IPsec a routovani

[linux na edoras.cz]

Snazim se rozebehnout tunel mezi dvemi sitemi, zalozeny na IPsec. 
Postupoval jsem podle tohoto navodu: 
http://www.ipsec-howto.org/x299.html . Jediny rozdil je v tom, ze 
routery, ktere se snazim propojit, jsou na internetu na zcela odlisnych 
subnetech:

(192.168.111.0/24) - 212.65.25.1 <----------> 193.179.44.25 - 
(192.168.1.0/24)

A dalsi rozdil je v tom, ze jsem pouzil distribucni jadro z fedora core 
4 a pouze dohral moduly (seznam viz nize)

Jde mi o to, aby se pocitace ze site 192.168.111.0/24 dostali do site 
192.168.1.0/24 a opacne.
Kofiguraky prikladam nize. Pote, co jsem oba routery nastavil podle 
navodu, ocekaval jsem, ze vznikne nejake zarizeni, nebo jako ipsec0, 
kteremu priradim IPcka a nastavim je do routovaci tabulky. nic takoveho 
se ale nestalo.
Pingy z routeru z jedne strany a ipcko v druhe siti nejdou do tohoto 
tunelu (pochopitelne, kdyz nemaji routu) a padaji na default gw.
Vyse uvedeny manual, podle ktereho jsem postupoval, dodava: "If you 
tunnel is not working, please check your routing. Your hosts need to 
know that they should send the packets for the opposite network to you 
vpn gateway.". to je sice hezke, nicmene nechapu jak mam routeru 
vysvetlit, kam ma posilat pakety pro druhou sit, kdyz mi zadny 
interface, kam bych mohl pakety routovat, nevznikl.
Poradte prosim, co delam spatne.

diky, Jirka M.


Jadro: 2.6.12-1.1398_FC4

dohrane moduly:
modprobe af_key
modprobe ipt_ah
modprobe ah4
modprobe ah6
modprobe ip6t_ah
modprobe libipt_ah
modprobe ipt_esp
modprobe esp4
modprobe ip6t_esp
modprobe esp6
modprobe libipt_esp
modprobe xfrm4_tunnel
modprobe xfrm6_tunnel
modprobe crypto_null
modprobe md5
modprobe sha512
modprobe sha256
modprobe des
modprobe aes-i586

konfigurak routeru 212.65.25.1: ------------------------------

#!/sbin/setkey -f

# Flush the SAD and SPD
flush;
spdflush;

# ESP SAs doing encryption using 192 bit long keys (168 + 24 parity)
# and authentication using 128 bit long keys
add 212.65.25.1 193.179.44.25 esp 0x201 -m tunnel -E 3des-cbc
0x<sifra>
-A hmac-md5 0x<sifra>;

add 193.179.44.25 212.65.25.1 esp 0x301 -m tunnel -E 3des-cbc
0x<sifra>
-A hmac-md5 0x<sifra>;

# Security policies
spdadd 192.168.111.0/24 192.168.1.0/24 any -P out ipsec
           esp/tunnel/212.65.25.1-193.179.44.25/require;

spdadd 192.168.1.0/24 192.168.111.0/24 any -P in ipsec
           esp/tunnel/193.179.44.25-212.65.25.1/require;

spdadd 192.168.1.0/24 192.168.111.0/24 any -P fwd ipsec
           esp/tunnel/193.179.44.25-212.65.25.1/require;

---------------------------------------------------------------

konfigurak 193.179.44.25: ------------------------------------
#!/sbin/setkey -f

# Flush the SAD and SPD
flush;
spdflush;

# ESP SAs doing encryption using 192 bit long keys (168 + 24 parity)
# and authentication using 128 bit long keys
add 212.65.25.1 193.179.44.25 esp 0x201 -m tunnel -E 3des-cbc
0x<sifra>
-A hmac-md5 0x<sifra>;

add 193.179.44.25 212.65.25.1 esp 0x301 -m tunnel -E 3des-cbc
0x<sifra>
-A hmac-md5 0x<sifra>;

# Security policies
spdadd 192.168.1.0/24 192.168.111.0/24 any -P out ipsec
           esp/tunnel/193.179.44.25-212.65.25.1/require;

spdadd 192.168.111.0/24 192.168.1.0/24 any -P in ipsec
           esp/tunnel/212.65.25.1-193.179.44.25/require;

spdadd 192.168.111.0/24 192.168.1.0/24 any -P fwd ipsec
           esp/tunnel/212.65.25.1-193.179.44.25/require;
---------------------------------------------------------------------