Andrey Lyubimets пишет: > andy пишет: >> День добрый. >> >> Собственно исходные данные: >> Две машины (ради эксперимента использовал внешние ИП адреса в одном >> блоке). Первая (beta) - 82.140.78.114, вторая (delta) 82.140.78.116. >> >> Локальная сеть слева: 192.168.1.0/24, локальная сеть справа: >> 192.168.4.0/24. >> >> Создал сертификаты, обменял файлы *.public между шлюзами. >> >> >> Настроил файл ipsec-tools.conf на beta: >> #!/usr/sbin/setkey -f >> flush; >> spdflush; >> spdadd 82.140.78.114/29 82.140.78.116/29 ipencap -P out ipsec >> esp/tunnel/82.140.78.114-82.140.78.116/require; > имхо правильно писать так > spdadd 192.168.1.0/24 192.168.4.0/24 ipencap -P out ipsec \ > esp/tunnel/82.140.78.114-82.140.78.116/require; > > >> >> >> На второй машине инфа примерно идентичная. Firewall отключен. >> tcpdump -p esp ничего не показывает. Что нетак? > > для начала запусти tcpdump port 500 > и паралельно ping 192.168.4.1 (следи, чтоб исходящий адрес был из > 192.168.1.0/24) > когда на 500-м порту появится активность - можно будет заглядывать в > лог ракуна. > >> >> >> >> > > День добрый! Спасибо что откликнулись. Ночь в выходные все перепробовал -- не работает. В итоге отказался от сертификатов и настроил через racoon-tool. Но результат нулевой. Пакетов по 500 порту нету. Также как и пакетов по esp протоколу. Кстати, а активность ракуна должна проявляться независимо от активности ракуна на другой стороне? если на одном конце ракун не запущен, то хотя пакеты ah должен быть?
-- WBR, Andrey N. Prokofiev IT department of the Korona Auto Ltd. Jabber ID: a...@korona-auto.com E-mail: a...@korona-auto.com Work Phone: +7-812-640-56-01 -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
