IPSEC tunnel FreeBSD Freeswan (dlouhe)
Dan Lukes
dan at obluda.cz
Thu May 27 16:10:15 CEST 2004
Josef Dvorak wrote:
> 2004-05-27 15:05:16: INFO: isakmp.c:1059:isakmp_ph2begin_r(): respond new
> phase 2 negotiation: I.J.K.L[0]<=>E.F.G.H[0]
> 2004-05-27 15:05:16: ERROR: ipsec_doi.c:1001:get_ph2approvalx(): not matched
> 2004-05-27 15:05:16: ERROR: ipsec_doi.c:966:get_ph2approval(): no suitable
> policy found.
> Hlasce "no suitable policy found" sice rozumim, ale nevim proc ji nenajde,
> kdyz jsem ji tam pomoci spadd nahral. Viz: setkey -PD
No, to neni prvni hlaska. To je az druha hlaska. Podle vseho polovi
nenajde protoze cosi (v ni) "not matched".
V racoonu lze zapnout jeste podrobnejsi LOGovani - pak tam pise i
pomerne velke detaily - obsah prichoziho paketu vcetne rozparsovani - a
podobne. Ta by se videlo, co to ten Linux vlastne z druhe strany poslal.
To co mohlo "not match" by napriklad mohly byt parametry "proposal" - i
kdyz, na prvni pohled na to nevypadaji. TY detailni LOGy by patrne pomohly.
Jen musim varovat, ze RACOON se zapnutymi detailnimi LOGy leckdy
"nestiha", coz muze samo o sobe zpusobit to, ze se klic neustavi (nebo
treba az napodruhe).
Ale, mam jeste jeden takovy vystrel naslepo - k cemu je, podle vas, v
konfiguraci na Linuxu parametr spi=0x200 ? Ja tedy Linux nikdy
nekonfiguroval a o freeswan poprve slysel dneska, ale pusobi to na me
podezrele. Mozna je uplne nejednodussi zacit tim, ze to vyhodite ...
Dan
--
Dan Lukes tel: +420 2 21914205, fax: +420 2 21914206
root of FIONet, KolejNET, webmaster of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz
More information about the Users-l
mailing list