несколько замечаний к хэндбуку freebsd относительно ipsec
- в описании забыли написать о том, что ipsec тоже необходимо стартовать - то есть отдельно стартуем racoon и отдельно ipsec - последний из /etc/rc.d/ipsec
- другой момент - при настройках из хэндбука ipsec будет работать в туннельном режиме - из-за чего будет наблюдаться забавная ситуация - интерфейс будет gif создан, пакеты между ip адресами на нем ходить будут, но при попытке посмотреть tcpdump-ом, что происходит на интерфейсе - ничего видно не будет. Связано это с туннельным режимом работы - для перевода в транспортный заменяем слово tunnel на transport в файле setkey.conf и заодно упрощается сам файл, превращая в
flush;
spdflush;
spdadd 10.7.0.0/24 10.7.0.0/24 any -P out ipsec esp/transport/use;
spdadd 10.7.0.0/24 10.7.0.0/24 any -P in ipsec esp/transport/use;
для автоматического создания gif интерфейса в /etc/rc.conf добавляем
ifconfig_gif0="int 10.7.0.10 10.7.0.1 tunnel "
примечание - после обновления каких-то библиотек получил ошибку при перезапуске ipsec
libipsec: syntax error while parsing "use"
line 4: Invalid argument at [ out ipsec esp/transport/use]
так что для правильной работы секция файла setkey.conf должен выглядеть чуть по другому
ipsec esp/transport//use;
при этом сам ipsec-tools не зависят от других пакеджей, а оба сервера в плане ядра и мира были одинаковые - что же изменилось - так и не понял.
- в описании забыли написать о том, что ipsec тоже необходимо стартовать - то есть отдельно стартуем racoon и отдельно ipsec - последний из /etc/rc.d/ipsec
- другой момент - при настройках из хэндбука ipsec будет работать в туннельном режиме - из-за чего будет наблюдаться забавная ситуация - интерфейс будет gif создан, пакеты между ip адресами на нем ходить будут, но при попытке посмотреть tcpdump-ом, что происходит на интерфейсе - ничего видно не будет. Связано это с туннельным режимом работы - для перевода в транспортный заменяем слово tunnel на transport в файле setkey.conf и заодно упрощается сам файл, превращая в
flush;
spdflush;
spdadd 10.7.0.0/24 10.7.0.0/24 any -P out ipsec esp/transport/use;
spdadd 10.7.0.0/24 10.7.0.0/24 any -P in ipsec esp/transport/use;
для автоматического создания gif интерфейса в /etc/rc.conf добавляем
ifconfig_gif0="int 10.7.0.10 10.7.0.1 tunnel
примечание - после обновления каких-то библиотек получил ошибку при перезапуске ipsec
libipsec: syntax error while parsing "use"
line 4: Invalid argument at [ out ipsec esp/transport/use]
так что для правильной работы секция файла setkey.conf должен выглядеть чуть по другому
ipsec esp/transport//use;
при этом сам ipsec-tools не зависят от других пакеджей, а оба сервера в плане ядра и мира были одинаковые - что же изменилось - так и не понял.
Комментариев нет:
Отправить комментарий