Подскажите пожалуйста куда смотреть, в чем может быть проблема....
На одной стороне Linux, ну или FreeBSD, не важно с адресами
int: 192.168.3.3
ext: A.A.A.AНа другой стороне Cisco PIX 501 firewall с адресами
int: 192.168.44.2
ext: B.B.B.B
Хочу объеденить сети через IPSEC c pre-shared key... До этого объединял FreeBSD и Linux машины и с rsa-сертификатами и с pre-shared ключами...
А здесь у меня получается такая ситуация... тунель устанавливается (Цыска показывает IKE tunnels: 1; IPSEC tunnels: 1; На другой стороне Racoon в логе пишет, что тунель установлен), а пинги через тунель не идут...
В чем может быть причина?
Вот части конфига Cisco:
interface ethernet0 auto
interface ethernet1 100full
nameif ethernet0 outside security0
nameif ethernet1 inside security100
names
name 212.122.1.2 dns
name 81.2.1.0 prosecutor_all
name 192.168.0.0 lenin
name 192.168.44.0 lenin44
name 192.168.3.0 prosecutor3
access-list inside_access_in permit ip 192.168.0.0 255.255.0.0 [почтовый сервер] 255.255.255.240
access-list inside_access_in permit ip 192.168.0.0 255.255.0.0 host [DNS]
access-list inside_outbound_nat0_acl permit ip lenin44 255.255.255.0 prosecutor3 255.255.255.0
access-list outside_cryptomap_20 permit ip lenin44 255.255.255.0 prosecutor3 255.255.255.0
mtu outside 1500
mtu inside 1500
ip address outside B.B.B.B 255.255.255.240
ip address inside 192.168.44.2 255.255.255.0
global (outside) 1 interface
nat (inside) 0 access-list inside_outbound_nat0_acl
nat (inside) 1 0.0.0.0 0.0.0.0 0 0
access-group inside_access_in in interface inside
route outside 0.0.0.0 0.0.0.0 [gate] 1
sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-MD5 esp-3des esp-md5-hmac
crypto ipsec transform-set ESP-AES-256-SHA esp-aes-256 esp-sha-hmac
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set myset1 esp-3des esp-sha-hmac
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map 20 match address outside_cryptomap_20
crypto map outside_map 20 set pfs group2
crypto map outside_map 20 set peer A.A.A.A
crypto map outside_map 20 set transform-set myset1
crypto map outside_map interface outside
isakmp enable outside
isakmp key ******** address A.A.A.A netmask 255.255.255.255
isakmp identity address
isakmp keepalive 120
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 hash sha
isakmp policy 20 group 2
isakmp policy 20 lifetime 86400
На стороне Unix`а
в ipsec:
spdadd 192.168.3.0/24 192.168.44.0/24 any -P out ipsec
esp/tunnel/A.A.A.A - B.B.B.B/require;
spdadd 192.168.44.0/24 192.168.3.0/24 any -P in ipsec
esp/tunnel/B.B.B.B - A.A.A.A/require;
добавлена запись в таблицу маршрутизации
route add -net 192.168.44.0/24 gw 192.168.3.3
Набираю "ping 192.168.44.1" и после этого в логе racoon появляются что устанавливается тунель и последние записи вот такие:
2007-02-16 18:47:18: INFO: IPsec-SA established: ESP/Tunnel B.B.B.B->A.A.A.A spi=113682007(0x6c6a657)
2007-02-16 18:47:18: INFO: IPsec-SA established: ESP/Tunnel A.A.A.A->B.B.B.B spi=1367497908(0x51825cb4)
и всё, пинги не идут... :-(