Ipsec тунель между Linux - Linux (FreeSwan)
Доброго времен суток всем!Пытаюсь поднять тунель между двумя подсетями, вроде тунель создаётся, ipsec не ругается, но после старта хосты из разных подсетей не пингуются.
ipsec.conf:
version 2.0
config setup
nat_traversal=yes
nhelpers=0
forwardcontrol=yes
klipsdebug=none
plutodebug=none
conn testnet-vpn
left=AA.AA.AA.AA
leftsubnet=192.168.50.0/24
leftrsasigkey=R1E1GC4np...
#leftnexthop=BB.BB.BB.BB
right=BB.BB.BB.BB
rightsubnet=192.168.17.0/24
rightrsasigkey=NlnTpd...
#rightnexthop=AA.AA.AA.AA
auto=start
# sample VPN connections, see /etc/ipsec.d/examples/
#Disable Opportunistic Encryption
include /etc/ipsec/ipsec.d/examples/no_oe.conf
В ipsec.secret соответственно всё присутствует...
temp_fw / # ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.4.15/K2.6.29-gentoo-r5 (netkey)
Checking for IPsec support in kernel [OK]
NETKEY detected, testing for disabled ICMP send_redirects [OK]
NETKEY detected, testing for disabled ICMP accept_redirects [OK]
Checking for RSA private key (/etc/ipsec/ipsec.secrets) [OK]
Checking that pluto is running [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADEing
Checking for 'ip' command [OK]
Checking for 'iptables' command [OK]
Opportunistic Encryption Support [DISABLED]
temp_fw / # ipsec auto status
ipsec auto: warning: obsolete command syntax used
000 interface lo/lo ::1
000 interface lo/lo 127.0.0.1
000 interface lo/lo 127.0.0.1
000 interface eth0/eth0 192.168.50.42
000 interface eth0/eth0 192.168.50.42
000 interface eth1/eth1 AA.AA.AA.AA
000 interface eth1/eth1 AA.AA.AA.AA
000 %myid = (none)
000 debug none
....
....
000 "testnet-vpn": 192.168.50.0/24===AA.AA.AA.AA...BB.BB.BB.BB===192.168.17.0/24; erouted; eroute owner: #30
000 "testnet-vpn": srcip=unset; dstip=unset; srcup=ipsec _updown; dstup=ipsec _updown;
000 "testnet-vpn": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "testnet-vpn": policy: RSASIG+ENCRYPT+TUNNEL+PFS+UP; prio: 24,24; interface: eth1; encap: esp;
000 "testnet-vpn": newest ISAKMP SA: #31; newest IPsec SA: #30;
000 "testnet-vpn": IKE algorithm newest: 3DES_CBC_192-MD5-MODP1536
000
000 #31: "testnet-vpn":500 STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 1883s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0)
000 #30: "testnet-vpn":500 STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 26920s; newest IPSEC; eroute owner
000 #30: "testnet-vpn" esp.60cc91f1@BB.BB.BB.BB esp.e4aad0a3@AA.AA.AA.AA tun.0@BB.BB.BB.BB tun.0@AA.AA.AA.AA
000
temp_fw / # iptables-save
-A INPUT -p udp -m udp --dport 500 -m state --state NEW -j ACCEPT
-A INPUT -p esp -j ACCEPT
-A INPUT -p ah -j ACCEPT
-A OUTPUT -p udp -m udp --dport 500 -m state --state NEW -j ACCEPT
-A OUTPUT -p esp -j ACCEPT
-A OUTPUT -p ah -j ACCEPT
При текущей таблице iptables, сети видны если подключиться по OpenVPN.
Есть подозрение что когда пакеты уходят, то они не ходят через тонель, если пустить трассеры, то видно что после роутера пакет уходит на шлюз провайдера, и там соответственно умирает. Вот таблица маршрутизации после поднятия Ipsec:
temp_fw / # route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
AA.AA.AA.200 * 255.255.255.252 U 0 0 0 eth1
192.168.50.0 * 255.255.255.0 U 0 0 0 eth0
192.168.17.0 * 255.255.255.0 U 0 0 0 eth1
loopback * 255.0.0.0 U 0 0 0 lo
default AA.AA.AA.201 0.0.0.0 UG 0 0 0 eth1
может я чего-то не доделал, или не так сделал? где ишибка в конфиге, или iptables?
temp_fw / # less /var/lib/syslog | grep ipsec
Jul 9 10:38:49 temp_fw ipsec_setup: Starting Openswan IPsec 2.4.15...
Jul 9 10:38:49 temp_fw ipsec_setup: NETKEY on eth1 AA.AA.AA.202/255.255.255.252 broadcast AA.AA.AA.203
Jul 9 10:38:49 temp_fw ipsec_setup: ...Openswan IPsec started
Jul 9 10:38:49 temp_fw ipsec__plutorun: 104 "testnet-vpn" #1: STATE_MAIN_I1: initiate
Вариант для распечатки
OpenNET: Виртуальная конференция (Public)
(ok) on 09-Июл-09, 11:49 
