выручите пожалста.
строю ip-телефонию, у провайдера условие - обмен данными через IPSec. ну думаю ничего стращного, IPSec-ом уже объединял офисы - ничего сложного, но есть неболшое но
В общем у прова имеется Циска (не говорит какая), с которой нужно подружить мою фрю (IPSec должен быть lan-to-lan)
исходные данные:
1.1.1.1 - белый ip циски
111.111.111.44/30 - подсеть (белая), которую шифрует провайдер (в ней будет нужный мне proxy 111.111.111.46)
2.2.2.2 - мой белый ip
мне сказали сделать такую сеточку 172.30.128.32/30 - это сеть которую должен буду я шифровать со своей стороны, в которой будет находиться мой pbx
сконфигурил для всего этого дела гиф таким образом:
Код: Выделить всё
gifconfig_gif1="2.2.2.2 1.1.1.1 mtu 1500"
ifconfig_gif1="inet 172.30.128.32 netmask 255.255.255.252 111.111.111.44 netmask 255.255.255.252"
Код: Выделить всё
static_routes="gw"
route_gw="111.111.111.44/30 -interface gif1"
Код: Выделить всё
ifconfig_sk0_alias9="inet 172.30.128.33 netmask 255.255.255.252"
Код: Выделить всё
allow ip from any to any via gif1
allow udp from 1.1.1.1 to 2.2.2.2 dst-port 500
allow udp from 2.2.2.2 to 1.1.1.1 dst-port 500
allow esp from 1.1.1.1 to 2.2.2.2
allow esp from 2.2.2.2 to 1.1.1.1
allow ipencap from 1.1.1.1 to 2.2.2.2
allow ipencap from 2.2.2.2 to 1.1.1.1
Код: Выделить всё
# cat /usr/local/etc/racoon/racoon.conf | grep -v ^# | grep -v ^$
path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
log debug2;
padding
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
listen
{
isakmp 1.1.1.1 [500];
isakmp 3.3.3.3 [500];
}
timer
{
counter 5;
interval 20 sec;
persend 1;
phase1 30 sec;
phase2 15 sec;
}
remote anonymous
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
my_identifier address;
lifetime time 86400 sec;
initial_contact on;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
lifetime time 86400 sec;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 86400 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
Код: Выделить всё
# netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
...
1.1.1.1 2.2.2.1 UGHS 0 19 rl0
111.111.111.44 172.30.128.32 UH 0 0 gif1 =>
111.111.111.44/30 gif1 US 0 7 gif1
Код: Выделить всё
# ping 111.111.111.46
...
# tcpdump -i gif1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on gif1, link-type NULL (BSD loopback), capture size 96 bytes
18:41:14.663569 IP 172.30.128.32 > 111.111.111.46: ICMP echo request, id 30511, seq 0, length 64
18:41:15.704604 IP 172.30.128.32 > 111.111.111.46: ICMP echo request, id 30511, seq 1, length 64
18:41:16.745982 IP 172.30.128.32 > 111.111.111.46: ICMP echo request, id 30511, seq 2, length 64
когда же указываю источник пинга то видно что пакеты идут уже от кого надо, но только результата это не дает, все остальное - как и прежде - не работает:
Код: Выделить всё
# ping 111.111.111.46
...
# tcpdump -i gif1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on gif1, link-type NULL (BSD loopback), capture size 96 bytes
18:44:48.019392 IP 172.30.128.33 > 212.58.166.46: ICMP echo request, id 39983, seq 0, length 64
18:44:49.060037 IP 172.30.128.33 > 212.58.166.46: ICMP echo request, id 39983, seq 1, length 64
заранее спасибо!