https://www.opennet.ru/openforum/vsluhforumID10/4861.html Необходимо было поднять IPSec туннель между двумя офисами, при следующей конфигурации:<br><br> LAN1 (192.168.1.0/24)<br> &#124;<br> &#124;<br>FreeBSD 8.2 (192.168.1.2) + ipfw NAT over PPTP(X.X.X.X)<br> &#124;<br> &#124;<br> internet<br> &#124;<br> &#124;<br>ZyXEL ZyWALL USG50 (192.168.10.1) + NAT over PPTP (Y.Y.Y.Y)<br> &#124;<br> &#124;<br> LAN2 (192.168.10.0/24)<br><br><br>Туннель поднимается, трафик между двумя гейтами с белыми адресами X.X.X.X и Y.Y.Y.Y успешно шифруется, инкапсулруется и в снифере виден как пакеты с ESP-заголовками. Добавил два статических роута на шлюзах в частные сети. Но при попытке пинга с клиентской машины одной LAN1 гейта ZyXEL LAN2 вижу в снифере (на фряхе) следующую картину:<br><br>19:33:42.506971 IP X.X.X.X &gt; Y.Y.Y.Y : IP 192.168.1.102 &gt; 192.168.10.1: ICMP echo request, https://www.opennet.ru/openforum/vsluhforumID10/4861.html#3 Mon, 20 Jun 2011 05:39:52 GMT &gt; http://www.freebsd.org/doc/ru/books/handbook/ipsec.html Да?<br><br>Эта статья устарела, не во всем конечно, но устарела. Поэтому тоже самое, только в инглиш вики.<br><br>&gt; Может use -&gt; require? (http://resin.csoft.net/cgi-bin/man.cgi?section=5&topic=ipsec.conf) <br><br>Пробовал, не помогает.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/4861.html#2 Mon, 20 Jun 2011 04:46:34 GMT &gt; Проблему пока так и не удалось устранить, решил все же привести конфиги. <br>&gt; Поэтому пожалуйста, не проходите мимо, буду рад любым советам!<br><br>http://www.freebsd.org/doc/ru/books/handbook/ipsec.html Да?<br><br>&gt; [19:00]root@beta:/home/NutipA# cat /usr/local/etc/racoon/setkey.conf <br>&gt; flush; <br>&gt; spdflush; <br>&gt; # To the second office network <br>&gt; spdadd 192.168.1.0/24 192.168.10.0/24 any -P out ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/use; <br>&gt; spdadd 192.168.10.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X/use; <br><br>Может use -&gt; require? (http://resin.csoft.net/cgi-bin/man.cgi?section=5&topic=ipsec.conf)<br> https://www.opennet.ru/openforum/vsluhforumID10/4861.html#1 Mon, 30 May 2011 21:46:51 GMT Проблему пока так и не удалось устранить, решил все же привести конфиги. Поэтому пожалуйста, не проходите мимо, буду рад любым советам! <br><br>Т.к. SA носят односторонний характер, то можно утверждать, что уже на этапе гейта LAN1 имеем неправильное поведение, поэтому настройки второго гейта можно пока не рассматривать. Насколько я понимаю, трафик от клиентских машин хотя бы в направлении LAN1-&gt;LAN2 должен выглядеть следующим образом (т.е. как минимум дважды инкапсулироваться и шифроваться):<br><br>21:34:16.486698 IP Y.Y.Y.Y &gt; X.X.X.X: ESP(spi=0x043488c2,seq=0x66), length 116<br><br>Выводы команд и конфиги:<br><br>[19:00]root@beta:/home/NutipA# cat /usr/local/etc/racoon/setkey.conf<br>flush;<br>spdflush;<br># To the second office network<br>spdadd 192.168.1.0/24 192.168.10.0/24 any -P out ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/use;<br>spdadd 192.168.10.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X/use;<br><br>---------------------------------------------------------------------------------<br><br>[19:02]root@beta:/home/NutipA# cat