VYRESENO: chyby v me konfiguraci ipsecu
Zdenek Kaminski
sutr na valasske-laboratore.cz
Čtvrtek Březen 20 12:01:21 CET 2008
Zdravim jeste jednou, tentokrat se strizlivou hlavou.
nefunguje to pouze pokud definuji pomoci setkey i ah. Samozrjeme, ze
funguje anonymous v racoon.conf, mel jsem tam preklep.
Dne 20 Březen 2008, 08:12, Zdenek Kaminski napsal(a):
> RedHati skripty se snazi dohadovat AH i ESP, nicmene protistrana
> podporovala jen ESP a neproslo se do phase2, pokud jsem
> pouzil:
>
> spdadd 192.168.1.0/24 172.17.0.0/16 any -P out ipsec
> esp/tunnel/90.183.41.194-194.228.231.162/require
> ah/tunnel/90.183.41.194-194.228.231.162/require;
>
> spdadd 172.17.0.0/16 192.168.1.0/24 any -P in ipsec
> esp/tunnel/194.228.231.162-90.183.41.194/require
> ah/tunnel/194.228.231.162-90.183.41.194/require;
>
> misto spravneho:
>
> spdadd 192.168.1.0/24 172.17.0.0/16 any -P out ipsec
> esp/tunnel/90.183.41.194-194.228.231.162/unique;
> spdadd 172.17.0.0/16 192.168.1.0/24 any -P in ipsec
> esp/tunnel/194.228.231.162-90.183.41.194/unique;
Za timto si i nadale stojim.
> No a druhy problem byl s hodnotou level, jak je videt,
> bylo treba pouzit 'unique' misto 'require'.
Nastartuje to i s unique, i s require.
> No a posledni vec, musel jsem definovat SA pro dane spojeni jmenovite:
>
> sainfo address 192.168.1.0/24 any address 172.17.0.0/16 any {
> pfs_group 2;
> lifetime time 1 hour ;
> encryption_algorithm 3des ;
> authentication_algorithm hmac_md5;
> compression_algorithm deflate ;
> }
>
> misto obecneho:
>
> sainfo anonymous {
> pfs_group 2;
> lifetime time 1 hour ;
> encryption_algorithm 3des;
> authentication_algorithm hmac_md5 ;
> compression_algorithm deflate ;
> }
>
>
> coz me zarazi, protoze v dokumentaci se jasne pise, ze toto anonymous
> anonymous by melo stacit.
A zarazi me to spravne, asi jsem tam mel nejaky prepklep, kdyz jsem to
rozchazel. Anonymous samozrejme funguje take.
Z.K.
--
Wallachian Laboratories? Freeride in UN*X systems...
Další informace o konferenci Linux