da cu ceva optiuni de configurare nu vii ? ai niste ghiduri facute de subsemnatul la nervi pe www.worldbank.ro/IPSEC/ ia cisco-linux.txt, partea de linux ma refer, mai pune 2 parametri (leftnexthop si rightnexthop) cu valorile corespunzatoare si da-i bataie. Ca sa te incurajez, folosesc in productie asa ceva de cateva luni bune peste fibra optica in Bucuresti si pe masini corespunzator planificate si construite scot cam 50Mbit/s trafic decapsulat.
O sa fac odata un site care sa descrie solutia completa, ca sa nu mai existe idioti care sa arunce zeci de mii de para pe gunoaie inutile gen Cisco VPN Concentrator. On Tue, Jul 16, 2002 at 08:57:51AM +0300, lonely wolf wrote: > Am o problema ciudata cu ipsec si nu reusesc sa ii dau de cap. > > Am o conexiunea cam asa: A-B====C-D > B ruleaza debian woody, kernel 2.4.18 compilat de mine, > freeswan-1.98b; C este un esmith 5.5 de la pachet (cu freeswan > 1.97), cu ceva reguli in firewall sa dea drumul la ipsec. > in log (la ambele capete) apare ceva cam asa: > Jul 16 08:09:18 lnxserver Pluto[2575]: "wizapps" #3: sent QI2, > IPsec SA established > Jul 16 08:09:18 lnxserver Pluto[2575]: "wizapps-2" #4: sent QI2, > IPsec SA established > > > problema: dau un ping de la A spre D. > sniffind ipsec0 pe C, vad atit request cit si reply. sniff pe eth > extern al B si C arata astfel: > > 08:26:58.885996 a.b.c.d > x.y.z.w: ESP(spi=0xba62bf4b,seq=0x82) > 08:26:59.959535 x.y.z.w > a.b.c.d: ESP(spi=0xb594383c,seq=0x95) > 08:26:59.959832 a.b.c.d > x.y.z.w: ESP(spi=0xba62bf4b,seq=0x83) > 08:27:01.398664 x.y.z.w > a.b.c.d: ESP(spi=0xb594383c,seq=0x96) > 08:27:01.398994 a.b.c.d > x.y.z.w: ESP(spi=0xba62bf4b,seq=0x84) > 08:27:01.611608 x.y.z.w > a.b.c.d: ESP(spi=0xb594383c,seq=0x97) > > pe ipsec0 al lui B nu vad insa decit requesturile lui A, ca si > cum pachetele nu ar fi decapsulate. pb de firewall pe B nu e, > fiindca si cu fw down, face identic > > are cineva idee ce se intimpla? de ce nu decapsuleaza B pachetele > care vin pe ipsec? > > > --- > Pentru dezabonare, trimiteti mail la > [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. > REGULI, arhive si alte informatii: http://www.lug.ro/mlist/ > > -- Stefan Laudat CCNA & CCAI ------------- I haven't lost my mind; I know exactly where I left it. --- Pentru dezabonare, trimiteti mail la [EMAIL PROTECTED] cu subiectul 'unsubscribe rlug'. REGULI, arhive si alte informatii: http://www.lug.ro/mlist/
