OpenForum RSS: VPN на FreeBSD 6.3 через ipsec и ADSL https://www.opennet.ru/openforum/vsluhforumID10/4012.html Доброго времени суток!<br>Мы с товарищем задались целью настроить VPN-тунель через ipsec и ADSL на OS FreeBSD 6.3.<br>Нам очень важно реализовать систему именно так, как было задумано. Поэтому варианты "OpenVPN проще и лучше" нам не подходят. <br>Стенд: селерон 900 с фряхой, на борту два сетевых интерфейса - rl0 наружний (к нему подключён ADSL-модем), rl1 - внутренний( смотрит в локалку). Модем - D-link 500t, все порты проброшены (включен DMZ). В локалке обычный свитч и машина на винде. На другой стороне всё тоже самое, только другие Ip. <br>Проблема: нам удалось сделать тунель, виндовая машина из одной локалки спокойно видит виндовую тачку из другой локалки. Но при этом не работает шифрование. При запуске демонов racoon и ipsec локалка на противоположной стороне перестаёт пинговаться. При этом внешний Ip модема пингуется. <br><br>Обозначу что есть что:<br>192.168.1.1 - внутренний IP модема<br>192.168.1.12 - IP на интерфейсе rl0, внешний для фряхи, одинаков на обоих серверах<br>192.168.10.1 - IP на интерфейсе rl1, смотрит в ло VPN на FreeBSD 6.3 через ipsec и ADSL (vit) https://www.opennet.ru/openforum/vsluhforumID10/4012.html#1 Wed, 15 Oct 2008 08:07:06 GMT &gt;[оверквотинг удален]<br>&gt;gateway_enable="YES" <br>&gt;<br>&gt;# IPSEC <br>&gt;ipsec_enable="YES" <br>&gt;ipsec_file="/etc/ipsec.conf" <br>&gt;<br>&gt;# Racoon <br>&gt;racoon_enable="YES" <br>&gt;<br>&gt;На второй машине всё тоже самое, только вмессто W.X.Y.Z стоит A.B.C.D. <br><br>------ racoon.conf -----------<br>listen <br>{ <br> #isakmp ::1 [7000]; <br> isakmp MY_HOST.IP.OUT.ADDRESS [500]; &lt;-----------<br> #admin [7002]; # administrative port for racoonctl. <br> #strict_address; # requires that all addresses must be bound. <br>} <br><br>remote REMOTE_HOST.IP.OUT.ADDRESS [500]<br>{<br> exchange_mode main,aggressive;<br> doi ipsec_doi;<br> situation identity_only;<br> my_identifier address MY_HOST.IP.OUT.ADDRESS;<br> peers_identifier address REMOTE_HOST.IP.OUT.ADDRESS;<br> lifetime time 8 hour;<br> passive off;<br> proposal_check obey;<br># nat_traversal off;<br> generate_policy off;<br><br> proposal {<br> encryption_algo