БЛЯТЬБЛЯТЬБЛЯТЬебанаяиндустрия
И того на данный момент у меня есть — связка racoon+xl2tpd в которую прекрасно ходит андроид 4.0.x (при указании ид ipsec) и w7 (при прописывании на сервере ip как id для psk
есть связка openswan+l2tpd в которую прекрасно ходит ифон и андроид 2. 3.. остальные отваливаются по таймауту
# tcpdump -i vlan0 host A.A.A.A
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan0, link-type EN10MB (Ethernet), capture size 96 bytes
16:37:18.339070 IP A.A.A.A > B.B.B.B: ICMP echo request, id 31573, seq 0, length 64
16:37:18.339132 IP B.B.B.B > A.A.A.A: ICMP echo reply, id 31573, seq 0, length 64
16:37:19.366409 IP A.A.A.A > B.B.B.B: ICMP echo request, id 31573, seq 1, length 64
16:37:19.366442 IP B.B.B.B > A.A.A.A: ICMP echo reply, id 31573, seq 1, length 64
При этом на той стороне (OpenBSD)
sudo ipsecctl -s a |grep 77
flow esp in proto tcp from B.B.B.B to A.A.A.A peer B.B.B.B srcid A.A.A.A/32 dstid B.B.B.B/32 type use
flow esp out proto tcp from A.A.A.A to B.B.B.B peer B.B.B.B srcid A.A.A.A/32 dstid B.B.B.B/32 type require
esp transport from A.A.A.A to B.B.B.B spi 0x019a5700 auth hmac-sha1 enc aes
esp transport from A.A.A.A to B.B.B.B spi 0x02e7d6a2 auth hmac-sha1 enc aes
esp transport from B.B.B.B to A.A.A.A spi 0xb7ae7306 auth hmac-sha1 enc aes
esp transport from B.B.B.B to A.A.A.A spi 0xf3443ee1 auth hmac-sha1 enc aes
у меня есть некая A.B.C.0/24 которая резервным каналом имеет ipsec ike esp до A.D.F.E (в основном канале маршрутизация приходит по OSPF)
Хочется как-то сделать так что бы ipsec мог быть маршрутом по умолчанию.
esp tunnel from A.A.A.A to B.B.B.B spi 0x4643b19b auth hmac-md5 enc 3des-cbc
paste.org.ru При этом оно точно 2 раза сцеплялось!
При этом 1 раз оно даже как-то сцепилось и работало. Но один раз и как я углядеть неосилил
Encap:
Source Port Destination Port Proto SA(Address/Proto/Type/Direction)
10.200.135.77/32 0 10.200.135.76/32 0 0 10.200.135.77/esp/use/in
10.200.135.76/32 0 10.200.135.77/32 0 0 10.200.135.77/esp/require/out
10.2/16 0 10.1/16 0 0 10.200.135.77/esp/use/in
10.1/16 0 10.2/16 0 0 10.200.135.77/esp/require/out
10.2/16 0 10.200.135.76/32 0 0 10.200.135.77/esp/use/in
10.200.135.76/32 0 10.2/16 0 0 10.200.135.77/esp/require/out
seeker@ipsec1$ ping 10.2.0.1
PING 10.2.0.1 (10.2.0.1): 56 data bytes
--- 10.2.0.1 ping statistics ---
61 packets transmitted, 0 packets received, 100.0% packet loss
эээ???
symantec.com в итоге отлавливаю чудесное
205242.907510 Default attribute_unacceptable: ENCRYPTION_ALGORITHM: got AES_CBC, expected 3DES_CBC
205242.909728 Default message_negotiate_sa: no compatible proposal found
205242.910250 Default dropped message from 10.200.135.76 port 500 due to notification type NO_PROPOSAL_CHOSEN
Это типа у опенка разные дефолты на инициацию ipsec и прием???
балдею. 2 аааабсолютно одинаковых опенбсд. пытаюсь поднять туннель по 205242.907510 Default attribute_unacceptable: ENCRYPTION_ALGORITHM: got AES_CBC, expected 3DES_CBC
205242.909728 Default message_negotiate_sa: no compatible proposal found
205242.910250 Default dropped message from 10.200.135.76 port 500 due to notification type NO_PROPOSAL_CHOSEN
Это типа у опенка разные дефолты на инициацию ipsec и прием???