Re: [Lug-bg] IPSec между Linksys BEFVP41 и линукс
- Subject: Re: [Lug-bg] IPSec между Linksys BEFVP41 и линукс
- From: Yulian Stefanov <stefanov.yulian@xxxxxxxxx>
- Date: Thu, 18 Feb 2010 17:00:08 +0200
Имах същия проблем на времето и го реших много лесно със смяна на доставчика. Принцинпо информацията ми е много стара но ако не се лъжа тези ZTE рутерчета са с ядро 2.4 и поддържат NAT-T някой друг път. В още по-голямо прикючение ще се вкараш ако решиш, че това тяхно високотехнологично устройство трябва да нат-ва някъде навътре. Пожелавам ти успех с обясненията и наслука с оператора (дано ти се падне такъв който поне ти разбира какво говориш).
Оня ден пуснах пощенски сървър в една фирма и се оказа, че имат множество офиси из страната, които се връзват през АДЛС на БТК. Оказа се, че оператора филтрират 25-ти порт за да не вземе някой да си пусне сървър без да си плати... ако ще ползваш мейл клиент зад устройството нямаш шанс да пратиш към отдалечен сървър. Трябвало щеш-нещеш ако ще се връзваш (дори да ползваш Gmail или Yahoo) трябва задължително да позваш техен опен релей мблах.контакт.бг . Чудя си се като е опен релей в кои ли черни списъци присъства и какво ли ще викат сървърите отсреща като видят, че майла е от един домейн, пък релейва от друг...
Всъщност не питам за съвет, това да му мисли админа им. А и предварително се извинявам ако някой се засегне от горното, просто ми звучи като да си купиш кола и да са ти заварили едната скорост щот не си си платил по-скъп сервиз...
Лек ден и лека нощ, Юлиан Стефанов +359 (885) 161 535 stefanov.yulian [at] gmail.com
2010/2/18 Ico <ico@xxxxxxxxxx>
Здравейте,
Опитвам са за изградя IPSec VPN между устройството Linksys BEFVP41 и
линукс.
Първо да кажа, че при тестова установка Linksys => NAT Device =>
Internet => VPN Server връзката се изгражда без проблем.
Проблемът възникна, когато сложих Linksys устройството там където
наистина трябва да работи, а именно зад ADSL на БТК (Виваком).
Това което се случва е, че устройството и racoon-а на линукса се
договарят успешно - устройството казва, че тунелът е изграден, racoon-а
също си създава необходимите полици, но през тунела нищо не минава и в
двете посоки.
При опит за ping от линукса през тунела се наблюдава следното:
#tcpdump -i any -vn host 79.100.153.16
tcpdump: listening on any, link-type LINUX_SLL (Linux cooked), capture
size 96 bytes
11:02:00.081267 IP (tos 0x0, ttl 64, id 34697, offset 0, flags [none],
proto ESP (50), length 168)
212.116.143.142 > 79.100.153.16: ESP(spi=0xc01a551e,seq=0x1e),
length 148
11:02:00.114842 IP (tos 0xc0, ttl 57, id 10026, offset 0, flags [none],
proto ICMP (1), length 196)
79.100.153.16 > 212.116.143.142: ICMP 79.100.153.16 protocol 50
unreachable, length 176
IP (tos 0x0, ttl 57, id 34697, offset 0, flags [none], proto
ESP (50), length 168)
212.116.143.142 > 79.100.153.16: ESP(spi=0xc01a551e,seq=0x1e),
length 148[|icmp]
11:02:05.246955 IP (tos 0x0, ttl 142, id 24296, offset 0, flags [none],
proto UDP (17), length 320)
79.100.153.16.500 > 212.116.143.142.500: isakmp 1.0 msgid : phase 1
I agg: [|sa]
11:02:05.344651 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto
UDP (17), length 300)
212.116.143.142.500 > 79.100.153.16.500: isakmp 1.0 msgid : phase 1
R agg: [|sa]
Въпросите ме са два:
1. Някой има ли опит с подобно устройство, ако да открил ли е начин да
го накара да ползва natt, защото аз не видях такова нещо в настройките
му (в racoon.conf пише nat_traversal force, но това явно не е достатъчно) ?
2. Другата алтернатива, която виждам и да се убеди ADSL устройството да
не спира ESP протокола, но при няколкото ми обаждания до съпорта не
можах да попадна на човек с който да се разберем.
Ще съм благодарен за коментари и насочвания.
Поздрави,
Ицо
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
_______________________________________________
Lug-bg mailing list
Lug-bg@xxxxxxxxxxxxxxxxxx
http://linux-bulgaria.org/mailman/listinfo/lug-bg
|