Po par letech klidu po me zase chce zakaznik nastavit IPSec.
Uz to kdysi davno fungovalo na starem stroji, ktery uz neexistuje. Je to
VPN do site Vodafone. Konfigurace je v pdostate stejna, jako byla pred
lety, takze jsem si jen dohledal vlastni dokumentaci a nastavil to
stejne, jako to bylo driv.
Problem je, ze to nefunguje.
Ja si na 99% myslim, ze neni chyba na moji strane, ale ze je problem
nekde na trase. Ovsem nevim, jak to overit / dokazat.
Kdyz si pustim ipsec a racoon na tom stroji a pak zkusim ping na cilovou
IP, tak v tcpdumpu vidim jen odchozi packet a zadnou odpoved
(IP adresy jsou zmenene na AA.BB.AA.BB a MM.NN.MM.NN
# tcpdump -i vmx1 -n -v host MM.NN.MM.NN
tcpdump: listening on vmx1, link-type EN10MB (Ethernet), capture size
65535 bytes
22:45:06.616001 IP (tos 0x0, ttl 64, id 25484, offset 0, flags [none],
proto UDP (17), length 128)
AA.BB.AA.BB.500 > MM.NN.MM.NN.500: isakmp 1.0 msgid 00000000: phase
1 I ident:
(sa: doi=ipsec situation=identity
(p: #1 protoid=isakmp transform=1
(t: #1 id=ike (type=lifetype value=sec)(type=lifeduration
value=1c20)(type=enc value=3des)(type=auth value=preshared)(type=hash
value=sha1)(type=group desc value=modp1024))))
(vid: len=16)
Kdyz uz toho mam zapnuty log debug v racoon.conf, tak se mi do
/var/log/debug.log sype spousta informaci, ale zajimavy z toho je asi
jen tohle
2017-05-30 22:46:33: DEBUG: resend phase1 packet
b7d73730b229d839:0000000000000000
2017-05-30 22:46:34: [MM.NN.MM.NN] ERROR: phase2 negotiation failed due
to time up waiting for phase1. ESP MM.NN.MM.NN[0]->AA.BB.AA.BB[0]
2017-05-30 22:46:34: INFO: delete phase 2 handler.
Jak nejlepe overit, jestli je vubec pruchozi trasa mezi temi IPSec
endpointy? (tedy patrne protokol ESP)
Mirek
--
FreeBSD mailing list ([email protected])
http://www.freebsd.cz/listserv/listinfo/users-l
