https://www.opennet.ru/openforum/vsluhforumID10/3480.html Доброго времени суток!<br><br>Ситуация такая что по ИПСеку с помощью Ракуна завязывается два ФриБСД.<br>Конфиги идентичны, с такими же конфигами работают другие сервера.<br><br><br>path include "/usr/local/etc/racoon";<br><br>path pre_shared_key "/usr/local/etc/racoon/psk.txt";<br><br>log debug2;<br><br># "padding" defines some padding parameters. You should not touch these.<br>padding<br>{<br>maximum_length 20;# maximum padding length.<br>randomize off;# enable randomize length.<br>strict_check off;# enable strict check.<br>exclusive_tail off;# extract last one octet.<br>}<br><br># if no listen directive is specified, racoon will listen on all<br># available interface addresses.<br>listen<br>{<br>#isakmp ::1 [7000];<br>#isakmp 192.168.1.24 [500];<br>#admin [7002];# administrative port for racoonctl.<br>#strict_address; # requires that all addresses must be bound.<br>isakmp хх.хх.хх.хх[500];<br>}<br><br># Specify various default timers.<br>timer<br>{<br># These value can be changed per remote node.<br>counter 10;# maximum trying count to send.<br>interval 50 https://www.opennet.ru/openforum/vsluhforumID10/3480.html#16 Wed, 08 Jun 2011 07:09:29 GMT &gt;&gt;У меня такая же ошибка, но я хочу соединить по IPSEC CENTOS <br>&gt;&gt;5.1 и FREEBSD 6.3, это вообще возможно?<br>&gt; конечно возможно. Если кому интересно - могу поделиться конфигами и соображениями. У <br>&gt; меня работает замечательно <br><br>подскажите как связать centos 5.5 и dlink di-804hv<br><br>Linux srvbackup.localdomain 2.6.18-194.el5 #1 SMP Fri Apr 2 14:58:14 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux<br><br>ipsec-tools-0.6.5-14.el5_5.5<br><br><br>ifcfg-ipsec10<br><br>SRCGW=192.168.0.221<br>DSTGW=192.168.200.1<br>SRCNET=192.168.0.0/24<br>DSTNET=192.168.200.0/24<br>DST=10.10.10.9<br>TYPE=IPSEC<br>ONBOOT=yes<br>IKE_METHOD=PSK<br>IKE_DHGROUP=2<br>ESP_PROTO=des<br>AH_PROTO=md5<br>AESP_PROO=hmac-md5<br><br><br>d-link di-804hv<br>vpn тунель сделан мастером di-804hv<br><br>VPN Settings - Tunnel 1<br>Item Setting<br>Tunnel Name Msk<br>Aggressive Mode Enable<br>Local Subnet 192.168.200.0<br>Local Netmask 255.255.255.0<br>Remote Subnet 192.168.0.0<br>Remote Netmask 255.255.255.0<br>Remote Gateway 10.10.10.10<br><br><br><br>IKE Proposal index<br><br>1 gr2 des sha1 28800 sec<br>2 https://www.opennet.ru/openforum/vsluhforumID10/3480.html#15 Fri, 06 Nov 2009 10:06:50 GMT &gt;У меня такая же ошибка, но я хочу соединить по IPSEC CENTOS <br>&gt;5.1 и FREEBSD 6.3, это вообще возможно? <br><br>конечно возможно. Если кому интересно - могу поделиться конфигами и соображениями. У меня работает замечательно<br><br> https://www.opennet.ru/openforum/vsluhforumID10/3480.html#14 Mon, 26 May 2008 12:14:49 GMT У меня такая же ошибка, но я хочу соединить по IPSEC CENTOS 5.1 и FREEBSD 6.3, это вообще возможно?<br> https://www.opennet.ru/openforum/vsluhforumID10/3480.html#13 Mon, 18 Feb 2008 02:18:20 GMT &gt;[оверквотинг удален]<br>&gt;WITH_DPD=true <br>&gt;WITHOUT_NATT=true <br>&gt;WITHOUT_NATTF=true <br>&gt;WITH_FRAG=true <br>&gt;WITHOUT_HYBRID=true <br>&gt;WITHOUT_PAM=true <br>&gt;WITHOUT_GSSAPI=true <br>&gt;WITHOUT_SAUNSPEC=true <br>&gt;WITHOUT_RC5=true <br>&gt;WITHOUT_IDEA=true <br><br>Это ж надо!!!!<br>5 часов непрерывного траха с параметрами конфигами и пр. (голова жутко заболела, захотелось плюнуть и поставить openbsd, который до этого стоял) и только потом вышел на эту тему, пересборка с вышенаписанными параметрами все решила.<br> https://www.opennet.ru/openforum/vsluhforumID10/3480.html#12 Fri, 21 Dec 2007 09:29:27 GMT Проблема, видимо, закопана где-то в NAT-traversal, так что вполне достаточно и таких ограничений:<br><br>&gt;WITHOUT_NATT=true <br>&gt;WITHOUT_NATTF=true https://www.opennet.ru/openforum/vsluhforumID10/3480.html#11 Mon, 03 Dec 2007 03:51:44 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;УУУУУУУУУУУУУРРРРРРРРРРРРРРРРРАААААААААААААААААААААААА, люди!!!!!!!!!!!!!!!!!!!!! <br>&gt;<br>&gt;НАШЕЛ в чем КОССЯК!!!!!!!!!!!!!!!!!!!!! <br>&gt;<br>&gt;все легко и просто, ipsec-tools-0.6.6 не рабочий, поставил ipsec-tools-0.6.5 и всё заработало. <br>&gt;Он оказывается просто по умолчанию выдает эту ошибку и не работает. <br>&gt;<br>&gt;<br>&gt;Всех благодарю за внимание, за помощь. <br><br>Если кому интересно: у меня произошел схожий случай но дело оказалось не втом что ipsec-tools-0.6.6 не рабочий, а совершенно вдругом:<br>при сборке пакета надо было поотрубать всё лишнее - и всё заработало.<br>в конечном итоге параметры сборки установил следующие<br> <br>_OPTIONS_READ=ipsec-tools-0.6.7 <br>WITH_DEBUG=true<br>WITHOUT_ADMINPORT=true <br>WITHOUT_STATS=true <br>W https://www.opennet.ru/openforum/vsluhforumID10/3480.html#10 Tue, 30 Oct 2007 18:06:59 GMT &gt;[оверквотинг удален]<br>&gt;&gt;<br>&gt;&gt;Точ-в-точ стакими же конфигами работают многие сервера с сервером хх.хх.хх.хх. <br>&gt;&gt;Но всё равно сегодня ночью попробую phase2 сделать меньше 30 сек., но <br>&gt;&gt;если это на самом деле из-за этого придется перебивать все сервера <br>&gt;&gt;связанные с хх.хх.хх.хх. <br>&gt;&gt;Со стороны сервера хх.хх.хх.хх два прова, сегодня попробую и через другого. <br>&gt;&gt;<br>&gt;&gt;И очень благодарен за советы :) <br>&gt;<br>&gt;Пробывал ночью, нифига не получилось <br><br>УУУУУУУУУУУУУРРРРРРРРРРРРРРРРРАААААААААААААААААААААААА, люди!!!!!!!!!!!!!!!!!!!!!<br><br>НАШЕЛ в чем КОССЯК!!!!!!!!!!!!!!!!!!!!!<br><br>все легко и просто, ipsec-tools-0.6.6 не рабочий, поставил ipsec-tools-0.6.5 и всё заработало. Он оказывается просто по умолчанию выдает эту ошибку и не работает.<br><br>Всех благодарю за внимание, за помощь.<br> https://www.opennet.ru/openforum/vsluhforumID10/3480.html#9 Tue, 30 Oct 2007 10:23:08 GMT &gt;[оверквотинг удален]<br>&gt;говорят что нет. По началу у прова состороны сервера уу.уу.уу.уу были <br>&gt;закрыты пинги, после не долгих переговоров открыли. <br>&gt;<br>&gt;Точ-в-точ стакими же конфигами работают многие сервера с сервером хх.хх.хх.хх. <br>&gt;Но всё равно сегодня ночью попробую phase2 сделать меньше 30 сек., но <br>&gt;если это на самом деле из-за этого придется перебивать все сервера <br>&gt;связанные с хх.хх.хх.хх. <br>&gt;Со стороны сервера хх.хх.хх.хх два прова, сегодня попробую и через другого. <br>&gt;<br>&gt;И очень благодарен за советы :) <br><br>Пробывал ночью, нифига не получилось<br><br> https://www.opennet.ru/openforum/vsluhforumID10/3480.html#8 Mon, 29 Oct 2007 13:32:43 GMT &gt;ИМХО, interval не должен превышать phaseN (у меня interval 20s /дефолт-10/, phase1/2 <br>&gt;60s /дефолт-15и10/. И кстати: phase2 попадает на таймаут 30 сек, на <br>&gt;который указывал Boris Polevoy) <br><br>ipfw открыт и на той и на другой стороне как allow ip from xx.xx.xx.xx to yy.yy.yy.yy <br> конфиги ракуна зеркалированы.<br>Важно это или нет не знаю, но два сервера сидят на разных провах. Спрашивал у провайдера, нет ли ограничения на какие либо протоколы, говорят что нет. По началу у прова состороны сервера уу.уу.уу.уу были закрыты пинги, после не долгих переговоров открыли.<br><br>Точ-в-точ стакими же конфигами работают многие сервера с сервером хх.хх.хх.хх.<br>Но всё равно сегодня ночью попробую phase2 сделать меньше 30 сек., но если это на самом деле из-за этого придется перебивать все сервера связанные с хх.хх.хх.хх.<br>Со стороны сервера хх.хх.хх.хх два прова, сегодня попробую и через другого.<br><br>И очень благодарен за советы :)<br>