Гопода, прошу помощи. Уже мозги закипели. Итак:
есть 2 linux-сервера, между ними шифрованный канал freeswan.
До недавних пор все работало, потом вдруг канал стал работать только в одну сторону, т.е. из локальной сети 1 я пингую лок. сеть 2, а наоборот - нет.
Вчера канал перестал работать вообще.
Начал смотреть пакеты на интерфейсах и обнаружил непонятную вещь. При заргузке сервера автоматом запускается firewall, пинги наружу идут, а при пинге лок. сети 2 на вирт. интерфейсе ipsec0 наблюдаются пакеты с внешним ip.
НАТ осуществляется следующим правилом:
$IPTABLES -t nat -A POSTROUTING -s $LAN_1 -j SNAT --to-source $IPADDR
Вывод iptables -t nat -L
Chain POSTROUTING (policy ACCEPT)
target prot opt source destination
SNAT all -- 192.168.99.0/24 anywhere to: $IPADDR
Если после этого принудительно очистить таблицу nat и подгрузить вручную _тот_ _же_ скрипт фийрволла, то и пинги наружу идут, и на ipsec0 пакеты с нормальным внутренним адресом.
При старте freeswan в логах запись:
jul 2 20:09:41 mail ipsec_setup: ...FreeS/WAN IPsec started
Однако уже через минуту:
ipsec__plutorun: 104 "moscow-istra" #1: STATE_MAIN_I1: initiate
ipsec__plutorun: 106 "moscow-istra" #1: STATE_MAIN_I2: sent MI2, expecting MR2
ipsec__plutorun: 108 "moscow-istra" #1: STATE_MAIN_I3: sent MI3, expecting MR3
ipsec__plutorun: 010 "moscow-istra" #1: STATE_MAIN_I3: retransmission; will wait 20s for response
ipsec__plutorun: 003 "moscow-istra" #1: discarding duplicate packet; already STATE_MAIN_I3
ipsec__plutorun: 010 "moscow-istra" #1: STATE_MAIN_I3: retransmission; will wait 40s for response
ipsec__plutorun: 003 "moscow-istra" #1: discarding duplicate packet; already STATE_MAIN_I3
ipsec__plutorun: 031 "moscow-istra" #1: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
ipsec__plutorun: 000 "moscow-istra" #1: starting keying attempt 2 of an unlimited number, but releasing whack
ipsec__plutorun: ...could not start conn "moscow-istra"
Видно, что не может обменяться ключами.
Переустановил freeswan, взял другое ядро, играл с поддержкой iptables в ядре - один хрен.
Принимаются ЛЮБЫЕ предложения.
shaman
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Похожие темы
- Форум IPsec, нет доступа в локальную сеть моей стороны. (2015)
- Форум L2TP/IPSEC VPN: Linux client -> CheckPoint Safe@Office 500W (2011)
- Форум не могу настроить openvpn, клиент не видит локальной сети за vpn сервером (2012)
- Форум Не стартует скрипт из под crontab. Logs inside :) (2015)
- Форум FreeS/WAN (2002)
- Форум FreeS/WAN (2002)
- Форум Asterisk и iptables (2013)
- Форум не удается настроить IPSec на Debian/OpenSWAN (2014)
- Форум FreeS\WAN 1.8 (2000)
- Форум ipsec (openswan) + l2tp (xl2tpd) + win клиент = проблема (2012)