IPSEC

[Zdenek Prchal]

> smazim se rozchodit ipsec, ale mam asi nekde botu. spojeni se mi 
> vytvori,

Tj. mate v logu IPsec SA establised?

> paket (ping) z jedne site (centrala) na pobocku projde, ale 

Odkud kam pingate? Mate tunel subnet-subnet a delate ping ze stanice
_uvnitr_ jednoho subnetu na stanici _uvnitr_ druheho subnetu (tj.
nikoliv z routeru nebo na router)? Pokud byste z nejakeho duvodu
potreboval, aby byla mozna komunikace z libovolneho subnetu na
remote router nebo mezi obema routeru musite si ty dalsi tri tunely
(oba subnet-remote router a router-router) do ipsec dokonfigurovat ...

> nedojde. Tj. dam-li si (na routeru pobocky) tcpdump na 
> zarizeni ipsec0, 
> pakety vidim, ale na zarizeni eth1 (do lokalni site), tam uz nejsou.
> - forwardovani mam zapnute (cat  /proc/sys/net/ipv4/ip_forward je 1),

a mate vypnuty rp_filter?

> - iptables je docasne vypnuty (policy je accept),
> - routovaci tabulka se zda byt dobre,

na obou stranach router (i stanice) vi, kudy posilat pakety do remote
subnetu a _taky_ kam odpovedi?

	Zdenek Prchal