Re: ipsec + racoon problem
Andrey Lyubimets пишет:
> andy пишет:
>> День добрый.
>>
>> Собственно исходные данные:
>> Две машины (ради эксперимента использовал внешние ИП адреса в одном
>> блоке). Первая (beta) - 82.140.78.114, вторая (delta) 82.140.78.116.
>>
>> Локальная сеть слева: 192.168.1.0/24, локальная сеть справа:
>> 192.168.4.0/24.
>>
>> Создал сертификаты, обменял файлы *.public между шлюзами.
>>
>>
>> Настроил файл ipsec-tools.conf на beta:
>> #!/usr/sbin/setkey -f
>> flush;
>> spdflush;
>> spdadd 82.140.78.114/29 82.140.78.116/29 ipencap -P out ipsec
>> esp/tunnel/82.140.78.114-82.140.78.116/require;
> имхо правильно писать так
> spdadd 192.168.1.0/24 192.168.4.0/24 ipencap -P out ipsec \
> esp/tunnel/82.140.78.114-82.140.78.116/require;
>
>
>>
>>
>> На второй машине инфа примерно идентичная. Firewall отключен.
>> tcpdump -p esp ничего не показывает. Что нетак?
>
> для начала запусти tcpdump port 500
> и паралельно ping 192.168.4.1 (следи, чтоб исходящий адрес был из
> 192.168.1.0/24)
> когда на 500-м порту появится активность - можно будет заглядывать в
> лог ракуна.
>
>>
>>
>>
>>
>
>
День добрый!
Спасибо что откликнулись. Ночь в выходные все перепробовал -- не
работает. В итоге отказался от сертификатов и настроил через
racoon-tool. Но результат нулевой. Пакетов по 500 порту нету. Также как
и пакетов по esp протоколу.
Кстати, а активность ракуна должна проявляться независимо от активности
ракуна на другой стороне? если на одном конце ракун не запущен, то хотя
пакеты ah должен быть?
--
WBR, Andrey N. Prokofiev
IT department of the Korona Auto Ltd.
Jabber ID: andy@korona-auto.com
E-mail: andy@korona-auto.com
Work Phone: +7-812-640-56-01
Reply to: