Доброго времени суток
на моей стороне CentOS на удаленной - Циска, за ней два астериска
был настроен тоннель, недавно упал и пошла какая-то билиберда

конфиг racoon:

path include "/usr/local/etc/";
path pre_shared_key "/usr/local/etc/psk.txt";
#path certificate "/etc/racoon/certs";
#

padding {
        maximum_length 20;
        randomize off;
        strict_check off;
        exclusive_tail off;
}

log debug2;

listen {
        isakmp          my_real_ip [500];

}

remote dest_real_ip {
        exchange_mode main;
        doi ipsec_doi;
        situation identity_only;
        nonce_size 16;
        lifetime time 28800 sec;
#       nat_traversal off;
        passive off;
        proposal_check obey;
        initial_contact on;
        support_proxy on;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                lifetime time 3600 sec;
                dh_group 2;
        }

}

sainfo (address my_lan_ip/29 any address dest_lan_ip/30 any) {
        pfs_group       2;
        lifetime        time 36000 sec;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

sainfo (address my_lan_ip/29 any address dest_lannet_ip/25 any) {
        pfs_group       2;
        lifetime        time 36000 sec;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

sainfo anonymous {
        pfs_group       2;
        lifetime        time 36000 sec;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

Конфиг setkey:
#!/usr/local/sbin/setkey -f

flush;
spdflush;

spdadd dest_lan_ip/30 my_lan_ip/29 any -P in ipsec esp/tunnel/dest_real_ip-my_real_ip/require;

spdadd dest_lannet_ip/25 dest_lan_ip/29 any -P in ipsec esp/tunnel/my_real_ip-dest_real_ip/require;

spdadd my_lan_ip/29 dest_lannet_ip/25 any -P out ipsec esp/tunnel/dest_real_ip-my_real_ip/require;

spdadd my_lan_ip/29 dest_lan_ip/30 any -P out ipsec esp/tunnel/dest_real_ip-my_real_ip/require;

для пояснения:
my_real_ip, dest_real_ip - внешние адреса серверов
my_lan_ipm dest_lan_ip - внутренние адреса серверов
dest_lannet_ip - подсеть с астерисками

ситуация такая:
адреса астерисков x.x.x.16 и x.x.x.35
по идее при маске x.x.x.0/25 должны быть видны оба. раньше работало - сейчас нет
сейчас прописываю в setkey.conf маску /27 вижу хост x.x.x.16
прописываю маску /26 - вижу хост x.x.x.35

удаленная сторона уверяет что ничего в настройках не менялось
уже крыша едет. в чем может быть загвоздка?
Заранее благодарю за помощь

• Странное поведение IPSec, прошу помощи,Дядя_Федор, 15:08 , 07-Июл-12
  • Странное поведение IPSec, прошу помощи,S1ash, 15:30 , 07-Июл-12
    • Странное поведение IPSec, прошу помощи,S1ash, 15:36 , 07-Июл-12
    • Странное поведение IPSec, прошу помощи,Аноним, 16:48 , 08-Июл-12
      • Странное поведение IPSec, прошу помощи,S1ash, 16:50 , 08-Июл-12

А если поставить маску /24? :) Вы так все загадочно рассказываете, а IP не называете. Скажите, что ли, хотя бы крайний октет, раз уж шифруетесь. Будет хоть понятно - что Вы там маскируете.

> А если поставить маску /24? :) Вы так все загадочно рассказываете, а
> IP не называете. Скажите, что ли, хотя бы крайний октет, раз
> уж шифруетесь. Будет хоть понятно - что Вы там маскируете.

а если поставить маску 24, то тоже нифига, соответственно ракун ругается на несовпадение настроек
ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
ERROR: error message: '4 '.

192.168.20.156-удаленный шлюз
192.168.22.162-мой локальный адрес
83.242.231.0 - сетка с астерисками

spdadd 192.168.20.156/30 192.168.22.160/29 any -P in ipsec esp/tunnel/my_real_ip-dest_real_ip/require;

spdadd 83.242.231.0/25 192.168.22.160/29 any -P in ipsec esp/tunnel/dest_real_ip-my_real_ip/require;

spdadd 192.168.22.160/29 83.242.231.0/25 any -P out ipsec esp/tunnel/my_real_ip-dest_real_ip/require;

spdadd 192.168.22.160/29 192.168.20.156/30 any -P out ipsec esp/tunnel/my_real_ip-dest_real_ip/require;

http://pastebin.com/VEwF1d58
вот лог енота

>[оверквотинг удален]
> несовпадение настроек
> ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
> ERROR: error message: '4 '.
> 192.168.20.156-удаленный шлюз
> 192.168.22.162-мой локальный адрес
> 83.242.231.0 - сетка с астерисками
> spdadd 192.168.20.156/30 192.168.22.160/29 any -P in ipsec esp/tunnel/my_real_ip-dest_real_ip/require;
> spdadd 83.242.231.0/25 192.168.22.160/29 any -P in ipsec esp/tunnel/dest_real_ip-my_real_ip/require;
> spdadd 192.168.22.160/29 83.242.231.0/25 any -P out ipsec esp/tunnel/my_real_ip-dest_real_ip/require;
> spdadd 192.168.22.160/29 192.168.20.156/30 any -P out ipsec esp/tunnel/my_real_ip-dest_real_ip/require;

Попробуйте в конфиге setkey заменить "require" на "unique"

>[оверквотинг удален]
>> ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
>> ERROR: error message: '4 '.
>> 192.168.20.156-удаленный шлюз
>> 192.168.22.162-мой локальный адрес
>> 83.242.231.0 - сетка с астерисками
>> spdadd 192.168.20.156/30 192.168.22.160/29 any -P in ipsec esp/tunnel/my_real_ip-dest_real_ip/require;
>> spdadd 83.242.231.0/25 192.168.22.160/29 any -P in ipsec esp/tunnel/dest_real_ip-my_real_ip/require;
>> spdadd 192.168.22.160/29 83.242.231.0/25 any -P out ipsec esp/tunnel/my_real_ip-dest_real_ip/require;
>> spdadd 192.168.22.160/29 192.168.20.156/30 any -P out ipsec esp/tunnel/my_real_ip-dest_real_ip/require;
> Попробуйте в конфиге setkey заменить "require" на "unique"

пробовал, не помогает. работало с require