Всем здравствуйте!Возвращаюсь к своим похождениям с ipsec.
Ситуация следующая.
имеется два сервера
GW1
inet1 85.85.85.1/24
inet2 86.86.86.1/24
lan 192.168.1.1/24
GW2
inet 101.1.1.2/24
lan 192.168.2.2/24
Вроде все нормально.
Делаю между ними два ipsec
с 85.85.85.1 на 101.1.1.2
с 86.86.86.1 на 101.1.1.2
за каждым из шлюзов стоят еще одни шлюзы которые разруливают сети по OSPF. И между теми шлюзами есть канал точка-точка (Основной). Поверх ipsec прокинуты gre туннели и там тоже все нормально.
Вообщем как только я поднимаю ipsec на gw1 и gw2, все работает (да и без ipsec работает т.к. сделан NAT). Но дело в том что после того как поднимается ipsec перестают ходить ping и остальные пакеты чежду GW1 и GW2 по любым из интернет каналов, хотя связь по gre и ospf не прерывается, и все работает нормально, и даже переключение между каналами работает.
Но вот почему пропадает связь между шлюзами не могу понять. Хотя если c GW1 пингую GW2 то вижу AH и ESP пакеты на интерфейсе а вот ответы не идут, также и в обратном направлении.
Может кончено я что то с iproute напутал, но без ipsec все нормально пингуется.
Может кто сталкивался с данной проблемой.
Заранее спасибо!
Ах да чуть не забыл
Все это пока крутится на стенде и эмулирует сущ. конфигурацию, на которой потом будет подниматься.
Стенд состоит из двух серваков Vmware ESXI и XenServer, между которыми свитч циско, ну а на них куча виртуалок. то что приведено это часть стенда.
И да в дополнение. Пакеты которые идут поверх ipsec норм не тока ходят но и по tcpdump их видно с теми же заголовками.
И пинги не всегда пропадают иногда они возращаются :-)
Опять в догонку.
Используется CentOS 5.4
И естественно что конфигурируется с помощью его же конфигов.
Только сейчас заметил что на стороне где два прова, после запуска ipsec конфиг только один. Но правил по setkey -DP как полагается 6. У меня такое ощущение что в этом загвоздка. И поэтому то есть пинги то их нет.
