https://opennet.me/openforum/vsluhforumID1/84586.html Как настроить?<br>Пробовал это сделать по разным статьям, таким как:<br>http://www.opennet.ru/base/cisco/cisco_freebsd_ipsec.txt.html<br>и<br>http://www.dlink.ru/ru/faq/92/512.html<br>Не получается.<br>Файрволл стоит IPFILTER, на всякий случай его полностью отключал:<br><br>pass in all<br>block in all<br><br>Может кто настраивал сабж? Помогите, плиз!<br> https://opennet.me/openforum/vsluhforumID1/84586.html#13 Thu, 28 May 2009 06:39:51 GMT Урааа!!! Наконец-то спустя 2 месяца все получилось ))<br>Если к последним конфигам добавить в rc.conf:<br><br>cloned_interfaces="gif0"<br>gif_interfaces="gif0"<br>gifconfig_gif0="A.A.A.A B.B.B.B"<br>ifconfig_gif0="inet 192.168.99.10 192.168.1.1 netmask 0xffffffff"<br>static_routes="RemoteLan"<br>route_RemoteLan="192.168.1/24 -interface gif0"<br><br>То пинги удачно ходят и туда и обратно, т.к. маршрут на сеть 192.168.1.0/24 прописывается через gif-интерфейс. Теперь все работает.<br>Однако, как-то слышал, что можно обойтись без gif-интерфейса. Тогда какую маршрутизацию нужно прописывать на фре???<br> https://opennet.me/openforum/vsluhforumID1/84586.html#12 Tue, 26 May 2009 09:50:46 GMT На данный момент получилось следующее.<br><br>ipsec.conf:<br>flush;<br>spdflush;<br>spdadd 192.168.99.0/24 192.168.1.0/24 any -P out ipsec esp/tunnel/A.A.A.A-B.B.B.B/require;<br>spdadd 192.168.1.0/24 192.168.99.0/24 any -P in ipsec esp/tunnel/B.B.B.B-A.A.A.A/require;<br><br><br>racoon.conf:<br>path include "/usr/local/etc/racoon";<br>path pre_shared_key "/usr/local/etc/racoon/psk.txt";<br>#log debug; <br>padding <br>{ <br> maximum_length 20; # maximum padding length. <br> randomize off; # enable randomize length. <br> strict_check off; # enable strict check. <br> exclusive_tail off; # extract last one octet. <br>} <br>listen <br>{ <br> isakmp A.A.A.A [500]; <br>} <br>timer <br>{ <br> counter 5; # maximum trying count to send. <br> interval 20 sec; # maximum interval to resend. <br> persend 1; # the number of packets per send. <br> phase1 30 sec; <br> phase2 15 sec; <br>} <br>remote B.B.B.B<br>{ <br>exchange_mode main; <br>doi ipsec_doi; <br>situation id https://opennet.me/openforum/vsluhforumID1/84586.html#11 Tue, 26 May 2009 09:29:39 GMT Блин, задолбался уже со всем этим. Не работает. Туннель устанавливается, но пинги не ходят, пишет "invalid argument". Файрволл отрубал нафиг, результата ноль. (((<br><br>to diver2daze:<br><br>Хелп!!! Не мог бы ты показать свои конфиги racoon.conf, ipsec.conf и соответствующие строки в rc.conf? И какой маршрут нужно добавлять на фре?<br> https://opennet.me/openforum/vsluhforumID1/84586.html#10 Fri, 24 Apr 2009 08:18:07 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;там еще прикол с mtu будет. <br>&gt;&gt;<br>&gt;&gt;Хотелось бы посмотреть на рабочие конфиги, уже задолбался со всем этим :( <br>&gt;&gt;<br>&gt;<br>&gt;ipfw add 10 allow esp from any to any <br>&gt;ipfw add 10 allow ipencap from any to any <br>&gt;ipfw add 30 allow udp from any 500 to any <br>&gt;ipfw add 40 allow ip from ${твоя локальная сеть} to ${удаленная сеть} <br>&gt;<br><br>Может кому понадобиться, для IPFilter эти правила будут выглядеть так:<br>pass in quick proto esp from any to any<br>pass out quick proto esp from any to any<br>pass in quick proto ipencap from any to any<br>pass out quick proto ipencap from any to any<br>pass in quick proto udp from any port = 500 to any<br>pass out quick proto udp from any port = 500 to any<br>pass out quick proto ip from ${mylan} to ${remotelan}<br><br> https://opennet.me/openforum/vsluhforumID1/84586.html#9 Tue, 21 Apr 2009 06:38:28 GMT &gt;[оверквотинг удален]<br>&gt;pass in quick on eth0 proto udp from any to any port <br>&gt;= 500 <br>&gt;... <br>&gt;, где eth0-внешний сетевой интерфейс. <br>&gt;<br>&gt;&gt;У меня эта связка работает после кучи уботого времени. <br>&gt;&gt;там еще прикол с mtu будет. <br>&gt;<br>&gt;Хотелось бы посмотреть на рабочие конфиги, уже задолбался со всем этим :( <br>&gt;<br><br>ipfw add 10 allow esp from any to any<br>ipfw add 10 allow ipencap from any to any<br>ipfw add 30 allow udp from any 500 to any<br>ipfw add 40 allow ip from ${твоя локальная сеть} to ${удаленная сеть}<br><br><br><br> https://opennet.me/openforum/vsluhforumID1/84586.html#8 Mon, 20 Apr 2009 15:15:31 GMT &gt;В данном случае gif не нужен вообще. <br>&gt;psk.txt верно прописан?<br><br>Да, верно<br><br>&gt;файрволом открой как в мане написано на внешнем интерфейсе. <br><br>Стоит IPFILTER. Правило для сделал IPSEC следующим:<br>...<br>pass in quick on eth0 proto udp from any to any port = 500<br>...<br>, где eth0-внешний сетевой интерфейс.<br><br>&gt;У меня эта связка работает после кучи уботого времени. <br>&gt;там еще прикол с mtu будет. <br><br>Хотелось бы посмотреть на рабочие конфиги, уже задолбался со всем этим :(<br> https://opennet.me/openforum/vsluhforumID1/84586.html#7 Thu, 02 Apr 2009 13:54:23 GMT &gt;gif_interfaces="gif0" <br>&gt;ifconfig_gif0="192.168.99.1 netmask 255.255.255.0 192.168.1.1 netmask 255.255.255.0" <br>&gt;gifconfig_gif0="A.A.A.A netmask 255.255.255.0 B.B.B.B netmask 255.255.255.0" <br><br>В данном случае gif не нужен вообще.<br>psk.txt верно прописан?<br>файрволом открой как в мане написано на внешнем интерфейсе.<br><br>У меня эта связка работает после кучи уботого времени.<br>там еще прикол с mtu будет.<br> https://opennet.me/openforum/vsluhforumID1/84586.html#6 Fri, 20 Mar 2009 14:54:44 GMT И еще почему то у меня после перезагрузки не грузится процесс racoon.<br># ps -ax &#124; grep racoon<br>Его нет...<br> https://opennet.me/openforum/vsluhforumID1/84586.html#5 Fri, 20 Mar 2009 14:52:41 GMT Добавил gif0-интерфейс.<br>Нашел у себя один косяк в ipsec.conf - во входящем траффике написал вместо "in" "out".<br>Пробовал поменять адреса местами в ipsec.conf - не помогло. Может ошибка в конфиге racoon?<br>Я не уверен, что правильно указал алгоритмы hach_algorithm, authentication_algorithm...<br>