Доброго все времени суток! Копаюсь с ipsec не так давно и вот возникла проблема с настройкой туннеля ipsec междк dlink di-804hv и freebsd-7.0, собственные варианты пока что кончились... Суть проблемы: у меня получилось поднять ipsec между двумя оффисами нашей конторы,в центральном стоит шлюз на freebsd-7.0 а на удаленке dlink di-804hv. У обоих адреса серые,находятся в сети одного провайдера:для фрюхи внешний 192.168.47.1 маска 255.255.248.0+на ней есть pppoe-туннель для соединения с инетом, внутренний 192.168.0.1 маска 255.255.255.0. для длинка внешний 192.168.51.44 маска 255.255.248.0,внутренний 192.168.1.1. В манах в том числе на оффициальном сайте длинка ничего не говорится про необходимость поднятия интерфейса gif,если делать как они советуют то пакеты идущие с фрюхи в сеть за длинком роутятся на адрес 192.168.51.44, с линка в сеть за фрей идут на 192.168.47.1. Проверено,не работает,фря не знает как обраться до 192.168.1.1,пришлось поднять gif с адресами концов туннеля 192.168.47.1 и 192.168.51.44 и внутреними адресами 192.168.0.1 и 192.168.1.1 и вроде фря и длинк друг друга видят. Дальше начинается то что пока для меня неясно: прописал роутинг на сети за шлюзами через внтренние ардеса фри и длинка, на длинке на 192.168.0.0/24 через 192.168.0.1 а на фре на 192.168.1.0/24 через 192.168.1.1. с своего ноутбука находящегося в сети за длинком(адрес ноута 192.168.1.180) я могу пропинговать фрюху по адресу 192.168.0.1 но не могу пингануть машину 192.168.0.200 находящуюся за фрей,а вот с машины 192.168.0.200 из сети за фрей я не вижу даже внтреннего адреса длинка 192.168.1.1,не говоря уж о ноуте 192.168.1.180 за ним. :-( Пытался выснить что-то tcpdum -i gif0 host 192.168.1.1 а сами в это время с машины 192.168.0.200 запустил ping 192.168.1.1 предварительно прописав на ней маршрут на 192.168.1.0/24 через 192.168.0.1,но через интерфейс gif0 через который должны бегать пинги туда и обратно идут только ответы,через чо идут запросы выяснить не удалось:> sudo tcpdump -i gif0 host 192.168.1.180 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on gif0, link-type NULL (BSD loopback), capture size 96 bytes 19:46:12.981643 IP 192.168.1.180 > gate0: ICMP echo reply, id 13321, seq 125, length 64 19:46:14.016642 IP 192.168.1.180 > gate0: ICMP echo reply, id 13321, seq 126, length 64 19:46:15.050589 IP 192.168.1.180 > gate0: ICMP echo reply, id 13321, seq 127, length 64 когда слушаю остальные интерфейсы там ничего нет,а где ICMP echo request? :-( с самой фри я длинк и машину за длинком 192.168.1.180 пингую.
|