IPSEC FreeBSD<==>DI-804HV

[savio]

FreeBSD 7.0. С портов установил ipsec-tools(в нем racoon v.1)
Сделал все как http://www.d-link.ru/technical/faq_vpn_11.php
на стророне Freebsd

Код: Выделить всё

...
2008-09-29 11:21:17: ERROR: ignore information because the message is too short - 84 byte(s).
2008-09-29 11:21:17: INFO: respond new phase 1 negotiation: 192.168.0.31[500]<=>192.168.0.20[500]
2008-09-29 11:21:17: INFO: begin Identity Protection mode.
2008-09-29 11:21:17: WARNING: SPI size isn't zero, but IKE proposal.
2008-09-29 11:21:17: WARNING: No ID match.
2008-09-29 11:21:17: INFO: ISAKMP-SA established 192.168.0.31[500]-192.168.0.20[500] spi:d9ec30f79d0a7a4e:5d4b1225c4183a67
2008-09-29 11:21:22: NOTIFY: the packet is retransmitted by 192.168.0.20[500].
...

в логах DI-804HV

Код: Выделить всё

...
Wednesday June 18, 2008 00:46:13 ID type error
Wednesday June 18, 2008 00:46:18 IKED re-TX : IDINIT to 192.168.0.31
Wednesday June 18, 2008 00:46:18 Receive IKE M6(IDRESP) : 192.168.0.31 --> 192.168.0.20
Wednesday June 18, 2008 00:46:18 ID type error
...

что делаю не так? ID type error - где его прописать? в железке есть Local ID и Remote ID. можно задать значение типа IP address, FQDN, User FQDN.

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[zingel]

конфиги и того и другого.

[savio]

c этим разобрался.
нужно строчку my_identifier address; паскоментировать, а следующую закоментировать.
короче все работает.
вопрос теперь в другом. как мне внутри этого ipsec тунеля поднять pptp c моим vpn-сервером(mpd).
так как подвязано у меня всем инет через pptp давать.
?

[zingel]

http://www.sigsegv.cx/FreeBSD-WIN2K-VPN ... sed-3.html

[savio]

да не, не то.
наверное я плохо объяснил ситуацию.
Freebsd(внешиний - 192.168.0.31, внутрений - 192.168.15.1)
DI-804HV(внешиний - 192.168.0.20,внутрений - 192.168.33.1)

тунель IPSec поднялся. с FreBSD пингую 192.168.33.1.
теперь нужно что бы DI-804HV законектился на сервер PPTP(MPD) к 192.168.15.1, а не на 192.168.0.31
тоесть VPN(pptp) внутри VPN(ipsec)
это как-то можно сделать?

[zingel]

Ну и замуты у Вас, вопрос - зачем это всё? Я склоняюсь к тому, что стоит глянуть конфиги и свича и mpd

[savio]

ладно. подход плохой.
вопрос следующий.
есть два офиса(192.168.33.0.24), на каждом локальная сеть. нужно объеденить локалки.
на каждый офис буду ставить DI-804HV(192.168.0.20,192.168.21 ).
который по айписеку должны конектица к серваку FreeBSD(192.168.0.31, внутреняя - 192.168.15.1) . тким способом объеденить две сетки

когда в /etc/ipsec.conf пишу

Код: Выделить всё

flush;
spdflush;
spdadd 192.168.15.0/24 192.168.33.0/24 any -P out ipsec esp/tunnel/192.168.0.31-192.168.0.20/require;
spdadd 192.168.33.0/24 192.168.15.0/24 any -P in ipsec esp/tunnel/192.168.0.20-192.168.0.31/require;

spdadd 192.168.15.0/24 192.168.33.0/24 any -P out ipsec esp/tunnel/192.168.0.31-192.168.0.21/require;
spdadd 192.168.33.0/24 192.168.15.0/24 any -P in ipsec esp/tunnel/192.168.0.21-192.168.0.31/require;

то ясное дело ругается на шестую строку, потому как в третей строке я указал куда роутить
как быть?