Re: ipsec + racoon problem

[Andrey Lyubimets <andrey@nskes.ru>]

Korona Auto Ltd./ Andrey N. Prokofiev пишет:
> Andrey Lyubimets пишет:
> > andy пишет:
> > > День добрый.
> > >
> > > Собственно исходные данные:
> > > Две машины (ради эксперимента использовал внешние ИП адреса в одном
> > > блоке). Первая (beta) - 82.140.78.114, вторая (delta) 82.140.78.116.
> > >
> > > Локальная сеть слева: 192.168.1.0/24, локальная сеть справа:
> > > 192.168.4.0/24.
> > >
> > > Создал сертификаты, обменял файлы *.public между шлюзами.
> > >
> > >
> > > Настроил файл ipsec-tools.conf на beta:
> > > #!/usr/sbin/setkey -f
> > > flush;
> > > spdflush;
> > > spdadd 82.140.78.114/29 82.140.78.116/29 ipencap -P out ipsec
> > > esp/tunnel/82.140.78.114-82.140.78.116/require;
> > имхо правильно писать так
> > spdadd 192.168.1.0/24 192.168.4.0/24 ipencap -P out ipsec \
----------^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
> > esp/tunnel/82.140.78.114-82.140.78.116/require;
> >
> >
> > > На второй машине инфа примерно идентичная. Firewall отключен.
> > > tcpdump -p esp ничего не показывает. Что нетак?
> > для начала запусти  tcpdump port 500
> > и паралельно ping 192.168.4.1 (следи, чтоб исходящий адрес был из
> > 192.168.1.0/24)
> > когда на 500-м порту появится активность - можно будет заглядывать в
> > лог ракуна.
> > >
> День добрый!
> Спасибо что откликнулись. Ночь в выходные все перепробовал -- не
> работает. В итоге отказался от сертификатов и настроил через
у тебя правила сеткея неправильно написаны - обрати внимание на подчёркнутое
> racoon-tool. Но результат нулевой. Пакетов по 500 порту нету. Также как
> и пакетов по esp протоколу.
> Кстати, а активность ракуна должна проявляться независимо от активности
да
> ракуна на другой стороне? если на одном конце ракун не запущен, то хотя
> пакеты ah должен быть?
нет
rtfm!
esp и ah - пакеты ipsec, формируются ядром после того как хосты договорятся о 
ключе по протоколу isakmp (500/udp).Договариваются они с помощью ракуна.



--
С уважением, Любимец Андрей Алексеевич