https://opennet.ru/openforum/vsluhforumID1/74552.html люди, спасите, уже не пойму куда смотреть...<br>сделал:<br><br>на втором все тоже мамое, тольк с правльными адресами<br>cat /etc/ipsec.conf <br>flush;<br>spdflush;<br>spdadd 192.168.1.0/24 192.168.4.0/24 any -P out ipsec<br>esp/tunnel/aaa.aaa.aaa.aaa-bbb.bbb.bbb.bbb/require;<br>spdadd 192.168.4.0/24 192.168.1.0/24 any -P in ipsec<br>esp/tunnel/bbb.bbb.bbb.bbb-aaa.aaa.aaa.aaa/require;<br><br>cat /usr/local/etc/racoon/psk.txt <br>bbb.bbb.bbb.bbb password <br><br>cat /usr/local/etc/racoon/racoon.conf <br>path include "/usr/local/etc/racoon" ;<br>path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;<br>#path certificate "/usr/local/etc/cert" ;<br> <br>padding<br>{<br> maximum_length 20; # maximum padding length.<br> randomize off; # enable randomize length.<br> strict_check off; # enable strict check.<br> exclusive_tail off; # extract last one octet.<br>}<br> <br>listen<br>{<br> #isakmp ::1 [7000];<br> isakmp aaa.aaa.aaa.aaa [500];<br> #admin [7002]; # administrative's port by kmpstat.<br> https://opennet.ru/openforum/vsluhforumID1/74552.html#40 Thu, 17 May 2012 10:37:41 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;настройку делаю согласно http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec.html.<br>&gt;&gt;&gt;т.е. в /etc/ipsec.conf имею <br>&gt;&gt;&gt;...<br>&gt;&gt;&gt;spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; <br>&gt;&gt;&gt;spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; <br>&gt;&gt;&gt; я так понял, что типа протокол esp не поддерживается?? =( <br>&gt;&gt; <br>&gt;&gt;а в ядре-то точно все ровно? всех опций хватает?<br>&gt; компилил ядро как полагается, с опциями IPSEC, IPSEC_ESP и плюс IPSEC_DEBUG.<br>&gt; на момент запуска racoon сервера должны видеть друг друга?<br><br>опция в ядре PF_KEY sockets.<br>p.s. ответ уже скорей не для автора, а для гуглящих и натыкающихся на данный пост<br> https://opennet.ru/openforum/vsluhforumID1/74552.html#39 Mon, 25 May 2009 12:37:01 GMT &gt;не, спасибо. результат то у меня есть работающий...<br><br>to linz:<br><br>Хелп!!!!<br>Если можно, выложи плиз рабочие конфиги racoon.conf, ipsec.conf и соответствующий rc.conf.<br>Уже 2-й месяц бъюсь с этим айписецом... ((((<br> https://opennet.ru/openforum/vsluhforumID1/74552.html#38 Thu, 02 Aug 2007 11:03:55 GMT &gt;<br>&gt;&gt;нууу... <br>&gt;&gt;<br>&gt;&gt;а у тебя при работающем шифрованом канале по внешним адресам щлюзы доступны <br>&gt;&gt;из серых сетей? <br>&gt;<br>&gt;пока ещё не сделал всё до конца... <br>&gt;щас поднимаю связь двух серверов, буд проверять что да как... да фаер <br>&gt;нада донастроить с этим уклоном.. и ipnat... <br>&gt;если хочешь могу потом выслать результат.... <br><br>не, спасибо. результат то у меня есть работающий. я вот только никак не могу понять почему оба тазика не видят друг друга по внешним адресам после поднятия шифрованного тунеля. тоесть если тунель юеза ipsec то все шикарно...<br><br> https://opennet.ru/openforum/vsluhforumID1/74552.html#37 Thu, 02 Aug 2007 10:22:54 GMT <br>&gt;нууу... <br>&gt;<br>&gt;а у тебя при работающем шифрованом канале по внешним адресам щлюзы доступны <br>&gt;из серых сетей? <br><br>пока ещё не сделал всё до конца...<br>щас поднимаю связь двух серверов, буд проверять что да как... да фаер нада донастроить с этим уклоном.. и ipnat...<br>если хочешь могу потом выслать результат....<br> https://opennet.ru/openforum/vsluhforumID1/74552.html#36 Thu, 02 Aug 2007 10:13:15 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;нет, не обязательно. <br>&gt;&gt;а сам ракун нормально собирался? без косяков? может его пересобрать? <br>&gt;<br>&gt;всё, нашёл косяк =) <br>&gt;УРА! =))) <br>&gt;когда ядро компилил одну буковку не ту написал... вот всё и стало <br>&gt;по дефолту... с GENERIC... <br>&gt;<br>&gt;терь поднялось всё =) <br><br>нууу...<br><br>а у тебя при работающем шифрованом канале по внешним адресам щлюзы доступны из серых сетей?<br> https://opennet.ru/openforum/vsluhforumID1/74552.html#35 Thu, 02 Aug 2007 08:39:58 GMT <br>&gt;&gt;&gt;а в ядре-то точно все ровно? всех опций хватает? <br>&gt;&gt;<br>&gt;&gt;компилил ядро как полагается, с опциями IPSEC, IPSEC_ESP и плюс IPSEC_DEBUG. <br>&gt;&gt;на момент запуска racoon сервера должны видеть друг друга? <br>&gt;<br>&gt;нет, не обязательно. <br>&gt;а сам ракун нормально собирался? без косяков? может его пересобрать? <br><br>всё, нашёл косяк =)<br>УРА! =)))<br>когда ядро компилил одну буковку не ту написал... вот всё и стало по дефолту... с GENERIC...<br><br>терь поднялось всё =)<br> https://opennet.ru/openforum/vsluhforumID1/74552.html#34 Thu, 02 Aug 2007 05:38:29 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;т.е. в /etc/ipsec.conf имею <br>&gt;&gt;&gt;... <br>&gt;&gt;&gt;spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; <br>&gt;&gt;&gt;spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; <br>&gt;&gt;&gt; я так понял, что типа протокол esp не поддерживается?? =( <br>&gt;&gt;<br>&gt;&gt;а в ядре-то точно все ровно? всех опций хватает? <br>&gt;<br>&gt;компилил ядро как полагается, с опциями IPSEC, IPSEC_ESP и плюс IPSEC_DEBUG. <br>&gt;на момент запуска racoon сервера должны видеть друг друга? <br><br>нет, не обязательно. <br>а сам ракун нормально собирался? без косяков? может его пересобрать?<br> https://opennet.ru/openforum/vsluhforumID1/74552.html#33 Wed, 01 Aug 2007 13:36:14 GMT &gt;[оверквотинг удален]<br>&gt;&gt;журнале security получаю: <br>&gt;&gt;ERROR: libipsec failed pfkey open (Protocol not supported) <br>&gt;&gt;настройку делаю согласно http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec.html. <br>&gt;&gt;т.е. в /etc/ipsec.conf имею <br>&gt;&gt;... <br>&gt;&gt;spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; <br>&gt;&gt;spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; <br>&gt;&gt; я так понял, что типа протокол esp не поддерживается?? =( <br>&gt;<br>&gt;а в ядре-то точно все ровно? всех опций хватает? <br><br>компилил ядро как полагается, с опциями IPSEC, IPSEC_ESP и плюс IPSEC_DEBUG.<br>на момент запуска racoon сервера должны видеть друг друга?<br> https://opennet.ru/openforum/vsluhforumID1/74552.html#32 Wed, 01 Aug 2007 12:54:20 GMT &gt;кхе... прошу прощения за вмешательство.. доброго дня... или ночи... <br>&gt;у меня вопрос - делаю похожую вещь, всё вроде настроил, НО в <br>&gt;журнале security получаю: <br>&gt;ERROR: libipsec failed pfkey open (Protocol not supported) <br>&gt;настройку делаю согласно http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec.html. <br>&gt;т.е. в /etc/ipsec.conf имею <br>&gt;... <br>&gt;spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require; <br>&gt;spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require; <br>&gt; я так понял, что типа протокол esp не поддерживается?? =( <br><br>а в ядре-то точно все ровно? всех опций хватает?<br>