>Сняла мап на туннеле, попробовала mode transport, да, похоже freeswan не хочет
>с ним работать, канал вообще не подымается...
>Freeswan вообще себя странно ведет - я не могу снять AH
>и поставить auth=esp, и не могу задать AH через md5, потому
>что несмотря на то , что все это прописано в ipsec.conf,
>пакеты на циску приходят все равно с предложением AH-SHA, и начинет
>ругаться на несоответствие в полиси... Странно. Сейчас не помню подробностей, но таких проблем, вроде бы, не было.
>так же и насчет группы. только с 5-ой группой доходит до фазы
>2.
>Говорит, что фаза 2 -комплит, а потом такое впечатление, что когда Линукс
>пытается ответить, соединение на циске уже убито, и создано новое... и
>ID сообщений уже не совпадают... И снова фаза 2...
>
><< Или поставьте выше него другой трансформ, что-то вроде
><<crypto ipsec transform-set Samara08-M esp-3des esp-md5-hmac
>
>т.е. я могу просто поставить 2 трансформа и потом оба применить на
>мапе?
>а как они тогда будут вместе жить?
Будут перебираться по очереди, до согласования параметров. Как-то так:
crypto ipsec transform-set mytransform1 esp-3des esp-sha-hmac
crypto ipsec transform-set mytransform2 esp-3des esp-md5-hmac
...
crypto map MyCryptomap 10 ipsec-isakmp
set peer 1.2.3.4
set transform-set mytransform1
set pfs group5
match address такой-то ACL
crypto map vpn 20 ipsec-isakmp
set peer 1.2.3.4
set transform-set mytransform2
set pfs group5
match address такой-то ACL
crypto map vpn 30 ipsec-isakmp
И так далее...
!