31.10.2018 22:01, Nick Kostirya пишет: >>> Привет. >>> Настроил ipsec тунель между белой IP (сервер, freebsd) и серой (клиент, >>> freebsd). >>> Использовал racoon и Hybrid RSA. >>> Есть пару вопросов. >>> >>> 1. >>> Это нормально, что не пришлось включать nat_traversal в конфиге racoon? >>> Сейчас клиент видит сервер (проходят ping и http запросы), а сервер не >>> видит клиента. >>> Может что-то не настроил? Или так и должно быть? >> >> Нет, это ненормально. Теоретически без NAT-T такой туннель можно завести, >> практически для этого нужно заморачиваться с пробросом ESP-пакетов в NAT. >> Лучше включить NAT-T, оно для того и придумано, чтобы упростить настройки. > > Дело в том, что когда он включен (nat_traversal force; в обоих конфигах), то > трафик вообще по туннелю не идет.
Ну так tcpdump в руки и вперёд. Для дампа зашифрованного трафика у нас есть device enc, не забыть только сделать предварительно: sysctl net.enc.in.ipsec_filter_mask=0 sysctl net.enc.out.ipsec_filter_mask=0 ifconfig enc0 up И tcpdump -ni enc0 запускать без -p. >>> 2. >>> Пришлось отключить проверку сертификата из-за ошибки >>> ERROR: failed to get subjectAltName >>> DEBUG: Discarding CERT: does not match ID. >>> Никто не знает это особенность racoon или для других тоже нужно IP в SAN? >> >> Если сертификат не проверяется, зачем он вообще нужен? >> Используй длинный PSK со спецсимволами. > Чтобы не патчить racoon для звездочки в pre_shared_key файле. Начиная с ipsec-tools-0.8.2_6 это дефолт (включено по умолчанию), даже порт не надо пересобирать, можно просто пакет ставить. _______________________________________________ freebsd mailing list [email protected] http://mailman.uafug.org.ua/mailman/listinfo/freebsd
