Ситуация в следующем:
Есть две машинки, на обеих поднят FreeBSD 8.2. На первой (условно назовём Офис) - IP-адрес и т.п. - статические (модем в режиме бриджа), на второй (условно назовём Склад) - IP-адрес выдаётся через PPPoE - приходит витая пара и всё! (НО! тоже статика, все параметры настройки выдаются через PPPoE, есть только login и password)Вопрос к всезнающему ALL-у: как подружить IPSEC и PPPoE? Та машинка что "Офис", на ней куча других IPSEC-каналов на удалённые точки, но там также статика... Где чего подкрутить нужно?
PPPoE соединение поднимает, Internet на складе есть!
Чую что трабла именно где-то на стыке PPPoE и IPSEC...
Какое имеет отношение PPPoE к IPSEC? совершенно разный уровень.
Мудрите вы что-то.
не там ищите проблему, если она вообще есть.
просто сделайте подключение IPSEC и все...
> Какое имеет отношение PPPoE к IPSEC? совершенно разный уровень.
> Мудрите вы что-то.
> не там ищите проблему, если она вообще есть.
> просто сделайте подключение IPSEC и все...??? Интерфейс который смотрит на провайдера поднимается по PPPoE. IPSEC также поднят, но пакеты не ходят... В файрволе и маршрутизации ошибок НЕТ, т.к. по образу и подобию настроены ещё четыре подсети (со статическими адресами!)...
Если бы всё было просто - я не искал бы решения в данном контексте...
PPPoE - интерфес tun0 ("привязанный" к rl0)
IPSEC - интерфейс gif0 (прописаны соответсвующие Public IP и локальные подсети).
Повторяю, PPPoE тут не при чем, полюбе.
одно из двух:
1. либо учто-то упустили, перепроверьте все настройки внимательно.
2. провайдер режет 50-й протокол, либо 500-й порт.gif0 - насколько я помню, во фре, это GRE тунель. - может 47 протокол режется у прова, бывает и такое.
Писать надо внятно, у Вас не IPSEC, у Вас GRE зашифрованное в IPSEC.
на худой конец поднимите просто GRE без IPSEC и посмотрите, проходит ли. ну или проще, pptp куда-нить поднимите, если поднимется, значит GRE пропускают.
> Повторяю, PPPoE тут не при чем, полюбе.
> одно из двух:
> 1. либо учто-то упустили, перепроверьте все настройки внимательно.
> 2. провайдер режет 50-й протокол, либо 500-й порт.500 порт открыт, pptp поднимается...
Значит внимательно проверьте настройки. Другого быть не может.
> Значит внимательно проверьте настройки. Другого быть не может.Не сильно помогли ответы... :)
> Не сильно помогли ответы... :)Одно примите к сведению и зарубите на носу... PPPoE тут не при чем.
Ищите ошибку в другом.Да и вопрос Ваш не сильно развернут был.
смотрите tcpdump, поднимается ли первая фаза isakmp - это 500 порт. Все по очереди проверьте. Найдите на чем именно стопорится подключение, оттуда уже и пляшите.
> Одно примите к сведению и зарубите на носу... PPPoE тут не при
> чем.
> Ищите ошибку в другом.ОК! Спасибо...
Попытаюсь. Но тему пока не закрываю - может ещё кто чего путнего подскажет...
Проблема решена, но обнаружилось следующее: обмена ключами IPSEC не происходит до тех пор, пока, скажем, не будет инициализирован какой-либо трафик на удалённую локальную подсеть (например, ping <локальный удалённый шлюз>). Причём эта инициализация должна происходить со стороны хоста с PPPoE...Извращаться через ppp.uplink? Или есть более удачное решение?
> Извращаться через ppp.uplink? Или есть более удачное решение?Точнее ppp.linkup...
P.S. и ещё попутный вопрос - не совсем ясно назначение nat в PPP... Я могу его использовать вместо natd? Возможно ламерский вопрос, но до таких "глубин" я PPPoE ещё не раскапывал...