Имеется дока:
http://www.freebsd.org.ua/doc/ru_RU.KOI8-R/books/handbook/ip...Имеются два шлюза:
первый
skif@ostwest :uname -r
4.10-RELEASE-p3
skif@ostwest :
и
второйskif@gateway.sto :uname -r
4.9-RELEASE-p1
skif@gateway.sto :На них подняты на первом:
skif@ostwest :lf /var/db/pkg/ | grep racoon
racoon-20040818a/
skif@ostwest :и на втором:
skif@gateway.sto :lf /var/db/pkg/| grep racoon
racoon-20040116a/
skif@gateway.sto :Опции ядра на обоих:
skif@ostwest :less /usr/src/sys/i386/conf/SKIF | grep IPSEC
options IPSEC
options IPSEC_ESP
options IPSEC_DEBUG
skif@ostwest :То что загружено после компиляции ядра и перезагрузки на обоих концах:
skif@gateway.sto :sysctl -a | grep ipsec
net.inet.ipsec.def_policy: 1
net.inet.ipsec.esp_trans_deflev: 1
net.inet.ipsec.esp_net_deflev: 1
net.inet.ipsec.ah_trans_deflev: 1
net.inet.ipsec.ah_net_deflev: 1
net.inet.ipsec.ah_cleartos: 1
net.inet.ipsec.ah_offsetmask: 0
net.inet.ipsec.dfbit: 0
net.inet.ipsec.ecn: 0
net.inet.ipsec.debug: 1
net.inet.ipsec.esp_randpad: -1
skif@gateway.sto :rc.conf на первом:
skif@ostwest :less /etc/rc.conf | grep gif
gif_interfaces="YES"
gif_interfaces="gif0"
gifconfig_gif0="A.B.C.D W.X.Y.Z"
ifconfig_gif0="inet 192.168.10.114 192.168.100.114 netmask 255.255.255.255"
skif@ostwest :skif@ostwest :less /etc/rc.conf | grep ipsec
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
skif@ostwest :
на втором:skif@gateway.sto :less /etc/rc.conf | grep gif
gif_interfaces="YES"
gif_interfaces="gif0"
gifconfig_gif0="W.X.Y.Z A.B.C.D"
ifconfig_gif0="inet 192.168.100.114 192.168.10.114 netmask 255.255.255.255"
skif@gateway.sto :
skif@gateway.sto :less /etc/rc.conf | grep ipsec
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
skif@gateway.sto :
Правила ipfw, на обоих:00001 allow ip from any to any via gif0
00002 allow udp from A.B.C.D to W.X.Y.Z 500
00003 allow udp from W.X.Y.Z to A.B.C.D 500
00004 allow esp from A.B.C.D to W.X.Y.Z
00005 allow esp from W.X.Y.Z to A.B.C.D
00006 allow ipencap from A.B.C.D to W.X.Y.Z
00007 allow ipencap from W.X.Y.Z to A.B.C.D
00009 allow log logamount 32 esp from any to any
00010 allow log logamount 32 udp from any 500 to any 500
00011 allow ip from W.X.Y.Z to A.B.C.D
00012 allow ip from A.B.C.D to W.X.Y.ZВот пример того, что записано /usr/local/etc/racoon/psk.txt на первом:
skif@ostwest :sudo less /usr/local/etc/racoon/psk.txt
Password:
# IPv4/v6 addresses
W.X.Y.Z V501T04VW9D9i54YX653mJ8t6H1
# USER_FQDN
#sakane@kame.net mekmitasdigoat
# FQDN
#kame hogeна втором
skif@gateway.sto :sudo less /usr/local/etc/racoon/psk.txt
Password:
# IPv4/v6 addresses
A.B.C.D V501T04VW9D9i54YX653mJ8t6H1skif@gateway.sto :
Содержимое ipsec.conf на первом:
root@ostwest :less /etc/ipsec.conf
flush;
spdflush;
#spdadd 192.168.10.0/24 192.168.100.0/24 ipencap -P out ipsec
#esp/tunnel/A.B.C.D-W.X.Y.Z/require;
#spdadd 192.168.100.0/24 192.168.10.0/24 ipencap -P in ipsec
#esp/tunnel/W.X.Y.Z-A.B.C.D/require;
spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec
esp/tunnel/A.B.C.D-W.X.Y.Z/require;
spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec
esp/tunnel/W.X.Y.Z-A.B.C.D/require;
root@ostwest :на втором:
skif@gateway.sto :less /etc/ipsec.conf
flush;
spdflush;
#spdadd 192.168.100.0/24 192.168.10.0/24 ipencap -P out ipsec
#esp/tunnel/W.X.Y.Z-A.B.C.D/require;
#spdadd 192.168.10.0/24 192.168.100.0/24 ipencap -P in ipsec
#esp/tunnel/A.B.C.D-W.X.Y.Z/require;
spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec
esp/tunnel/W.X.Y.Z-A.B.C.D/require;
spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec
esp/tunnel/A.B.C.D-W.X.Y.Z/require;
skif@gateway.sto :А вот что пишет setkey:
root@ostwest :setkey -D
No SAD entries.Ну и ясен пень, что пакеты не шифруются... :(((
Вопрос, что сделано неправильно? Вроде бы все по доке...
Ну еще вопрос вызывает конфиг racoon. Имеется там секция, и я вот не знаю, стоит ли ее править, конфиг со старой работы недоступен, по понятной причине, но мне кажется, что там я все же правил его в этой секции:sainfo address 203.178.141.209 any address 203.178.141.218 any
{
pfs_group 1;
lifetime time 30 sec;
encryption_algorithm des ;
authentication_algorithm hmac_md5;
compression_algorithm deflate ;
}Хотя с другой стороны, если он не описан отдельно, то должен проходить по секции anonimous...
Да еще момент. С такими настройками ничего не бегает, а вот если я раскоментирую строки в ipsec.conf и закоменчу те, что по доке -пакеты бегают, но шифрованием и не пахнет, просто gif-тунель.
Все, вопрос снимается - фишка в правах на файлы ракуна на одном из каналов...