В HANDBOOK написано если создать тунель и прописать маршрутизацию то уже тунель будет работать.
У меня до тех пор пока не запустишь racoon тунель не работает.. где может быть ошибка?
>В HANDBOOK написано если создать тунель и прописать маршрутизацию то уже тунель
>будет работать.
>У меня до тех пор пока не запустишь racoon тунель не работает..
>где может быть ошибка?Никакой ошибки нет. Прежде чем начать туннелирование, необходимо согласовать ключи, именно этим и занимается racoon. Если это раздражает, переходи на использование статических ключей, но безопасность будет при этом несколько ниже...
В книге написано что создаешь gif и пинги уже идут.This is sufficient to allow each gateway machine to ping the other. On 192.168.1.1, you should be able to run
ping 192.168.2.1
http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ip...
Тут все четко написано что все должно работать и бе racoon
>В книге написано что создаешь gif и пинги уже идут.
>
>This is sufficient to allow each gateway machine to ping the other.
>On 192.168.1.1, you should be able to run
>
>ping 192.168.2.1
>
>http://www.freebsd.org/doc/en_US.ISO8859-1/books/handbook/ip...
>
>Тут все четко написано что все должно работать и бе racoon ]Ну так ты определись, что именно тебе нужно - gif-туннель, или IPSec (на основе gif или чего-либо еще)
Мне надо что бы все работало правильно.
1. Тунель должен работать и без шифрования, как написано в книге
2. Тунель работает с шифрованием
>Мне надо что бы все работало правильно.
>1. Тунель должен работать и без шифрования, как написано в книге
>2. Тунель работает с шифрованиемРазберись. Просто разберись, что такое gif, где в этой схеме IPSec, зачем нужен ракун, и т.п. Все поймешь. Пока что у тебя отсутствует понимание, поэтому объяснять что к чему пришлось бы очень долго.
Я разобрался
Грубо говоря racoon закрывает тунель, но тунель должен сам по себе функционировать и без racoon
Но у меня "открытый" туннель не функционирует
>Но у меня "открытый" туннель не функционируетПосмотри tcpdump-ом, что происходит при пигновании. Какие пакеты куда идут.
Самое интересное, что когда посылаю ping он даже вроде как не работает, просто не формируется, не идет, ничто нигде не блокирует, но не идет на адрес внтуренних хостов удаленной сети
В ядре по-умолчанию стоит device gif
В руководствах везде пишется pseudo-device gif
Имеет ли это принципаиальное значение?
Хотя в 4.8 именно pseudo-device gif
в 5.1 device gifТак же не работает в rc.conf
gifconfig_gif0="A.B.C.D W.X.Y.Z"
ifconfig_gif0="inet 192.168.1.1 192.168.2.1 netmask 0xffffffff"А вот если так в скрипте, то все работает
#!/bin/sh
/sbin/ifconfig gif0 create inet 10.1.1.254 192.168.1.254\
netmask 255.255.0.0 tunnel A.B.C.D W.X.Y.Z mtu 1500 up
/sbin/route add -net 192.168.1 192.168.1.254И еще вопрос netmask должна относится к первому узлу или второму?
И что такое ipencap, в man не нашел ничего такого?
Вроде протокол но кроме как handbook ничего не написно в man
spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
Cрочно нужна помощь!!!!Конфигурация:
192.168.7.1---| 1 |-172.20.20.1-------172.20.20.20-| 2 |---192.168.8.41Выявил одно свойство: при
#ping 192.168.8.41 c "1" пинг проходит, причём через gif0(слушал tcрdumр'oм)
А с "2" #ping 192.168.7.1 не проходит(тоже идёт через gif0) )))))))
Шлюзы по умолчанию отсутствуют на обеих машинах.
Статические маршруты нигде не прописаны.И как сделать IPSec тунель без gif тунеля???