chyby v me konfiguraci ipsecu

[Michal Dobes]

Zdenek Kaminski napsal(a):
> Cili vzdy se dostanu uspesne pres phase 1 a pak chcipnu :-(

Ano, ten řádek jen odstranil ten problém, že vaše strana nevěděla,
jak se má přistupovat k identitě protistrany a tak zkusila IPčko,
což prošlo.
Ten "WARNING: No ID match." by se objevit neměl, ale není to
fatální chyba. Asi protistrana má nastavené nějaké local id, které
cpe místo IPčka.

Že to selže ve fázi dvě je už další problém. Nejčastější možné příčiny
jsou asi dvě: ustanovujete jiný druh tunelu, než chce protistrana nebo
jen dáváte na jiné IP segmenty, než chce protistrana a nepotkají
se vám SPD záznamy.
Pokud si vzpomínám, tak v RHEL4, pokud se konfiguroval IPsec tunel
pomocí těch jejich skriptů a klikátka, tak to vždy dělalo ESP tunel
s AH, což celá řada zařízení neočekává a pak to selže.
Zda je změna v RHEL5 nevím. Takže si ještě ujasnit, zda chcete
čistý ESP tunel (šifrovaný tunel), ESP s vnořeným AH nebo AH tunel
s vnořeným ESP (šifrovaný tunel s podepisováním).
Pak možná nezbude, než ty SPD záznamy udělat ručně přes setkey
(zatím jsem to tak dělal vždy).

M.