racoon - problem z zestawieniem tunelu

Pon, 9 Kwi 2007, 21:29:05 CEST

R w dzio napisał(a):

> I oto chodziło :) dzięki tunele sie zestawiają ale .....
> Nie mogę ping-ować  kompów z innej podsieci :( tak jakby nie wiedział co 
> robić z pakietami czy w iptables też muszę coś poustawiać ?  racoon  ma 
> przecież w konfiguracji tuneli odpowiednie dane.
> setkey.conf mam :
>
> #!/usr/sbin/setkey -f
> flush;
> spdflush;
>
> spdadd 192.168.1.0/24 192.168.0.0/24 any -P out ipsec
>     esp/tunnel/85.221.*.*-83.17.*.*/require;
>
> spdadd 192.168.0.0/24 192.168.1.0/24 any -P in ipsec
>     esp/tunnel/83.17.*.*-85.221.*.*/require;
>
> spdadd 192.168.0.0/24 192.168.1.0/24 any -P fwd ipsec
>     esp/tunnel/83.17.*.*-85.221.*.*/require;
>    
>
>
Pewnie nie masz ustawionego routingu do podsieci za routerami.
Sprawdź/Spróbuj na routerze 85.221.*.*:
# route add -net 192.168.0.0/24 gw 85.221.*.*
a na routerze 83.17.*.*
# route add -net 192.168.1.0/24 gw 83.17.*.*

Druga możliwość (jeżeli routing jest OK) to fakt, że maskaradujesz 
pakiety przeznaczone do podsieci na drugim końcu tunelu.
Sprawdź czy masz, ewentualnie zmodyfikuj w firewall'u:

Dla routera 85.221.*.*
iptables -t nat -A POSTROUTING -o ethX -s 192.168.1.0/24 -d \! 
192.168.0.0/24 -j MASQUERADE

^^^^^^^^^^^^^^^^^^^^
Analogicznie dla drugiej strony tunelu tylko zamień ze sobą "-s" z "-d"

W razie wątpliwości polecam:

http://www.linuxhomenetworking.com/wiki/index.php/Quick_HOWTO_:_Ch35_:_Configuring_Linux_VPNs#Check_Syslog_Error_Messages

Pozdrawiam,

Czesiek  