URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3579
[ Назад ]

Исходное сообщение
"нормальная работа ipsec только при полностью открытом ipfw"

Отправлено max1991 , 12-Дек-07 14:01 
обе машины - FreeBSD 6.2
Проблема такая: настраиваю ipsec(racoon), всё настраиваю правильно, но он работает нормально только тогда, когда в ipfw прописываю add all from any to any в самом верху.Если убираю это правило, то получается интересная вещь: пинги до удаленного хоста уходят, tcpdump показывает, что пакеты шифруются, но обратно пинги не возвращаются. Пробовал создать правило разрешить всё от удаленной машины с внешн. интерфейса на внешн. Интерфес локальной машины - ситуация таже( пинги уходят, шифруются, но не возвращяются).
На freebsd.org написаны 9 правил для того, чтобы ipsec нормально работал :
ipfw add 1 allow udp from int_iface_dst_mashine to int_iface_source_mashine
ipfw add 1 allow udp from int_iface_source_mashine to int_iface_dst_mashine
ipfw add 1 allow esp from int_iface_dst_mashine to int_iface_source_mashine
ipfw add 1 allow esp from int_iface_source_mashine to int_iface_dst_mashine
ipfw add 1 allow ipencap from int_iface_dst_mashine to int_iface_source_mashine
ipfw add 1 allow ipencap from int_iface_source_mashine to int_iface_dst_mashine

ну и на второй машине соответственно теже правила в зеркале....-не помогло!
Пробовал разрешить all from any to any via gif0 - не помогло
Пробовал разрешить ipencap и esp по dst-port 500 - не помогло
ну и всякие комбинации описанных выше правил, к желаему результату не привели!
Может кто сталкивался уже с аналогичной проблемой?


Содержание

Сообщения в этом обсуждении
"нормальная работа ipsec только при полностью открытом ipfw"
Отправлено waff , 12-Дек-07 18:43 
Последнее правило: ipfw add 65535 deny log logamount 1000000 ip from any to any
И посмтореть /var/log/security на предмет того,что режется