>Настройки ракуна и дфл в студию ! FreeBSD внешний IP: A.A.A.A
FreeBSD внутренняя сеть: 192.168.99.0/24
DFL-210 внешний IP: B.B.B.B
DFL-210 внутренняя сеть: 192.168.1.0/24
########################
НАСТРОЙКИ FreeBSD 6.3 #
########################
Файл /usr/local/etc/racoon/racoon.conf:
path include "/usr/local/etc/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
log notify;
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
listen
{
isakmp A.A.A.A [500];
}
timer
{
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per send.
phase1 30 sec;
phase2 15 sec;
}
remote B.B.B.B
{
exchange_mode main;
doi ipsec_doi;
situation identity_only;
nonce_size 16;
lifetime time 60 min; # sec,min,hour
initial_contact on;
support_proxy on;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm hmac_md5;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo subnet 192.168.99.0/24 any address 192.168.1.0/24 any
{
pfs_group 2;
lifetime time 1 hour;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
Файл psk.txt /usr/local/etc/racoon/psk.txt:
B.B.B.B pre-shared-key
/etc/rc.conf:
racoon_flags="-1 /var/log/racoon.log"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
/etc/ipsec.conf:
flush;
spdflush;
spdadd 192.168.99.0/24 192.168.1.0/24 any -P out ipsec esp/tunnel/A.A.A.A-B.B.B.B/unique;
spdadd 192.168.1.0/24 192.168.99.0/24 any -P out ipsec esp/tunnel/A.A.A.A-B.B.B.B/unique;
#####################
НАСТРОЙКИ DFL-210 #
#####################
Interfaces->IPSec:
Name: IPSec_FreeBSD
Local Network: 192.168.1.0/24
Remote Network: 192.168.99.0/24
Remote Endpoint: A.A.A.A
Encapsulation Mode: Tunnel
IKE Algorithms: Medium
IKE Life Time: 28800
IPSec Algorithms: Medium
IPSec Life Time: 3600
Objects->Authentification Objects:
Name: IPSec_FreeBSD
Passphrase: pre-shared-key
Rules->IP Rules->IPSec_FreeBSD:
1
Name: IPSec_to_lan
Action: Allow
Service: all_services
Source Interface: IPSec_FreeBSD
Source Network: 192.168.99.0/24
Destination Interface: lan
Destination Networl: 192.168.1.0/24
2
Name: Lan_to_IPSec
Action: Allow
Service: all_services
Source Interface: lan
Source Network: 192.168.1.0/24
Destination Interface: IPSec_FreeBSD
Destination Networl: 192.168.99.0/24
Вот вроде и все.
Чего я не доделал?...
ЗЫ: Сейчас настроен рабочий IPSec через этот же DFL-210 и DL-804HV. То бишь на DFL-210 все настроено корректно, пакеты нигде не рубятся. Мне кажется, дело в неправильной настройке на фряхе. Но в чем именно?