1; hmac_md5; };
};
};
ipsec ipsec_ah_esp {
ipsec_sa_lifetime_time 28800 sec;
sa_index { ah_01; esp_01; };
};
ipsec ipsec_esp {
ipsec_sa_lifetime_time 28800 sec;
sa_index esp_01;
};
sa ah_01 {
sa_protocol ah;
ah_auth_alg { hmac_sha1; hmac_md5; };
};
sa esp_01 {
sa_protocol esp;
esp_enc_alg { aes128_cbc; 3des_cbc; };
esp_auth_alg { hmac_sha1; hmac_md5; };
};
remote office3 { # второе правило, для соединения с роутером
acceptable_kmp { ikev1; }; # тип протокола
ikev1 {
my_id ipaddr 192.168.4.1; # мой внешний IP адрес
peers_id ipaddr 192.168.4.80; # внешний IP адрес роутера
peers_ipaddr 192.168.4.80 port 500; # внешний IP адрес и порт роутера
kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; };
kmp_hash_alg { sha1; };
kmp_dh_group { modp2048; modp1536; };
## Use Preshared Key
kmp_auth_method { psk; };
pre_shared_key /usr/local/etc/racoon2/psk/test.psk; # путь к вашему ключу
};
};
##########
#селекторы
##########
selector office3_out {
direction outbound;
src 192.168.0.0/22; # сеть местного офиса
dst 10.0.1.0/24; # сеть удаленного офиса
policy_index office3; # имя политики
};
selector office3_in {
direction inbound;
dst 192.168.0.0/22; # сеть местного офиса
src 10.0.1.1/24; # сеть удаленного офиса
policy_index office3; # имя политики
};
#########
#политика
#########
policy office3 {
action auto_ipsec;
remote_index office3; # имя правила
ipsec_mode tunnel;
ipsec_index { ipsec_esp; };
ipsec_level require;
peers_sa_ipaddr 192.168.4.80; # внешний IP адрес роутера
my_sa_ipaddr 192.168.4.1; # мой внешний IP адрес
};