IPSec mezi dvema BSD boxy - dlouhe
Dan Lukes
dan at obluda.cz
Sun Aug 8 17:21:57 CEST 2004
Tomas Randa wrote:
> Mam problem s nastavenim VPN over IPsec mezi dvema BSD. Jedno je 5.2.1
> release, druhy je current.
> Konfigurace BOXU1:
>
> #####/etc/ipsec.conf:
>
> spdadd M.N.O.P/30 A.B.C.D/32 any -P in ipsec
> esp/tunnel/I.J.K.L-E.F.G.H/require;
>
> spdadd A.B.C.D/30 M.N.O.P/32 any -P out ipsec
> esp/tunnel/E.F.G.H-I.J.K.L/require;
> ####################Konfigurace BOXU2:####################
>
> #####/etc/ipsec.conf:
>
> spdadd A.B.C.D/30 M.N.O.P/24 any -P in ipsec
> esp/tunnel/E.F.G.H-I.J.K.L/require;
> spdadd M.N.O.P/30 A.B.C.D/24 any -P out ipsec
> esp/tunnel/I.J.K.L-E.F.G.H/require;
Je trochu neobvykle, ze ty prikazy nejsou symetricke (masky siti
A.B.C.D a M.N.O.P jsou v kazde verzi prikazu jine) - v obou pripadech.
Ale vadit to nutne nemusi.
> Take se mi objevuje tato hlaska od racoonu:
> 2004-07-22 09:43:08: ERROR: pfkey.c:1076:pk_sendupdate(): libipsec
> failed send update (No buffer space available)
No, klicem je urcite tohle. V teto chvili se kernelu (lokalnimu)
posila SADB_UPDATE message,ale nepovede se to. Proc ale, to me prilis
nenapada. I kdyz, jeden tip bych mozna mel. System sam ma svoji
libipsec a racoon ma take svoji. Jestli pri nejake nevhodne manipulaci
ci upgrade doslo k tomu, ze se pouzivane spravna nebo nespravne
vygenerovana knihovna (treba proto, ze po upgrade zustaly stare a
neaktualizovane header soubory nebo tak neco), pak vysledkem mohou byt
nahodne nefunkcnosti. Treba takova, jakou pozorujes ...
Dan
--
Dan Lukes, SISAL, MFF UK tel: +420 2 21914205, fax: +420 2 21914206
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz, dan at fio.cz
More information about the Users-l
mailing list