непонятки с ipsec

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
kosta
проходил мимо

непонятки с ipsec

Непрочитанное сообщение kosta » 2008-08-14 17:31:37

Возникла необходимость поднять VPN между двумя сетями, в которых имеется по выход в инет через машины, на которых стоит freebsd. Для этого пользовался статьёй http://www.lissyara.su/?id=1050 и хендбуком.
Имеем две виртуальных машины с двумя сетевыми интерфейсами.
В "инет" смотрят
1-я 192.168.6.203
2-я 192.168.6.204
Внутренняя сеть
1. 192.168.100.1
2. 192.168.101.1

Туннель поднимаю скриптом

Код: Выделить всё

#!/bin/sh
my_external_ip="192.168.6.204"
foreigner_extrnal_ip="192.168.6.203"
tun_in="10.10.0.2"
tun_out="10.10.0.1"

IFCONFIG="/sbin/ifconfig"
ROUTE="/sbin/route add"

mask="255.255.255.0"
external_net="192.168.100.0/24"
#create tunnel

$IFCONFIG gif0 create
$IFCONFIG gif0 tunnel $my_external_ip $foreigner_extrnal_ip
$IFCONFIG gif0 $tun_in $tun_out netmask $mask

$ROUTE $external_net  $tun_out
Соответственный скрипт на первой машине
ipsec.conf на первой машине

Код: Выделить всё

spdadd 192.168.100.0/24 192.168.101.0/24 ipencap -P out ipsec
   esp/tunnel/10.10.0.1-10.10.0.2/require;
spdadd 192.168.101.0/24 192.168.100.0/24 ipencap -P in ipsec
   esp/tunnel/10.10.0.2-10.10.0.1/require;
и на второй:

Код: Выделить всё

spdadd 192.168.101.0/24 192.168.100.0/24 ipencap -P out ipsec
    esp/tunnel/10.10.0.2-10.10.0.1/require;
spdadd 192.168.100.0/24 192.168.101.0/24 ipencap -P in ipsec
    esp/tunnel/10.10.0.1-10.10.0.2/require;
Ракун установлен и стартует.
Туннель поднимается, пингуется

Но почему

Код: Выделить всё

#setkey –D
No SAD entries.

Хотя при setkey –P –D

Код: Выделить всё

192.168.100.0/24[any] 192.168.101.0/24[any] ip4
        in ipsec
        esp/tunnel/10.10.0.1-10.10.0.2/require
        created: Aug 14 15:41:22 2008  lastused: Aug 14 15:41:22 2008
        lifetime: 0(s) validtime: 0(s)
        spid=16388 seq=1 pid=1169
        refcnt=1
192.168.101.0/24[any] 192.168.100.0/24[any] ip4
        out ipsec
        esp/tunnel/10.10.0.2-10.10.0.1/require
        created: Aug 14 15:41:22 2008  lastused: Aug 14 15:41:22 2008
        lifetime: 0(s) validtime: 0(s)
        spid=16387 seq=0 pid=1169
        refcnt=1
при постоянном мониторинге pid меняется, а lastused – увы нет
И теперь не понятно – канал шифруется или нет?

Буду очень благодарен за помощь

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: непонятки с ipsec

Непрочитанное сообщение paradox » 2008-08-14 17:44:38

И теперь не понятно – канал шифруется или нет?
можно попробовать посмотреть tcpdump -vvvv

kosta
проходил мимо

Re: непонятки с ipsec

Непрочитанное сообщение kosta » 2008-08-14 18:15:39

вот кусок дампа:

Код: Выделить всё

17:20:27.184191 IP (tos 0x0, ttl  30, id 1739, offset 0, flags [none], proto: IPI
P (4), length: 104) 192.168.6.203 > 192.168.6.204: IP (tos 0x0, ttl  64, id 1738,
 offset 0, flags [none], proto: ICMP (1), length: 84) 10.10.0.1 > 192.168.101.1:
ICMP echo request, id 64003, seq 1, length 64

17:20:27.185162 IP (tos 0x0, ttl  30, id 2411, offset 0, flags [none], proto: IPI
P (4), length: 104) 192.168.6.204 > 192.168.6.203: IP (tos 0x0, ttl  64, id 2410,
 offset 0, flags [none], proto: ICMP (1), length: 84) 192.168.101.1 > 10.10.0.1:
ICMP echo reply, id 64003, seq 1, length 64

17:20:27.186300 IP (tos 0x10, ttl  64, id 1740, offset 0, flags [DF], proto: TCP
(6), length: 140) 192.168.6.203.22 > 192.168.6.33.2901: P 633:733(100) ack 416 wi
n 65535

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: непонятки с ipsec

Непрочитанное сообщение paradox » 2008-08-14 20:11:05

если я правильно помню то icmp не шифруеться

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35126
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: непонятки с ipsec

Непрочитанное сообщение Alex Keda » 2008-08-14 20:15:04

а я думаю, тцпдумп ловит пакеты до шифрации
Убей их всех! Бог потом рассортирует...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: непонятки с ipsec

Непрочитанное сообщение paradox » 2008-08-14 20:20:17

врядли
с какой радости бы тогда Ipsec в tcpdump добавляли

тогда уже поставить его на gif что бы наверняка

kosta
проходил мимо

Re: непонятки с ipsec

Непрочитанное сообщение kosta » 2008-08-15 10:37:08

Код: Выделить всё

09:44:54.267514 IP (tos 0x0, ttl  64, id 728, offset 0, flags [none], proto: ICMP (1), length: 84) 192.168.100.1 > 10.10.0.2: ICMP echo reply, id 35331, seq 6, length 64
09:44:55.270575 IP (tos 0x0, ttl  64, id 360, offset 0, flags [none], proto: ICMP (1), length: 84) 10.10.0.2 > 192.168.100.1: ICMP echo request, id 35331, seq 7, length 64
09:44:55.270616 IP (tos 0x0, ttl  64, id 736, offset 0, flags [none], proto: ICMP (1), length: 84) 192.168.100.1 > 10.10.0.2: ICMP echo reply, id 35331, seq 7, length 64
09:44:56.272126 IP (tos 0x0, ttl  64, id 363, offset 0, flags [none], proto: ICMP (1), length: 84) 10.10.0.2 > 192.168.100.1: ICMP echo request, id 35331, seq 8, length 64
09:44:56.272363 IP (tos 0x0, ttl  64, id 738, offset 0, flags [none], proto: ICMP (1), length: 84) 192.168.100.1 > 10.10.0.2: ICMP echo reply, id 35331, seq 8, length 64
09:44:57.270820 IP (tos 0x0, ttl  64, id 366, offset 0, flags [none], proto: ICMP (1), length: 84) 10.10.0.2 > 192.168.100.1: ICMP echo request, id 35331, seq 9, length 64
09:44:57.270844 IP (tos 0x0, ttl  64, id 740, offset 0, flags [none], proto: ICMP (1), length: 84) 192.168.100.1 > 10.10.0.2: ICMP echo reply, id 35331, seq 9, length 64
09:44:58.279927 IP (tos 0x0, ttl  64, id 369, offset 0, flags [none], proto: ICMP (1), length: 84) 10.10.0.2 > 192.168.100.1: ICMP echo request, id 35331, seq 10, length 64

Код: Выделить всё

09:45:11.558159 IP (tos 0x0, ttl  64, id 389, offset 0, flags [DF], proto: TCP (6), length: 40) 192.168.101.1.23 > 10.10.0.1.63896: R, cksum 0x3f20 (correct), 0:0(0) ack 3038417457 win 0
09:45:23.245628 IP (tos 0x0, ttl  64, id 813, offset 0, flags [DF], proto: TCP (6), length: 64) 10.10.0.1.63140 > 192.168.101.1.22: S, cksum 0x521b (correct), 1677818280:1677818280(0) win 65535 <mss 1240,nop,wscale 1,nop,nop,timestamp 1892748 0,sackOK,eol>
09:45:23.246862 IP (tos 0x0, ttl  64, id 391, offset 0, flags [DF], proto: TCP (6), length: 64) 192.168.101.1.22 > 10.10.0.1.63140: S, cksum 0x121a (correct), 2151430255:2151430255(0) ack 1677818281 win 65535 <mss 1240,nop,wscale 1,nop,nop,timestamp 755513 1892748,sackOK,eol>
09:45:23.247512 IP (tos 0x0, ttl  64, id 815, offset 0, flags [DF], proto: TCP (6), length: 52) 10.10.0.1.63140 > 192.168.101.1.22: ., cksum 0xcf82 (correct), 1:1(0) ack 1 win 33156 <nop,nop,timestamp 1892750 755513>
09:45:23.342667 IP (tos 0x0, ttl  64, id 393, offset 0, flags [DF], proto: TCP (6), length: 91) 192.168.101.1.22 > 10.10.0.1.63140: P, cksum 0xe4a3 (correct), 1:40(39) ack 1 win 33156 <nop,nop,timestamp 755613 1892750>
09:45:23.344484 IP (tos 0x0, ttl  64, id 817, offset 0, flags [DF], proto: TCP (6), length: 91) 10.10.0.1.63140 > 192.168.101.1.22: P, cksum 0xe41b (correct), 1:40(39) ack 40 win 33156 <nop,nop,timestamp 1892847 755613>
09:45:23.347780 IP (tos 0x0, ttl  64, id 395, offset 0, flags [DF], proto: TCP (6), length: 788) 192.168.101.1.22 > 10.10.0.1.63140: P 40:776(736) ack 40 win 33156 <nop,nop,timestamp 755631 1892847>
09:45:23.347819 IP (tos 0x0, ttl  64, id 819, offset 0, flags [DF], proto: TCP (6), length: 804) 10.10.0.1.63140 > 192.168.101.1.22: P 40:792(752) ack 776 win 32788 <nop,nop,timestamp 1892850 755631>
вот куски дампа гифа.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: непонятки с ipsec

Непрочитанное сообщение paradox » 2008-08-15 16:21:11

значит тунель не шифруеться
потому как если бы шифровался то картина была другая
и без задание ключа в tcpdump вы бы этого не увидили

t-34-85-60
проходил мимо
Сообщения: 6
Зарегистрирован: 2008-08-15 17:20:50

Re: непонятки с ipsec

Непрочитанное сообщение t-34-85-60 » 2008-08-15 17:32:53

а в чем тогда может заключаться причина того, что канал не шифруется?
привожу кусок лога racoon.log

Код: Выделить всё

2008-08-15 13:21:16: INFO: @(#)ipsec-tools 0.7 (http://ipsec-tools.sourceforge.net)
2008-08-15 13:21:16: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2008-08-15 13:21:16: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2008-08-15 13:21:16: DEBUG: hmac(modp1024)
2008-08-15 13:21:16: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.
2008-08-15 13:21:16: DEBUG: getsainfo params: loc='ANONYMOUS', rmt='ANONYMOUS', peer='NULL', id=0
2008-08-15 13:21:16: DEBUG: getsainfo pass #2
2008-08-15 13:21:16: INFO: 10.10.0.1[500] used as isakmp port (fd=5)
2008-08-15 13:21:16: DEBUG: pk_recv: retry[0] recv()
2008-08-15 13:21:16: DEBUG: get pfkey X_SPDDUMP message
2008-08-15 13:21:16: DEBUG: pk_recv: retry[0] recv()
2008-08-15 13:21:16: DEBUG: get pfkey X_SPDDUMP message
2008-08-15 13:21:16: DEBUG: sub:0xbfbfe600: 192.168.100.0/24[0] 192.168.101.0/24[0] proto=4 dir=out
2008-08-15 13:21:16: DEBUG: db :0x80b6a08: 192.168.101.0/24[0] 192.168.100.0/24[0] proto=4 dir=in
и аналогичный кусок с другой машины

Код: Выделить всё

2008-08-15 17:23:39: INFO: @(#)ipsec-tools 0.7 (http://ipsec-tools.sourceforge.net)
2008-08-15 17:23:39: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2008-08-15 17:23:39: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2008-08-15 17:23:39: DEBUG: hmac(modp1024)
2008-08-15 17:23:39: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.
2008-08-15 17:23:39: DEBUG: getsainfo params: loc='ANONYMOUS', rmt='ANONYMOUS', peer='NULL', id=0
2008-08-15 17:23:39: DEBUG: getsainfo pass #2
2008-08-15 17:23:39: INFO: 10.10.0.2[500] used as isakmp port (fd=5)
2008-08-15 17:23:39: DEBUG: pk_recv: retry[0] recv()
2008-08-15 17:23:39: DEBUG: get pfkey X_SPDDUMP message
2008-08-15 17:23:39: DEBUG: pk_recv: retry[0] recv()
2008-08-15 17:23:39: DEBUG: get pfkey X_SPDDUMP message
2008-08-15 17:23:39: DEBUG: sub:0xbfbfe5f0: 192.168.101.0/24[0] 192.168.100.0/24[0] proto=4 dir=out
2008-08-15 17:23:39: DEBUG: db :0x80a4a08: 192.168.100.0/24[0] 192.168.101.0/24[0] proto=4 dir=in
2008-08-15 17:23:49: DEBUG: msg 1 not interesting
может поможет
З.Ы. это я тему создавал если что :)

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: непонятки с ipsec

Непрочитанное сообщение paradox » 2008-08-15 17:37:22

хз
я проверить смогу когда появиться второй комп

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: непонятки с ipsec

Непрочитанное сообщение paradox » 2008-08-15 17:49:17

http://www.lcard.ru/~nail/ipsec.html
http://www.onlamp.com/pub/a/bsd/2001/12/10/ipsec.html

пока могу только этим посодействовать)

t-34-85-60
проходил мимо
Сообщения: 6
Зарегистрирован: 2008-08-15 17:20:50

Re: непонятки с ipsec

Непрочитанное сообщение t-34-85-60 » 2008-08-15 18:02:59

Спасибо за ссылку, но там единственное отличие от моего конфига только в указании адресов ,что ИМХО не должно влиять на работу
З.Ы. поменял в ipsec.conf шифрование с ipencap на any но результат остался тот же.

Sla
проходил мимо

Re: непонятки с ipsec

Непрочитанное сообщение Sla » 2008-08-15 23:15:31

как я вижу, разница не толко в в адресах, но и в шифруемых протоколах
сравни ipsec.conf в статье по ссылке и свой.

t-34-85-60
проходил мимо
Сообщения: 6
Зарегистрирован: 2008-08-15 17:20:50

Re: непонятки с ipsec

Непрочитанное сообщение t-34-85-60 » 2008-08-18 11:16:45

Sla писал(а):сравни ipsec.conf в статье по ссылке и свой.
как я вижу, разница не толко в в адресах, но и в шифруемых протоколах
сравни ipsec.conf в статье по ссылке и свой.
Я применял настройки из статьи по ссылке. Результат тот же.

aleksey.kravchenko
рядовой
Сообщения: 16
Зарегистрирован: 2008-08-16 23:31:23
Откуда: Украина, г.Днепропетровск

Re: непонятки с ipsec

Непрочитанное сообщение aleksey.kravchenko » 2008-08-18 17:43:43

1. Для того, чтобы проверить, шифруется ли трафик:
запусти на 192.168.100.1

Код: Выделить всё

ping 192.168.101.5
запусти на 192.168.101.1

Код: Выделить всё

tcpdump -i tun0 src host 192.168.6.203
шифрованный трафик должен выглядеть так

Код: Выделить всё

# tcpdump -i tun0 src host 192.168.6.203
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
17:26:40.528373 IP 192.168.6.203 > бла-бла.static.alkar.net: ESP(spi=0x00ba020d,seq=0xb1), length 116
17:26:41.530553 IP 192.168.6.203 > бла-бла.static.alkar.net: ESP(spi=0x00ba020d,seq=0xb2), length 116
17:26:42.295946 IP 192.168.6.203 > бла-бла.static.alkar.net: ESP(spi=0x00ba020d,seq=0xb3), length 116
2. Вот мой /etc/ipsec.conf (у тебя на 192.168.100.1)

Код: Выделить всё

spdadd 192.168.6.203/32 192.168.6.204/32 ipencap -P out ipsec
  esp/transport//require;
spdadd 192.168.6.204/32 192.168.6.203/32 ipencap -P in ipsec
  esp/transport//require;

spdadd 192.168.100.0/24 192.168.101.0/24 ipencap -P out ipsec
  esp/transport//require;
spdadd 192.168.101.0/24 192.168.100.0/24 ipencap -P in ipsec
  esp/transport//require;
/etc/rc.conf на этой же машине

Код: Выделить всё

racoon_enable="YES"
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="192.168.6.203 192.168.6.204"
ifconfig_gif0="inet 192.168.100.1 192.168.101.1 netmask 0xffffffff"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
static_routes="titova"
route_titova="192.168.101.0/24 -interface gif0"
На другой машине - зеркально наоборот. Сделай так и проверь.

t-34-85-60
проходил мимо
Сообщения: 6
Зарегистрирован: 2008-08-15 17:20:50

Re: непонятки с ipsec

Непрочитанное сообщение t-34-85-60 » 2008-08-19 13:46:05

aleksey.kravchenko писал(а): 2. Вот мой /etc/ipsec.conf (у тебя на 192.168.100.1)

Код: Выделить всё

spdadd 192.168.6.203/32 192.168.6.204/32 ipencap -P out ipsec
  esp/transport//require;
spdadd 192.168.6.204/32 192.168.6.203/32 ipencap -P in ipsec
  esp/transport//require;

spdadd 192.168.100.0/24 192.168.101.0/24 ipencap -P out ipsec
  esp/transport//require;
spdadd 192.168.101.0/24 192.168.100.0/24 ipencap -P in ipsec
  esp/transport//require;

На другой машине - зеркально наоборот. Сделай так и проверь.
НАсколько я понимаю, ты используешь транспортный режим, а не туннель. Т.е. шифруешь весь траффик между двумя машинами, а меня интересует именно туннель.
http://www.netbsd.org/docs/network/ipsec/#trans_tunnel вот ссылка на описание различий между туннелем и транспортом.
Если ошибаюсь, прошу поправить.

Ещё один вопрос, почему дампишь tuno а не gif0?

aleksey.kravchenko
рядовой
Сообщения: 16
Зарегистрирован: 2008-08-16 23:31:23
Откуда: Украина, г.Днепропетровск

Re: непонятки с ipsec

Непрочитанное сообщение aleksey.kravchenko » 2008-08-19 14:19:45

Да, я использую transport.
Оба компьютера - NAT маршрутизаторы
tun0 - это pppoe, выход в инет.

Код: Выделить всё

# setkey -D
192.168.6.203 192.168.6.204
        esp mode=transport spi=88214491(0x05420bdb) reqid=0(0x00000000)
        E: 3des-cbc  3e715809 ca690d7e a8c2d649 8f0b0227 d55e92f3 29fca78c
        A: hmac-sha1  d2c2d822 2eeb12cc fd1004f9 94b8fa10 42bd0669
        seq=0x0000019f replay=4 flags=0x00000000 state=mature
        created: Aug 19 13:47:19 2008   current: Aug 19 14:16:24 2008
        diff: 1745(s)   hard: 3600(s)   soft: 2880(s)
        last: Aug 19 14:16:06 2008      hard: 0(s)      soft: 0(s)
        current: 59624(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 415  hard: 0 soft: 0
        sadb_seq=1 pid=22639 refcnt=2
192.168.6.204 192.168.6.203
        esp mode=transport spi=244852902(0x0e9828a6) reqid=0(0x00000000)
        E: 3des-cbc  fb85180d 3e5c768b 410aaa77 8b45bf6b de07d2ee a26370a9
        A: hmac-sha1  627fcbcb d2fad91f dccb4b40 ef8f7d85 41fcdf8a
        seq=0x00000205 replay=4 flags=0x00000000 state=mature
        created: Aug 19 13:47:19 2008   current: Aug 19 14:16:24 2008
        diff: 1745(s)   hard: 3600(s)   soft: 2880(s)
        last: Aug 19 14:16:06 2008      hard: 0(s)      soft: 0(s)
        current: 200693(bytes)  hard: 0(bytes)  soft: 0(bytes)
        allocated: 517  hard: 0 soft: 0
        sadb_seq=0 pid=22639 refcnt=1

Sla
мл. сержант
Сообщения: 73
Зарегистрирован: 2008-08-19 15:09:19

Re: непонятки с ipsec

Непрочитанное сообщение Sla » 2008-08-20 10:46:06

Разрешите вмешаться :( (моск пухнет)
я попросил t-34-85-60 попытаться разобраться, и вот уже какой день все на месте

т.е. перебробовали возможные конфигурации, как в транспортном так и в туннельном режиме.
Туннель строится без проблем, но вот шифрации не происходит.

файрволл = "open"
кроме того чтобы увидеть ходит ли хоть что-нибудь по 500 порту добавлены правила (400_

Код: Выделить всё

00100  800   82532 allow ip from any to any via lo0
00200    0       0 deny ip from any to 127.0.0.0/8
00300    0       0 deny ip from 127.0.0.0/8 to any
00400    0       0 allow ip from 10.10.0.2 to 10.10.0.1 dst-port 500
00400    1      64 allow ip from 10.10.0.1 to 10.10.0.2 dst-port 500
65000 8160 2692456 allow ip from any to any
65535    3    1332 deny ip from any to any
00400 1 64 allow ip from 10.10.0.1 to 10.10.0.2 dst-port 500
это попытка telnet'ом зайти на 500 порт
racoon перегружается, но почему-то не хочет он стучаться в гости
Ядро компилировалось дважды, ipsec-tools переустанавливался,
# uname -r
6.3-RELEASE

aleksey.kravchenko
рядовой
Сообщения: 16
Зарегистрирован: 2008-08-16 23:31:23
Откуда: Украина, г.Днепропетровск

Re: непонятки с ipsec

Непрочитанное сообщение aleksey.kravchenko » 2008-08-20 19:24:05

В транспортном режиме (так как я предлагал) получилось?

Туннельный режим сделай как написано в хэндбуке. Т.е. на машине 192.168.6.203:

Код: Выделить всё

spdadd 192.168.6.203/32 192.168.6.204/32 ipencap -P out ipsec
  esp/tunnel/192.168.6.203-192.168.6.204/require;
spdadd 192.168.6.204/32 192.168.6.203/32 ipencap -P in ipsec
  esp/tunnel/192.168.6.204-192.168.6.203/require;
Кстати, так и не пойму, у кого проблема: у kosta, t-34 или у Sla???

Sla
мл. сержант
Сообщения: 73
Зарегистрирован: 2008-08-19 15:09:19

Re: непонятки с ipsec

Непрочитанное сообщение Sla » 2008-08-20 20:55:13

Sla писал
я попросил t-34-85-60 попытаться разобраться, и вот уже какой день все на месте
T-34... писал
З.Ы. это я тему создавал если что
как в хендбуке? а в каком? русском, английском, если там ошибки...

я написал, пробовали и транспортный и туннельный режим - результат одинаков.
Ощущение такое что racoon хоть и слушает порт, а это показывает sockstat |grep racoon, и netstat также говорит что порт открыт на интерфейсе туннеля

aleksey.kravchenko
рядовой
Сообщения: 16
Зарегистрирован: 2008-08-16 23:31:23
Откуда: Украина, г.Днепропетровск

Re: непонятки с ipsec

Непрочитанное сообщение aleksey.kravchenko » 2008-08-20 21:09:11

Вот запчасть из хэндбука, с измененными адресами для тебя:

Код: Выделить всё

spdadd 192.168.6.203/32 192.168.6.204/32 ipencap -P out ipsec
  esp/tunnel/192.168.6.203-192.168.6.204/require;
spdadd 192.168.6.204/32 192.168.6.203/32 ipencap -P in ipsec
  esp/tunnel/192.168.6.204-192.168.6.203/require;
Скорее всего причина в неправильном файле /etc/ipsec.conf на 1й, 2й машине, или сразу на обоих.
И еще раз проверь racoon.conf. У тебя аутентификация по pre_shared_key?