>>не могу понять, почему не работает IPSEC туннель. ситуация такая:
>>
>
>Примерно так
>#На 192.168.1.254
>#=====================================
>flush;
>spdflush;
>spdadd 192.168.1.0/24 192.168.4.0/24 any -P out ipsec esp/tunnel/x.x.x.x-y.y.y.y/require;
>spdadd 192.168.4.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/y.y.y.y-x.x.x.x/require;
>
>#На 192.168.4.254
>#=====================================
>flush;
>spdflush;
>spdadd 192.168.4.0/24 192.168.1.0/24 any -P out ipsec esp/tunnel/y.y.y.y-x.x.x.x/require;
>spdadd 192.168.1.0/24 192.168.4.0/24 any -P in ipsec esp/tunnel/x.x.x.x-y.y.y.y/require;
>
>Но для выяснения почему не пашет туннель, необходимо посмотреть конфиги
>rc.conf
>ipsec.conf
>racoon.conf
>А также правила firewall'а на предмет разрешены ли соединения на 500 порту
>udp + esp в ipfw с обеих сторон указано allow esp from any to any, allow udp from any to any
rc.conf на FreeBSD1
gif_interfaces="gif0"
gifconfig_gif0="172.16.2.2 y.y.y.y"
ifconfig_gif0="inet 192.168.1.254 192.168.4.254 netmask 255.255.255.255"
на FreeBSD2:
gif_interfaces="gif0"
gifconfig_gif0="y.y.y.y x.x.x.x"
ifconfig_gif0="inet 192.168.4.254 192.168.1.254 netmask 255.255.255.255"
что именно из racoon.conf интересует? они большие, полностью тут приводить смысла не вижу.
раздел listen у них такой:
FreeBSD1:
listen
{
isakmp 172.16.2.2 [500];
isakmp 192.168.1.114 [500];
isakmp_natt 172.16.2.2 [4500];
}
FreeBSD2:
listen
{
isakmp y.y.y.y [500];
isakmp_natt y.y.y.y [4500];
}
при указанных выше правилах ракун на FreeBSD1 пишет в лог:
2007-06-25 10:20:36: DEBUG: get pfkey ACQUIRE message
2007-06-25 10:20:36: DEBUG: ignore because do not listen on source address : х.х.х.х.
если попытаться что-то сделать с другой стороны по туннелю, то оба ракуна в лог пишут, что туннель организовался, но пакеты ходят только в одну сторону.
вот что говорит ракун на фрибсд1
2007-06-25 10:10:56: INFO: IPsec-SA established: ESP/Tunnel у.у.у.у[4500]->172.16.2.2[4500] spi=89327110(0x5530606)
2007-06-25 10:10:56: DEBUG: ===
2007-06-25 10:10:56: DEBUG: get pfkey ADD message
2007-06-25 10:10:56: INFO: IPsec-SA established: ESP/Tunnel 172.16.2.2[4500]->у.у.у.у[4500] spi=54046056(0x338ad68)
вот такие дела :(