IPSec mezi dvema BSD boxy - dlouhe

[Dan Lukes]

Tomas Randa wrote:

> Mam problem s nastavenim VPN over IPsec mezi dvema BSD. Jedno je 5.2.1
> release, druhy je current.

> Konfigurace BOXU1:
> 
> #####/etc/ipsec.conf:
> 
> spdadd M.N.O.P/30 A.B.C.D/32 any -P in ipsec
> esp/tunnel/I.J.K.L-E.F.G.H/require;
> 
> spdadd A.B.C.D/30 M.N.O.P/32 any -P out ipsec
> esp/tunnel/E.F.G.H-I.J.K.L/require;



> ####################Konfigurace BOXU2:####################
> 
> #####/etc/ipsec.conf:
> 
> spdadd A.B.C.D/30 M.N.O.P/24 any -P in ipsec
> esp/tunnel/E.F.G.H-I.J.K.L/require;
> spdadd M.N.O.P/30 A.B.C.D/24 any -P out ipsec
> esp/tunnel/I.J.K.L-E.F.G.H/require;

	Je trochu neobvykle, ze ty prikazy nejsou symetricke (masky siti 
A.B.C.D a M.N.O.P jsou v kazde verzi prikazu jine) - v obou pripadech. 
Ale vadit to nutne nemusi.


> Take se mi objevuje tato hlaska od racoonu:
> 2004-07-22 09:43:08: ERROR: pfkey.c:1076:pk_sendupdate(): libipsec
> failed send update (No buffer space available)

	No, klicem je urcite tohle.  V teto chvili se kernelu (lokalnimu) 
posila SADB_UPDATE message,ale nepovede se to. Proc ale, to me prilis 
nenapada. I kdyz, jeden tip bych mozna mel. System sam  ma svoji 
libipsec a racoon ma take svoji.  Jestli pri nejake nevhodne manipulaci 
ci upgrade doslo k tomu, ze se pouzivane spravna  nebo  nespravne 
vygenerovana knihovna (treba proto, ze po upgrade zustaly stare a 
neaktualizovane header soubory nebo tak neco), pak vysledkem mohou  byt 
nahodne nefunkcnosti. Treba takova, jakou pozorujes ...

						Dan


-- 
Dan Lukes,  SISAL, MFF UK  tel: +420 2 21914205, fax: +420 2 21914206
AKA: dan at obluda.cz, dan at freebsd.cz, dan at kolej.mff.cuni.cz, dan at fio.cz