https://www.opennet.ru/openforum/vsluhforumID10/4790.html Есть задача связаться с двумя хостами через VPN, с одной стороны linux и racoon с другой cisco<br><br>linux = 1.1.1.1<br>cisco = 2.2.2.2<br>host1 за циской = 192.168.0.1<br>host2 за циской = 192.168.1.1<br><br>конфы:<br><br>#!/sbin/setkey -f<br> <br>flush;<br>spdflush; <br>spdadd 1.1.1.1 192.168.0.1 any -P out ipsec esp/tunnel/1.1.1.1-2.2.2.2/require;<br>spdadd 192.168.0.1 1.1.1.1 any -P in ipsec esp/tunnel/2.2.2.2-1.1.1.1/require;<br>spdadd 1.1.1.1 192.168.1.1 any -P out ipsec esp/tunnel/1.1.1.1-2.2.2.2/require;<br>spdadd 192.168.1.1 1.1.1.1 any -P in ipsec esp/tunnel/2.2.2.2-1.1.1.1/require;<br><br><br>racoon.conf<br><br>path pre_shared_key "/etc/racoon/psk.txt";<br>path certificate "/etc/racoon/certs";<br>pat https://www.opennet.ru/openforum/vsluhforumID10/4790.html#7 Mon, 12 Sep 2011 10:23:29 GMT &gt; Попробуй заменить require на unique.<br><br>Спасибо, и мне помогло! Три туннеля вместо одного между двумя пирами это, конечно, не очень нормально, но если циска на той стороне считает это правильным, то бог ей судья.<br> https://www.opennet.ru/openforum/vsluhforumID10/4790.html#6 Thu, 17 Feb 2011 09:52:42 GMT &gt; Попробуй заменить require на unique.<br><br>работает, спасибо большое, ни разу не натыкался на такой параметр, потому даже не рассматривал<br> https://www.opennet.ru/openforum/vsluhforumID10/4790.html#5 Thu, 17 Feb 2011 09:21:48 GMT &gt;[оверквотинг удален]<br>&gt; spdflush; <br>&gt; spdadd 1.1.1.1 192.168.0.1 any -P out ipsec esp/tunnel/1.1.1.1-2.2.2.2/require; <br>&gt; spdadd 192.168.0.1 1.1.1.1 any -P in ipsec esp/tunnel/2.2.2.2-1.1.1.1/require; <br>&gt; spdadd 1.1.1.1 192.168.1.1 any -P out ipsec esp/tunnel/1.1.1.1-2.2.2.2/require; <br>&gt; spdadd 192.168.1.1 1.1.1.1 any -P in ipsec esp/tunnel/2.2.2.2-1.1.1.1/require; <br>&gt; после запуска racoon пингую хост 1922.168.0.1 - пингуется, в логах пишет, что <br>&gt; тунель поднят, но второй хост не пингуется без сообщений в логах <br>&gt; перезапускаю racoon и начинаю пингать 192.168.1.1 - пингуется, в логах опять-таки все <br>&gt; нормально, но теперь первый хост не пингуется <br>&gt; как решить ?<br><br>Попробуй заменить require на unique.<br> https://www.opennet.ru/openforum/vsluhforumID10/4790.html#4 Tue, 08 Feb 2011 20:31:31 GMT &gt;[оверквотинг удален]<br>&gt; host1 за циской = 192.168.0.1 <br>&gt; host2 за циской = 192.168.1.1 <br>&gt; конфы: <br>&gt; #!/sbin/setkey -f <br>&gt; flush; <br>&gt; spdflush; <br>&gt; spdadd 1.1.1.1 192.168.0.1 any -P out ipsec esp/tunnel/1.1.1.1-2.2.2.2/require; <br>&gt; spdadd 192.168.0.1 1.1.1.1 any -P in ipsec esp/tunnel/2.2.2.2-1.1.1.1/require; <br>&gt; spdadd 1.1.1.1 192.168.1.1 any -P out ipsec esp/tunnel/1.1.1.1-2.2.2.2/require; <br>&gt; spdadd 192.168.1.1 1.1.1.1 any -P in ipsec esp/tunnel/2.2.2.2-1.1.1.1/require; <br><br> Как вы думаете, что бы это означало..<br><br>&gt; после запуска racoon пингую хост 1922.168.0.1 - пингуется, в логах пишет, что <br>&gt; тунель поднят, но второй хост не пингуется без сообщений в логах <br>&gt; перезапускаю racoon и начинаю пингать 192.168.1.1 - пингуется, в логах опять-таки все <br>&gt; нормально, но теперь первый хост не пингуется <br>&gt; как решить ?<br><br> Ну тут все понятно, поднимается та политика, которая активизируется первой...<br> Я бы вам предложил бы шифровать весь трафик между 1.1.1.1 и 2.2.2.2, т.е. использовать транспорт, а не то https://www.opennet.ru/openforum/vsluhforumID10/4790.html#3 Tue, 08 Feb 2011 16:32:10 GMT во всех рассматриваемых в инете примерах есть одна внутренняя сеть с одной стороны и одна с другой<br>как реализовывать связь когда с одной из сторон две сети (два хоста) или более ?<br>как быть с политиками SPD и блоками sainfo в конфе ?<br> https://www.opennet.ru/openforum/vsluhforumID10/4790.html#2 Tue, 08 Feb 2011 16:19:23 GMT &gt; exchange_mode mail это описка? надо main <br>&gt; log notify; добавьте и смотрите что не так.<br>&gt; кроме того, включите ip_forward на linux <br><br>mail это описка<br>log notify; уже есть и как я уже писал при установке туннеля логи выводят, что туннель установлен (INFO: IPsec-SA established)<br>насчет ip_forward - не обязательно, потому как на удаленные хосты нужно ходить с VPN пира<br><br>повторюсь: хосты в другой сети доступны по одному, как сделать чтобы доступны были оба одновременно<br> https://www.opennet.ru/openforum/vsluhforumID10/4790.html#1 Tue, 08 Feb 2011 16:12:08 GMT exchange_mode mail это описка? надо main<br>log notify; добавьте и смотрите что не так.<br>кроме того, включите ip_forward на linux<br><br>