IPSEC tunnel FreeBSD Freeswan (dlouhe)

[Dan Lukes]

Josef Dvorak wrote:

> 2004-05-27 15:05:16: INFO: isakmp.c:1059:isakmp_ph2begin_r(): respond new
> phase 2 negotiation: I.J.K.L[0]<=>E.F.G.H[0]
> 2004-05-27 15:05:16: ERROR: ipsec_doi.c:1001:get_ph2approvalx(): not matched
> 2004-05-27 15:05:16: ERROR: ipsec_doi.c:966:get_ph2approval(): no suitable
> policy found.

> Hlasce "no suitable policy found" sice rozumim, ale nevim proc ji nenajde,
> kdyz jsem ji tam pomoci spadd nahral. Viz: setkey -PD

	No, to neni prvni hlaska. To je az druha hlaska. Podle vseho polovi 
nenajde protoze cosi (v ni) "not matched".

	V racoonu lze zapnout jeste podrobnejsi LOGovani - pak tam pise i 
pomerne velke detaily - obsah prichoziho paketu vcetne rozparsovani - a 
podobne. Ta by se videlo, co to ten Linux vlastne z druhe strany poslal.

	To co mohlo "not match" by napriklad mohly byt parametry "proposal" - i 
kdyz, na prvni pohled na to nevypadaji. TY detailni LOGy by patrne pomohly.

	Jen musim varovat, ze RACOON se zapnutymi detailnimi LOGy leckdy 
"nestiha", coz muze samo o sobe zpusobit to, ze se klic neustavi (nebo 
treba az napodruhe).


	Ale, mam jeste jeden takovy vystrel naslepo - k cemu je, podle vas, v 
konfiguraci na Linuxu parametr spi=0x200 ? Ja tedy Linux nikdy 
nekonfiguroval a o freeswan poprve slysel dneska, ale pusobi to na me 
podezrele. Mozna je uplne nejednodussi zacit tim, ze to vyhodite ...


						Dan



-- 
Dan Lukes      tel: +420 2 21914205, fax: +420 2 21914206
root  of FIONet,  KolejNET,  webmaster  of www.freebsd.cz
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz