Проблема, аналогичная уже как-то обсуждавшейся gre-tunnel - ошибки на интерфейсе
Есть GRE L2 (gretap) туннель между дата-центрами, сам по себе работающий без нареканий. Нужно добавить шифрование туннелируемого траффика, для чего в Debian были установлены ipsec-tools и racoon. В /etc/ipsec-tools.conf прописано:
spdadd 1.1.1.1 2.2.2.2 gre -P out ipsec
esp/tunnel/1.1.1.1[4500]-2.2.2.2[4500]/require;
spdadd 2.2.2.2 1.1.1.1 gre -P in ipsec
esp/tunnel/2.2.2.2[4500]-1.1.1.1[4500]/require;В /etc/racoon/racoon.conf:
listen {
isakmp 1.1.1.1 [500];
isakmp_natt 1.1.1.1 [4500];
strict_address;
}
remote anonymous {
exchange_mode main;
generate_policy on;
dpd_delay 20;
proposal {
encryption_algorithm aes;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group modp1024;
}
}
sainfo anonymous
{
encryption_algorithm aes;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
pfs_group modp1024;
}После включения IPsec туннель на первый взгляд работает, но начинаются проблемы с пакетами разного размера (нормально проходят только совсем небольшие), и на gretap интерфейсах с обоих сторон массово сыпятся TX errors.
gretap0 Link encap:Ethernet HWaddr 11:22:33:44:55:66
UP BROADCAST RUNNING MULTICAST MTU:1462 Metric:1
RX packets:43300 errors:0 dropped:0 overruns:0 frame:0
TX packets:39415 errors:10148 dropped:0 overruns:0 carrier:0Прежде с IPsec дел не имел, настройки сделал по одной из существовавших конфигураций.
