31.10.2018 20:57, Nick Kostirya пишет: > Привет. > Настроил ipsec тунель между белой IP (сервер, freebsd) и серой (клиент, > freebsd). > Использовал racoon и Hybrid RSA. > Есть пару вопросов. > > 1. > Это нормально, что не пришлось включать nat_traversal в конфиге racoon? > Сейчас клиент видит сервер (проходят ping и http запросы), а сервер не видит > клиента. > Может что-то не настроил? Или так и должно быть?
Нет, это ненормально. Теоретически без NAT-T такой туннель можно завести, практически для этого нужно заморачиваться с пробросом ESP-пакетов в NAT. Лучше включить NAT-T, оно для того и придумано, чтобы упростить настройки. > 2. > Пришлось отключить проверку сертификата из-за ошибки > ERROR: failed to get subjectAltName > DEBUG: Discarding CERT: does not match ID. > Никто не знает это особенность racoon или для других тоже нужно IP в SAN? Если сертификат не проверяется, зачем он вообще нужен? Используй длинный PSK со спецсимволами. > 3. > Android туннель поднимает, но при этом у него интернет пропадает вообще. > Не указывал, что нужно весть трафик заворачивать в туннель. > Никто не знает с чем это связано? Куда смотреть. Похоже на проблемы с DNS, смотреть в первую очередь в эту сторону. Какой тип туннеля для андроида - L2TP/IPSEC или IKEv2? _______________________________________________ freebsd mailing list [email protected] http://mailman.uafug.org.ua/mailman/listinfo/freebsd
