LINUX.ORG.RU

Подскажите, куда копнуть. IPSEC, Ошибка ping: sendto: File exsist

 ,


0

1

Ситуация.
IPSEC туннель между двумя роутерами с белыми ip

  1. Прошивка FreshTomato + Strongswan
  2. Mikrotik(responder) Туннель поднимается, SA устанавливаются, политика ipsec применяется, но трафик не ходит(((
    При попытке пингануть хост в сети за mikrotik или внутренний интерфейс mikrotik, ошибка:
ping: sendto: File exists

Но, если подгрузить на роутере с Strongswan модуль tun и плагин для Strongswan kernel-libipsec, т. е. перевести ipsec в userspace, все начинает прекрасно работать…
Гугол по данной проблеме - молчит.

Возможно, поможет посмотреть, меняется ли статистика in/out траффика, при проверках (может, банально, в туннель не залетают из-за неточной маршрутизации).

И пошаркать бы удалённый интерфейс во время пинга+телнета.

NDfan ()
Последнее исправление: NDfan (всего исправлений: 1)
Ответ на: комментарий от NDfan

Почти разобрался) Подгрузил модуль ядра. Эта ошибка ушла. Но, трафик, все равно не ходит.
Судя по доке strongswan, ему еще требуется модуль ip_tunnel.ko Которого нет. Осталось понять, он вкомпилирован в ядро или нет) В makefile прошивки ipsec включен, но, что под этим подразумевается… Вопрос(
С машршрутизацией все нормально. При подгрузке юзерспейс плагина strongswan, трафик начинает бегать).

AndrK189100 ()
Последнее исправление: AndrK189100 (всего исправлений: 1)
Ответ на: комментарий от AndrK189100

Я не работал с этим решением, поэтому чисто с дивана посматриваю )) Не, ну как-то странно: решение же тиражируемым должно быть, чтобы можно было одинаково ставиться, баг-репорты обсуждать. Наверно, такое из коробки должно идти, или отлаженным пакетом.

А вот это не то? Вроде пишут, что давно всё пучком:

https://repo.or.cz/w/tomato.git/commit/4da9a2708d788009ad392122f216b6a86ad7d489

https://tomato.groov.pl/?page_id=78

NDfan ()
Ответ на: комментарий от NDfan

Пересобрал прошивку с зашитыми в ядро модулями. Которые указаны в мануале Strongswan Оно и заработало. Чего ему не хватало - не понятно…
У меня не Tomato, которая давно мертва, а форк - FreshTomato.
С документацией и сообществом тяжко. Роутер старенький Asus RT-AC66U. Хотел поменять, но, посмотрел цены на, что-то приличное, что позволяет нормально рулить(одних ipsec каналов 4 штуки у меня до рабочих сетей, плюс pptp плюс ovpn и по мелочи всякого). Стало грустно. Сдохнет асус. Возьму микрот без wireless и хорошую точку доступа…

AndrK189100 ()