Zkusil bych to "nablbaka", nc -vn -u <ip> <port> (pokud si dobre pamatuju tak to bezi via udp). zkusil bych tam nasypat neco nesmyslnyho a uvidis jetli te to kopne, jestli ne, hadam ze nemas pruchozi cestu. Ale pokud nevidis isakmp k sobe, tak na 90% to tam bud neposloucha, nebo te neco filtruje... Vilem
On 05/31/2017 01:55 PM, Miroslav Lachman wrote: > Po par letech klidu po me zase chce zakaznik nastavit IPSec. > Uz to kdysi davno fungovalo na starem stroji, ktery uz neexistuje. Je to > VPN do site Vodafone. Konfigurace je v pdostate stejna, jako byla pred > lety, takze jsem si jen dohledal vlastni dokumentaci a nastavil to > stejne, jako to bylo driv. > > Problem je, ze to nefunguje. > > Ja si na 99% myslim, ze neni chyba na moji strane, ale ze je problem > nekde na trase. Ovsem nevim, jak to overit / dokazat. > > Kdyz si pustim ipsec a racoon na tom stroji a pak zkusim ping na cilovou > IP, tak v tcpdumpu vidim jen odchozi packet a zadnou odpoved > > (IP adresy jsou zmenene na AA.BB.AA.BB a MM.NN.MM.NN > > # tcpdump -i vmx1 -n -v host MM.NN.MM.NN > tcpdump: listening on vmx1, link-type EN10MB (Ethernet), capture size > 65535 bytes > 22:45:06.616001 IP (tos 0x0, ttl 64, id 25484, offset 0, flags [none], > proto UDP (17), length 128) > AA.BB.AA.BB.500 > MM.NN.MM.NN.500: isakmp 1.0 msgid 00000000: phase > 1 I ident: > (sa: doi=ipsec situation=identity > (p: #1 protoid=isakmp transform=1 > (t: #1 id=ike (type=lifetype value=sec)(type=lifeduration > value=1c20)(type=enc value=3des)(type=auth value=preshared)(type=hash > value=sha1)(type=group desc value=modp1024)))) > (vid: len=16) > > > > Kdyz uz toho mam zapnuty log debug v racoon.conf, tak se mi do > /var/log/debug.log sype spousta informaci, ale zajimavy z toho je asi > jen tohle > > 2017-05-30 22:46:33: DEBUG: resend phase1 packet > b7d73730b229d839:0000000000000000 > 2017-05-30 22:46:34: [MM.NN.MM.NN] ERROR: phase2 negotiation failed due > to time up waiting for phase1. ESP MM.NN.MM.NN[0]->AA.BB.AA.BB[0] > 2017-05-30 22:46:34: INFO: delete phase 2 handler. > > > Jak nejlepe overit, jestli je vubec pruchozi trasa mezi temi IPSec > endpointy? (tedy patrne protokol ESP) > > Mirek -- S pozdravem Vilem Kebrt email: [email protected] -- FreeBSD mailing list ([email protected]) http://www.freebsd.cz/listserv/listinfo/users-l
