Имеется дока:
http://www.freebsd.org.ua/doc/ru_RU.KOI8-R/books/handbook/ipsec.html
Имеются два шлюза:
первый
skif@ostwest :uname -r
4.10-RELEASE-p3
skif@ostwest :
и
второй
skif@gateway.sto :uname -r
4.9-RELEASE-p1
skif@gateway.sto :
На них подняты на первом:
skif@ostwest :lf /var/db/pkg/ | grep racoon
racoon-20040818a/
skif@ostwest :
и на втором:
skif@gateway.sto :lf /var/db/pkg/| grep racoon
racoon-20040116a/
skif@gateway.sto :
Опции ядра на обоих:
skif@ostwest :less /usr/src/sys/i386/conf/SKIF | grep IPSEC
options IPSEC
options IPSEC_ESP
options IPSEC_DEBUG
skif@ostwest :
То что загружено после компиляции ядра и перезагрузки на обоих концах:
skif@gateway.sto :sysctl -a | grep ipsec
net.inet.ipsec.def_policy: 1
net.inet.ipsec.esp_trans_deflev: 1
net.inet.ipsec.esp_net_deflev: 1
net.inet.ipsec.ah_trans_deflev: 1
net.inet.ipsec.ah_net_deflev: 1
net.inet.ipsec.ah_cleartos: 1
net.inet.ipsec.ah_offsetmask: 0
net.inet.ipsec.dfbit: 0
net.inet.ipsec.ecn: 0
net.inet.ipsec.debug: 1
net.inet.ipsec.esp_randpad: -1
skif@gateway.sto :
rc.conf на первом:
skif@ostwest :less /etc/rc.conf | grep gif
gif_interfaces="YES"
gif_interfaces="gif0"
gifconfig_gif0="A.B.C.D W.X.Y.Z"
ifconfig_gif0="inet 192.168.10.114 192.168.100.114 netmask 255.255.255.255"
skif@ostwest :
skif@ostwest :less /etc/rc.conf | grep ipsec
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
skif@ostwest :
на втором:
skif@gateway.sto :less /etc/rc.conf | grep gif
gif_interfaces="YES"
gif_interfaces="gif0"
gifconfig_gif0="W.X.Y.Z A.B.C.D"
ifconfig_gif0="inet 192.168.100.114 192.168.10.114 netmask 255.255.255.255"
skif@gateway.sto :
skif@gateway.sto :less /etc/rc.conf | grep ipsec
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
skif@gateway.sto :
Правила ipfw, на обоих:
00001 allow ip from any to any via gif0
00002 allow udp from A.B.C.D to W.X.Y.Z 500
00003 allow udp from W.X.Y.Z to A.B.C.D 500
00004 allow esp from A.B.C.D to W.X.Y.Z
00005 allow esp from W.X.Y.Z to A.B.C.D
00006 allow ipencap from A.B.C.D to W.X.Y.Z
00007 allow ipencap from W.X.Y.Z to A.B.C.D
00009 allow log logamount 32 esp from any to any
00010 allow log logamount 32 udp from any 500 to any 500
00011 allow ip from W.X.Y.Z to A.B.C.D
00012 allow ip from A.B.C.D to W.X.Y.Z
Вот пример того, что записано /usr/local/etc/racoon/psk.txt на первом:
skif@ostwest :sudo less /usr/local/etc/racoon/psk.txt
Password:
# IPv4/v6 addresses
W.X.Y.Z V501T04VW9D9i54YX653mJ8t6H1
# USER_FQDN
#sakane@kame.net mekmitasdigoat
# FQDN
#kame hoge
на втором
skif@gateway.sto :sudo less /usr/local/etc/racoon/psk.txt
Password:
# IPv4/v6 addresses
A.B.C.D V501T04VW9D9i54YX653mJ8t6H1
skif@gateway.sto :
Содержимое ipsec.conf на первом:
root@ostwest :less /etc/ipsec.conf
flush;
spdflush;
#spdadd 192.168.10.0/24 192.168.100.0/24 ipencap -P out ipsec
#esp/tunnel/A.B.C.D-W.X.Y.Z/require;
#spdadd 192.168.100.0/24 192.168.10.0/24 ipencap -P in ipsec
#esp/tunnel/W.X.Y.Z-A.B.C.D/require;
spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P out ipsec
esp/tunnel/A.B.C.D-W.X.Y.Z/require;
spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P in ipsec
esp/tunnel/W.X.Y.Z-A.B.C.D/require;
root@ostwest :
на втором:
skif@gateway.sto :less /etc/ipsec.conf
flush;
spdflush;
#spdadd 192.168.100.0/24 192.168.10.0/24 ipencap -P out ipsec
#esp/tunnel/W.X.Y.Z-A.B.C.D/require;
#spdadd 192.168.10.0/24 192.168.100.0/24 ipencap -P in ipsec
#esp/tunnel/A.B.C.D-W.X.Y.Z/require;
spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec
esp/tunnel/W.X.Y.Z-A.B.C.D/require;
spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec
esp/tunnel/A.B.C.D-W.X.Y.Z/require;
skif@gateway.sto :
А вот что пишет setkey:
root@ostwest :setkey -D
No SAD entries.
Ну и ясен пень, что пакеты не шифруются... :(((
Вопрос, что сделано неправильно? Вроде бы все по доке...
Ну еще вопрос вызывает конфиг racoon. Имеется там секция, и я вот не знаю, стоит ли ее править, конфиг со старой работы недоступен, по понятной причине, но мне кажется, что там я все же правил его в этой секции:
sainfo address 203.178.141.209 any address 203.178.141.218 any
{
pfs_group 1;
lifetime time 30 sec;
encryption_algorithm des ;
authentication_algorithm hmac_md5;
compression_algorithm deflate ;
}
Хотя с другой стороны, если он не описан отдельно, то должен проходить по секции anonimous...
Да еще момент. С такими настройками ничего не бегает, а вот если я раскоментирую строки в ipsec.conf и закоменчу те, что по доке -пакеты бегают, но шифрованием и не пахнет, просто gif-тунель.
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
(ok) on
04-Окт-04, 15:32 (MSK)
