https://opennet.ru/openforum/vsluhforumID10/4822.html Помогите поднять Racoon уже неделю с ним капаюсь... 8(<br>прочитал много доков и просмотрел много чужих примеров<br><br>есть две сети которые соединеные туннелем<br> сеть А сеть В<br>192.168.35.0/24 eth0 192.168.36.0/24 eth0<br>(ПК А1..А254) (ПК В1..В254)<br> &#124; &#124;<br>192.168.35.1 eth0 (ПК А0) 192.168.36.1 eth0 (ПК В0)<br>192.168.0.3 eth1 (ПК А0) 192.168.0.2 eth1 (ПК В0)<br> &#124;____________________________&#124;<br>поднят ipip0 туннель между машиной А0 и В0 192.168.0.3 &lt;=&gt; 192.168.0.2<br>ipip0 Link encap:IPIP Tunnel HWaddr <br> inet addr:192.168.40.3 P-t-P:192.168.40.2 Mask:255.255.255.0<br><br>успешно проходят пинги от 192.168.36.2 к 192.168.35.2 и обратно<br><br>требуется организовать vpn теннуль между 192.168.36.0/24 и 192.168.35.0/24<br><br>настройка Racoon<br>на машин https://opennet.ru/openforum/vsluhforumID10/4822.html#3 Wed, 15 Feb 2012 11:12:59 GMT спасибо всем за помощь <br>все дело было в <br>cat /proc/sys/net/ipv4/ip_forward<br><br> https://opennet.ru/openforum/vsluhforumID10/4822.html#2 Mon, 04 Apr 2011 08:10:43 GMT &gt; Помогите поднять Racoon уже неделю с ним капаюсь... 8( <br>&gt; прочитал много доков и просмотрел много чужих примеров <br>&gt; есть две сети которые соединеные туннелем <br>&gt; 192.168.0.3 &lt;=&gt; 192.168.0.2 <br><br>В настройках ракуна должны фигурировать именно эти адреса<br> <br>&gt; содержимое /etc/racoon/setkey.conf <br>&gt; flush; <br>&gt; spdflush; <br>&gt; spdadd 192.168.35.0/24 192.168.36.0/24 any -P out ipsec esp/tunnel 192.68.40.3-192.168.40.2/require; <br>&gt; spdadd 192.168.36.0/24 192.168.35.0/24 any -P in ipsec esp/tunnel/192.68.40.2-192.168.40.3/require; <br><br>Правильно писать так: <br>spdadd 192.168.35.0/24 192.168.36.0/24 any -P out ipsec esp/tunnel/192.68.0.3-192.168.0.2/require; <br>spdadd 192.168.36.0/24 192.168.35.0/24 any -P in ipsec esp/tunnel/192.68.0.2-192.168.0.3/require; <br><br><br><br>Да, и в этом случае ip-ip-туннель лишняя сущность (то есть не нужен).Если же <br>есть реальная необходимость иметь внутри туннелей ip-адреса (например для ospf, <br>как у меня), то нужно использовать транспортный режим ipsec, примерно так (у меня <br>freebsd и g https://opennet.ru/openforum/vsluhforumID10/4822.html#1 Sun, 03 Apr 2011 19:43:11 GMT &gt;[оверквотинг удален]<br>&gt; DEBUG: ignore because do not listen on source address : 192.68.40.3.<br>&gt; DEBUG: pk_recv: retry[0] recv() <br>&gt; DEBUG: get pfkey ACQUIRE message <br>&gt; DEBUG: ignore because do not listen on source address : 192.68.40.3.<br>&gt; DEBUG: pk_recv: retry[0] recv() <br>&gt; DEBUG: get pfkey REGISTER message <br>&gt; INFO: unsupported PF_KEY message REGISTER <br>&gt; DEBUG: pk_recv: retry[0] recv() <br>&gt; DEBUG: get pfkey FLUSH message <br>&gt; спасибо за помошь <br><br>выхлоп setkey -DP в студию<br>а вообще похоже что в netfilter'е в FORWARD'е правил нет или форвардинг отключён кроме всего прочего использование дополнительного ipip туннеля весьма сомнительно<br>