On Wed, 31 Oct 2018 21:26:25 +0700 Eugene Grosbein <[email protected]> wrote:
> 31.10.2018 20:57, Nick Kostirya пишет: > > > Привет. > > Настроил ipsec тунель между белой IP (сервер, freebsd) и серой (клиент, > > freebsd). > > Использовал racoon и Hybrid RSA. > > Есть пару вопросов. > > > > 1. > > Это нормально, что не пришлось включать nat_traversal в конфиге racoon? > > Сейчас клиент видит сервер (проходят ping и http запросы), а сервер не > > видит клиента. > > Может что-то не настроил? Или так и должно быть? > > Нет, это ненормально. Теоретически без NAT-T такой туннель можно завести, > практически для этого нужно заморачиваться с пробросом ESP-пакетов в NAT. > Лучше включить NAT-T, оно для того и придумано, чтобы упростить настройки. Дело в том, что когда он включен (nat_traversal force; в обоих конфигах), то трафик вообще по туннелю не идет. Или кроме конфигов нужно что-то еще включать дополнительно. > > > 2. > > Пришлось отключить проверку сертификата из-за ошибки > > ERROR: failed to get subjectAltName > > DEBUG: Discarding CERT: does not match ID. > > Никто не знает это особенность racoon или для других тоже нужно IP в SAN? > > Если сертификат не проверяется, зачем он вообще нужен? > Используй длинный PSK со спецсимволами. Чтобы не патчить racoon для звездочки в pre_shared_key файле. А с сертификатом не нужно указывать IP клиента. > > > 3. > > Android туннель поднимает, но при этом у него интернет пропадает вообще. > > Не указывал, что нужно весть трафик заворачивать в туннель. > > Никто не знает с чем это связано? Куда смотреть. > > Похоже на проблемы с DNS, смотреть в первую очередь в эту сторону. > Какой тип туннеля для андроида - L2TP/IPSEC или IKEv2? А что у android IKEv2 ? Я думал, что IKEv1, когда без L2TP. Безе L2TP пытаюсь. Также пробовал в дополнительных настройках VPN указывать 8.8.8.8. Ой, а похоже, что поскольку Android подключен через Wifi, то и к местном DNS трафик заворачитаеться в тунель, а он не работает пока. Наверно, из-за сертификата и из-за отсутствия NAT-T. _______________________________________________ freebsd mailing list [email protected] http://mailman.uafug.org.ua/mailman/listinfo/freebsd
