Заранее благодарен всем кто откликнется.
Есть openswan проставленный из Debian дистрибутива на ядре 2.6.7. Подымаю тестовое подключение с таким конфигом:
conn ugmk
auth=esp
left=10.1.1.100
leftsubnet=10.1.1.100/30
leftrsasigkey=0sAQN81m~~~~~~~etc
right=10.1.1.112
rightsubnet=101.1.1.112/30
rightrsasigkey=0sAQOTCQ~~~~~~etc
auto=add
С ключами все ок, проверено за 3 дня перепроверено, 112 хост в моей локалке.
Даю команду
#ipsec setup restart
#ipsec auto --up ugmk
Получаю в auth.log ответ:
Sep 10 10:10:51 kiev ipsec__plutorun: Starting Pluto subsystem...
Sep 10 10:10:51 kiev pluto[2087]: Starting Pluto (Openswan Version 2.1.3 X.509-1.4.8-1 PLUTO_USES_KEYRR)
Sep 10 10:10:51 kiev pluto[2087]: including NAT-Traversal patch (Version 0.6c) [disabled]
Sep 10 10:10:51 kiev pluto[2087]: Using Linux 2.6 IPsec interface code
Sep 10 10:10:52 kiev pluto[2087]: added connection description "ugmk"
Sep 10 10:10:52 kiev pluto[2087]: listening for IKE messages
Sep 10 10:10:52 kiev pluto[2087]: adding interface lo/lo 127.0.0.1
Sep 10 10:10:52 kiev pluto[2087]: adding interface eth2/eth2 10.1.1.100
Sep 10 10:10:52 kiev pluto[2087]: loading secrets from "/etc/ipsec.secrets"
Sep 10 10:10:59 kiev pluto[2087]: "ugmk" #1: initiating Main Mode
Sep 10 10:10:59 kiev pluto[2087]: "ugmk" #1: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
Sep 10 10:10:59 kiev pluto[2087]: "ugmk" #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
Sep 10 10:11:00 kiev pluto[2087]: "ugmk" #1: Peer ID is ID_IPV4_ADDR: '10.1.1.112'
Sep 10 10:11:00 kiev pluto[2087]: "ugmk" #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4
Sep 10 10:11:00 kiev pluto[2087]: "ugmk" #1: ISAKMP SA established
Sep 10 10:11:00 kiev pluto[2087]: "ugmk" #2: initiating Quick Mode RSASIG+ENCRYPT+AUTHENTICATE+TUNNEL+PFS+UP {using isakmp#1}
Sep 10 10:11:00 kiev pluto[2087]: "ugmk" #2: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2
Sep 10 10:11:00 kiev pluto[2087]: "ugmk" #2: sent QI2, IPsec SA established {ESP=>0xe0ab85b2 <0x57fc948d AH=>0x74ab239a <0x7485511c}
Во всех манах написано что последняя строка подразумевает установленное соединение.
Соединение то может и установленное, но на tcpdump -n host 10.1.1.112
пингуя хост 10.1.1.112 я вижу:
10:04:13.127692 IP kiev.azb-kiev > 10.1.1.112: icmp 64: echo request seq 0
10:04:13.127897 IP 10.1.1.112 > kiev.azb-kiev: icmp 64: echo reply seq 0
И никаких намеков на ESP. То есть соединение нифига не шифруется.
То же самое имело место быть с FreeSWAN-ом, что правда вовсе неудивительно.
И никак не могу понять в чем затык. Помогите пожалуйста, буду очень благодарен.