Настройка шифрованного туннеля с использованием IPSEC на FreeBSD6.2, с использованем сертификатов.

      Итак. Старая статья устарела :). Да и понадобилось сделать на 6.2, в отличие от описанной там 4.11, заодно прикрутить сертификаты - для надёжности. Посему, пишу заново.

    Подробности о том, как всё сделать "руками", плюс дополнительные объяснения можно глянуть в старой версии статьи, тут будет лишь описание, как сделать туннели, и прочее по теме чисто штатными средствами (раньше половина подымалась своими скриптами).

    Исходные условия - две машины, первая - 217.15.62.49, 192.168.160.254 (via.epia); вторая 217.15.62.200, 192.168.170.254 (test.lissyara.su), задача - связать сети 192.168.x.x. Предполагается, что обе машины - default router для своих сетей, иначе придётся внутри сети рулить пакеты дополнительно.

    Поехали. Для начала пересобираем ядро с такими опциями:

# firewall (необязательно, можете загрузить модулем.)
# Однако, сам по себе файрволл всё же нужен, ибо неплохо ограничить
# хосты которые могут коннектится на порты ракона - на всякий случай...
options         IPFIREWALL
options         IPFIREWALL_VERBOSE
options         IPFIREWALL_VERBOSE_LIMIT=1000
options         TCP_DROP_SYNFIN

# IPSEC
options         IPSEC
options         IPSEC_ESP
options         IPSEC_DEBUG	# необязательно, но облегчит поиск проблем

    Пока собирается ядро, обновляем порты такой командой:

test.lissyara.su # csup -g -L 2 -h cvsup5.ru.freebsd.org \
? /usr/share/examples/cvsup/ports-supfile && cd /usr/ports/ \
? && make fetchindex

    После обновления ставим racoon, из коллекции ipsec-tools:

/usr/home/lissyara/>cd /usr/ports/security/ipsec-tools/
/usr/ports/security/ipsec-tools/>make install clean

    Лезет такое окошко:

+--------------------------------------------------------------------+
|                  Options for ipsec-tools 0.6.6                     |
| +----------------------------------------------------------------+ |
| |[X] DEBUG      enable Debug support                             | |
| |[ ] IPV6       enable IPV6 support                              | |
| |[ ] ADMINPORT  enable Admin port                                | |
| |[ ] STATS      enable Statistics logging function               | |
| |[X] DPD        enable Dead Peer Detection                       | |
| |[ ] NATT       enable NAT-Traversal (kernel-patch required)     | |
| |[ ] NATTF      require NAT-Traversal (fail without kernel-patch)| |
| |[X] FRAG       enable IKE fragmentation payload support         | |
| |[ ] HYBRID     enable Hybrid Mode-cfg and Xauth support         | |
| |[ ] PAM        enable PAM authentication                        | |
| |[ ] GSSAPI     enable GSS-API authentication                    | |
| |[ ] RADIUS     enable Radius authentication                     | |
| |[ ] SAUNSPEC   enable Unspecified SA mode                       | |
| |[ ] RC5        enable RC5 encryption (patented)                 | |
| |[ ] IDEA       enable IDEA encryption (patented)                | |
+-+----------------------------------------------------------------+-+
|                       [  OK  ]       Cancel                        |
+--------------------------------------------------------------------+

    Опции, которые я выбрал - указаны. После инсталляции, идём создавать директории (странно, но хотя стартовые скрипты инсталлялся, директории которые требуются - не создаются, хотя в этих самых скриптах они указаны), заодно копируем дефолтовый конфиг, который тоже не инсталлится куда положено:

/usr/home/lissyara/>mkdir -p /usr/local/etc/racoon/cert
/usr/home/lissyara/>cp /usr/local/share/examples/ipsec-tools/racoon.conf \
? /usr/local/etc/racoon/racoon.conf

    До рихтовки конфига, надо нагенерить сертификатов. Честно говоря с OpenSSL особо не разбирался, сама операция откуда-то чесно дёрнута, и подрихтована под свои нужды, посему даю как есть:

/usr/home/lissyara/>cd /usr/local/etc/racoon/cert/
/usr/local/etc/racoon/cert/>openssl req -new -nodes -newkey rsa:1024 \
? -sha1 -keyform PEM -keyout via.epia.private -outform PEM \
? -out via.epia.pem
Generating a 1024 bit RSA private key
..............................++++++
..++++++
writing new private key to 'via.epia.private'
-----
You are about to be asked to enter information that will be incorporated
into your certificate request.
What you are about to enter is what is called a Distinguished Name or a DN.
There are quite a few fields but you can leave some blank
For some fields there will be a default value,
If you enter '.', the field will be left blank.
-----
Country Name (2 letter code) [AU]:SU
State or Province Name (full name) [Some-State]:USSR
Locality Name (eg, city) []:Moscow
Organization Name (eg, company) [Internet Widgits Pty Ltd]:Home Network
Organizational Unit Name (eg, section) []:
Common Name (eg, YOUR name) []:Alex Keda
Email Address []:admin@lissyara.su

Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:
/usr/local/etc/racoon/cert/>
/usr/local/etc/racoon/cert/>ll
total 4
-rw-r--r--  1 root  wheel  676 15 мар 14:44 via.epia.pem
-rw-r--r--  1 root  wheel  887 15 мар 14:44 via.epia.private
/usr/local/etc/racoon/cert/>openssl x509 -req -in via.epia.pem  \
? -signkey via.epia.private  -out via.epia.public
Signature ok
subject=/C=SU/ST=USSR/L=Moscow/O=Home Network/CN=Alex
 Keda/emailAddress=admin@lissyara.su
Getting Private key
/usr/local/etc/racoon/cert/>ll
total 6
-rw-r--r--  1 root  wheel  676 15 мар 14:44 via.epia.pem
-rw-r--r--  1 root  wheel  887 15 мар 14:44 via.epia.private
-rw-r--r--  1 root  wheel  899 15 мар 14:48 via.epia.public
/usr/local/etc/racoon/cert/>

    Для второй машины тоже генерим ключи, и копируем с одной на другую файлики *.public. В принципе, имена ключей неважны, можно называть и по IP, с соответствующими расширениями.

    Далее, рисуем конфиги, для обоих одинаковые, тока меняются местами все IP и ключи:

/etc/rc.conf

# added by lissyara 2007-03-15 in 14:32
# Включем racoon
racoon_enable="YES"
# создаём gif-интерфейс
cloned_interfaces="gif0"
# пробиваем туннель
gif_interfaces="gif0"
gifconfig_gif0="217.15.62.49 217.15.62.200"
ifconfig_gif0="inet 192.168.160.254 192.168.170.254 netmask 0xffffffff"
# Включаем IPSEC
ipsec_enable="YES"
# вводим статический роутинг
static_routes="RemoteLan"
route_RemoteLan="192.168.170.0/24 -interface gif0"

/etc/ipsec.conf

# тут описывается как шифруется проходящая
# в туннеле инфа. Для второй машины надо просто поменять IP местами
spdadd 217.15.62.49/32 217.15.62.200/32 ipencap -P out ipsec
 esp/tunnel/217.15.62.49-217.15.62.200/require;
spdadd 217.15.62.200/32 217.15.62.49/32 ipencap -P in ipsec
 esp/tunnel/217.15.62.200-217.15.62.49/require;

/usr/local/etc/racoon/racoon.conf

# $KAME: racoon.conf.sample,v 1.28 2002/10/18 14:33:28 itojun Exp $

# "path" затрагивает директиву "include".  "path" должен быть задан до любых
# директив "include" с относительным путём к файлу.
# Вы можете перезадать директиву "path" впоследствии, однако, это может
# привести большому замешательству.
path include "/usr/local/etc/racoon" ;
#include "remote.conf" ;

# файл должен содержать пару ключей ID/key, для аутентификации по ключам.
#path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;

# racoon будет искать файл сертификата в директории, если передан полезный
# запрос certificate/certificate.
path certificate "/usr/local/etc/racoon/cert/" ;

# "log" определяет уровень логгирования. Он сопровождается одним из
#  "notify", "debug" или "debug2".
log debug2;

# "padding" задаёт некоторые параметры формирования пакетов (если я верно понял)
# Ничего тут не трогайте. (Ага, конечно! - прим. lissyara)
padding
{
        maximum_length 20;      # максимальная длинна набивки (?).
        randomize off;          # включение случайной длинны.
        strict_check off;       # включить строгую проверку.
        exclusive_tail off;     # извлекать один последний октет.
}

# если директива listen не задана, racoon слушает все доступные
# адреса интерфейсов.
listen
{
        #isakmp ::1 [7000];
        isakmp 217.15.62.49 [500];
        #admin [7002];          # административный порт для racoonctl.
        #strict_address;        # требует что все адреса должны быть ограничены.
}

# Задание различных дефолтовых таймеров.
timer
{
        # Эти значения могут быть изменены удалённым узлом.
        counter 5;              # максимальный счётчик попыток отсыла.
        interval 20 sec;        # максимальный интерал для повторной посылки.
        persend 1;              # число отсылаемых пакетов.

        # максимальное время ожидания для завершения каждой фазы.
        phase1 30 sec;
        phase2 15 sec;
}

# описываем удалённый хост (на второй машине - идентично,
# тока другой IP и ключи)
remote  217.15.62.200
{
        exchange_mode aggressive,main;
        my_identifier asn1dn;
        peers_identifier asn1dn;
	# сертификаты этой машины
        certificate_type x509 "via.epia.public" "via.epia.private";
	# сертификат удлённой машины
        peers_certfile x509 "test.lissyara.su.public";
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method rsasig;
                dh_group 2 ;
        }
}

# Вначале хотел вообще без этой секции,
# но неподнялось, с такой руганью в логах:
# racoon: ERROR: failed to get sainfo.
sainfo anonymous
{
        pfs_group 5;
        lifetime time 60 min;
        encryption_algorithm 3des ;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate ;
}

    Думается, к этому моменту ядро уже пересобралось, и проинсталлилось. Можно перезагружатья. После перезагрузки смотрим:

/usr/home/lissyara/>ifconfig
vr0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 192.168.160.254 netmask 0xffffff00 broadcast 192.168.160.255
        ether 00:40:63:d8:23:6d
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
vr1: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        inet 217.15.62.49 netmask 0xffffffc0 broadcast 217.15.62.63
        ether 00:40:63:d8:23:3c
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
        tunnel inet 217.15.62.49 --> 217.15.62.200
        inet 192.168.160.254 --> 192.168.170.254 netmask 0xffffffff
/usr/home/lissyara/>
/usr/home/lissyara/>ps -ax | grep racoon
  859  ??  Is     0:00,01 /usr/local/sbin/racoon
 1091  p0  R+     0:00,01 grep racoon
/usr/home/lissyara/>

    Всё нормально, все интерфейсы создались, racoon запущен. Надо заметить, что пока в фаерволле не прокрутили дырки для протоколов и портов, по которым пашет туннель, по нему ничё не пойдёт. Также учтите, что ядро собранное с вышеуказанными (которые про firewall, а не про ipsec) опциями, включает файроволл при загрузке, в режиме запрета всего. Поэтому до перезагрузки лучше настроить файрволл, или иметь физический доступ к машине.

    Крутим дырки:

/usr/home/lissyara/>ipfw show | head -4
00100   48   4032 allow ip from any to any via gif0
00200    2   1656 allow udp from 217.15.62.200 to me dst-port 500
00300   35   5600 allow esp from me to 217.15.62.200
00400   35   5600 allow esp from 217.15.62.200 to me

    Ну и пробуем попинговаться:

/usr/home/lissyara/>ping 192.168.170.254
PING 192.168.170.254 (192.168.170.254): 56 data bytes
64 bytes from 192.168.170.254: icmp_seq=4 ttl=64 time=3.160 ms
64 bytes from 192.168.170.254: icmp_seq=5 ttl=64 time=2.355 ms
^C
--- 192.168.170.254 ping statistics ---
6 packets transmitted, 2 packets received, 66% packet loss
round-trip min/avg/max/stddev = 2.355/2.758/3.160/0.402 ms
/usr/home/lissyara/>

    Первые 4 пакета потерялись, при поднятии туннеля (чё-то всё же стало кривей - на 4.11 терялся всего один пакет, хотя сетевая дистанция была куда больше), затем всё забегало.

    В случае проблем, смотрим логи (/var/log/security). У меня там (/var/log/messages) нашлась интересная строка:

Mar 16 10:51:31 epia kernel: WARNING: pseudo-random number generator used for IPsec processing


    Рыскания по инету ни к чему не привели - вроде как реально чё-то стало кривей... В рассылке lists.freebsd.org рекомендуют ставить железный генератор случайных чисел :).



P.S. Рекомендую ознакомиться со старой версией статьи для понимания происходящего.

размещено: 2007-03-16,

				последнее обновление: 2008-09-25,

				автор: lissyara

alex, 2007-03-16 в 11:29:22

Неплохо бы добавить сюда еще использование NAT-T.

yolkov, 2007-03-16 в 16:41:42

# Вначале хотел вообще без этой секции, # но неподнялось, с такой руганью в логах: # racoon: ERROR: failed to get sainfo. sainfo anonymous ... потому что это описание второй фазы, первая фаза - remote ...

^rage^, 2007-03-17 в 0:10:33

неплохо бы юзать IPSEC_FAST и device crypto. чтобы задействовать апаратную реализацию AES в via c5-c7

lissyara, 2007-03-17 в 0:49:52

Как девайс-то сменить? Что у via есть аппаратный генератор в маме - я тоже в рассылке нашёл. Не нашёл как устройство указать...

^rage^, 2007-03-17 в 10:23:17

Где-то в районе handbook было, что FAST_IPSEC задействует подсистему crypto и по возможности поддерживаемые ей аппаратные шифровалки =) http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec.html

^rage^, 2007-03-17 в 10:24:27

И кстати, там не только hw rng, но, как я уже и говорил, hw aes.

yolkov, 2007-03-17 в 15:01:03

а что для 6.1 сертификаты по другому генерить надо? в логах такие ошибки: ERROR: failed to get my CERT. ERROR: failed to get own CERT. ERROR: failed get my ID ERROR: failed to begin ipsec sa negotication. Хотя на 6.2 без проблем подхватывает сертификаты

yolkov, 2007-03-17 в 16:35:27

извините ошибка в конфиге была, можно удалить этот и предыдущий пост

Maestro, 2007-05-07 в 14:44:05

На 6.1 почему-то не работает. Странно. Все на сто раз перепроверил. В логах ошибок нет. А пинг не идет, даже когда IPFW в OPEN. Ничего не понимаю. Странно все это. В логах пишется что тунель established - а пинг не идет. Кто нить сталкивался???

zik, 2007-05-24 в 22:12:40

spdadd 217.15.62.49/32 217.15.62.200/32 ipencap -P out ipsec esp/tunnel/217.15.62.49-217.15.62.200/require; spdadd 217.15.62.200/32 217.15.62.49/32 ipencap -P in ipsec esp/tunnel/217.15.62.200-217.15.62.49/require; Вот этом конфиге пока в spadd не указал удреса сетей нихуа не зароботало, вот по какому принципу заработало: spdadd 192.168.160.0/24 192.168.170.0/24 ipencap -P out ipsec esp/tunnel/217.15.62.49-217.15.62.200/require; spdadd 192.168.170.0/24 192.168.160.0/24 ipencap -P in ipsec esp/tunnel/217.15.62.200-217.15.62.49/require; Я незнаю - это баг или я просто плохо понял ...

lissyara, 2007-05-24 в 22:51:38

у меня в двух местах работает как описано...

hopeful, 2007-10-03 в 13:43:43

Промаялся день с парой хардварных роутеров NetGear FVS114 и D-link 824VUP+, согласуя их по IPSEC с FreBSD, чтобы дойти до очевидного. Туннели устанавливались, но пакеты не ходили. Пришлось подправить правила: spdadd 192.168.160.0/24 192.168.170.0/24 any -P out ipsec esp/tunnel/217.15.62.49-217.15.62.200/require; spdadd 192.168.170.0/24 192.168.160.0/24 any -P in ipsec esp/tunnel/217.15.62.200-217.15.62.49/require;

freeman_tnu, 2007-10-03 в 14:13:08

почитал бы тут http://www.lissyara.su/?id=1503 не маялся б

Sadok, 2007-10-22 в 7:18:41

Хм. Я правильно понял, что следуя указанным рекомендациям, сертификаты создаются со сроком действия 1 месяц? Во всяком случае, у меня именно так :) Спасибо за статью, все взлетело за 5 минут.

lissyara, 2007-10-22 в 9:23:50

Не знаю, но месяца четыре уже работает в одном месте...

Sadok, 2007-10-26 в 13:14:12

Ну, посмотрим, что там со сроками действия. ИМХО, должно отвалиться соединение. Просто по аналогии, что браузеры возмущаются на просроченные сертификаты... И еще один момент. В debug.log я не вижу сообщений о смене ключей (в конфиге log debug2;). Не связано ли это с отсутствием lifetime time ХХ min; в секции описания удаленного хоста?

DimERR, 2007-11-19 в 13:57:02

Доброе время суток, столкнулся с такой проблемой: туннель работает, но переодически слетает (раз в три дня примерно)в логах только одна ошибка... kernel: IPv4 ESP input: no key association found for spi. Стоит FreeBSD 6.1, конфиги перепроверил вроде все ок. Может кто сталкивался? Заранее, спасибо )

sidor-r, 2007-11-19 в 21:23:42

Было такое на 6.1 Обновил ipsec-tools и всё заработало как надо!!!

freesco, 2008-01-29 в 13:26:56

Зачем gif туннель если IPSEC использует tunnel mode, а не transport? Неувязка получается, зачем 2 туннеля? На мой взгляд одного, реализованного средствами IPSEC хватило бы, gif интерфейс лишний

unkn0wn, 2008-01-30 в 10:46:20

В данном случае шифруется не весь трафик, выходящий с внешнего интерфейса, а только трафик, который инкапсулирует пакеты локальной сети, то бишь выходящий с gif-туннеля, потому никакой неувязки нет. Подробнее описано тут: http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec.html Хендбук - сила ) Кстати, на FreeBSD 5.4 демон racoon падает в корку после первого принятого пакета IPSec, причину такого поведения так и не понял. Порты свежие.

krilya, 2008-04-24 в 4:55:23

у меня racoon прекрасно работает и без gif FreeBSD 4.11 и 6.2

fenrir, 2008-05-05 в 14:34:57

хотелось бы добавить то что в ситуации с 7 веткой фри в ядро нужно добавлять не options IPSEC options IPSEC_ESP options IPSEC_DEBUG а options IPSEC device crypto

Touch, 2008-10-05 в 15:43:40

2 Sadok: Насчёт срока действия сертификатов - по-идее ничего не отвалится т.к. нет CA кот. должен "отвалить" Насчёт срока смены ключей - сам делал по хэндбуку, у Лиса взял авторизацию по сертификатам, так вот в хэндбуке действительно lifetime стоит в обоих секциях, собсно у себя сделал также и в debug-логах всё expire'ится как положено.

Touch, 2008-10-05 в 18:51:52

2 lissyara: Cпасибо за идею шифровать ipencap, благодаря этому можно замечательно мониторить gif-тунели, что если делать по хэндбуку не получается ;) может допишешь в хэндбук ?

Touch, 2008-10-05 в 19:04:02

Ха! А в русской версии как раз шифруется ipencap вот жеж!

lissyara, 2008-10-05 в 19:22:55

Насколько я помню, первая версия делалась именно по русской версии.

Maestro, 2008-10-08 в 19:41:40

Фича следующего характера, настроил на 6.2 ipces с psk - идут потери пакетов... sainfo anonymous { pfs_group 5; !!! lifetime time 60 min; !!! encryption_algorithm 3des ; authentication_algorithm hmac_sha1; compression_algorithm deflate ; } В выделеном фрагменте стоит 2 минуты - думаю в этом дело... Хотя не уверен. А у народа все без потерь?

Maestro, 2008-10-08 в 19:45:41

И еще. Совершенно непонятно зачем в rc.conf пихать cloned_interfaces="gif0" - без этого все замечательно работает

Basil, 2008-12-08 в 15:18:50

Воспользовался некотрыми настройками из данной статьи и вот к чему пришел. Настраивал IPSEC под систему FreeBSD 7.0: Ядро конфигурировал с опциями: options IPSEC device crypto И настроил racoon. После чего начал играться настроиками: - удалин один сертификат с одного сервера - все работает... - удалил все сертефикаты с одного сервера - все равно работает!!! - удалил файл /usr/local/etc/racoon/racoon.conf - ракон не запустился, но все работает! Для чего оно тогда? И что-то не проходят пакеты больше 128 кбит...пока пытаюсь разобраться в проблеме...

Sadok, 2008-12-08 в 17:15:34

Это говорит о том, что туннеля не было и нет :)

Basil, 2008-12-09 в 10:29:46

Как нет? Разве пинги(как с сервера, так из самой сети) и трасроут из одной подсети в другую ничего не означают? Команда запущена с сервера 192.168.0.254 на одну из машин удаленного офиса: # traceroute 192.168.1.154 traceroute to 192.168.1.154 (192.168.1.154), 64 hops max, 40 byte packets 1 192.168.1.254 (192.168.1.254) 18.377 ms 18.736 ms 17.719 ms 2 192.168.1.154 (192.168.1.154) 17.595 ms 18.052 ms 18.948 ms

Sadok, 2008-12-09 в 12:37:31

Базиль, покажите вывод setkey -D, когда Вы думаете, что туннель есть. А то похоже, что просто маршрутизация настроена или вообще NAT.

Basil, 2008-12-24 в 10:04:24

Я в отпуске был, а тут все сново попытался сделать, но не вышло. setkey пустой... буду очень благодарен, если кто из знающих поможет мне, т.к. чувствую, что чего-то очевидного не замечаю ): Моя аська 6544693. Также можете по этой же аське за помощью ко мне обращаться, когда я разберусь (;

Sadok, 2008-12-24 в 10:23:46

Basil, если setkey -D говорит, что No SAD entries, то "не глядя" помочь трудно... Показывайте ifconfig, /etc/rc.conf для начала. Следом файлы конфигов, которые по статье делали.

Basil, 2008-12-24 в 10:38:14

Sadok, я не думаю, что это место для длинных конфигов... если есть желание и время чтобы помочь разобраться, то стукни в асю (6544693).

Sadok, 2008-12-24 в 10:52:35

Не пользуюсь :) Выложи тогда всё в топик по теме

Basil, 2008-12-24 в 12:51:33

Выложил...тогда если у кого есть какие соображения, то лучше туда писать.

Basil, 2008-12-24 в 12:52:01

Выложил...тогда если у кого есть какие соображения, то лучше туда писать.

Sergeyk, 2009-02-12 в 18:24:48

А как быть с ipsec в случае, когда удаленный офис имеет динамический IP-адрес (провайдер статику на ADSL не дает)?

Sadok, 2009-02-12 в 19:21:35

2 Sergeyk ИМХО, никак. В этом случае поднимать VPN (mpd, OpenVPN и т.п.)

mak_v_, 2009-02-13 в 10:49:58

либо курить скрипты с dyndns в связке, либо впн (клиент-сервер), как вариант - согласен с Sadok

Sadok, 2009-02-13 в 11:23:12

2 mak_v_ А dyndns тут не поможет, имхо. В /etc/ipsec.conf указываются ip-адреса, а не FQDN, имхо опять же.

mak_v_, 2009-02-13 в 12:16:30

awk + grep - вытягиваем айпи из динднс, подставляем в конф, рестартуем айписег, не прокатит? (понимаю что "изящно")

Sadok, 2009-02-13 в 13:24:52

ifconfig |grep достаточно :) прокатит, наверное, но мне в голову такое не приходило :)

LiNer, 2009-05-29 в 11:27:19

Небольшое замечание по pf Для того чтоб пахало, у меня в конфиге: ## вместо isakmp можно писать 500 pass in on $ext_if proto udp from $remote_server to \ $ext_if port isakmp keep state ## ещё правило для пакетов установки соединения pass in on $ext_if proto esp from $remote_server to \ $ext_if keep state ну и не забываем разрешать исходящий трафик :)

levantuev, 2009-11-30 в 20:50:19

Собрал ядро на удаленной тачке с поддержкой options IPSEC options IPSEC_ESP options IPSEC_DEBUG Теперь достучаться не могу, никто не подскажет из-за чего может быть? Раньше нормально перезагружалось...

antik, 2010-01-05 в 15:02:42

Аффтар - эпический мудак. С OpenSSL он особо не разбирался. Описание SA он хотел выбросить. Вместо сгенерить CA, сертификаты самоподписывает. Увидел жалобу на отсутствие хардверного генератора ключей - и сразу "реально чё-то стало кривей...". А если бы не увидел? Короче, всё методом "тычка" да "на авось". Ну и. Дружище, если бы вы у меня взялись настраивать security-related сервис, не удосужившись даже поинтересоваться, как он называется - к вечеру трудовая была бы у вас на руках. Ракон, мля... Рыжий человек, что с него взять...

lissyara, 2010-01-05 в 15:52:34

я к хохлам на работу в жисть не пойду. так что сиди дальше, вазелин готовь - за газ расплачиваться =)

;), 2010-01-05 в 16:12:19

Газмяс )))

Wic, 2010-01-05 в 23:19:45

2 Sergeyk врубаешь впн, а по нему кидаешь тунель и криптуешь его

guest, 2010-06-12 в 22:18:01

а как быть если на 1 сервере нужно поднять 3 туннеля? продублировать в rc.conf Код: Выделить всё • Развернуть gif_interfaces="gif0" gif_interfaces="gif1" gif_interfaces="gif2" и т.д. а так же в ipsec.conf 6 строк, по 2 на каждый и racoon.conf прописать к каждому блок "remote"