openS/WAN ipsec SUSE 10.0 (YAST)

[unreal]

пытаюсь поднять впн между двумя подсетями между 192.168.1.0 и 192.168.2.0
соединение устанавливатся но пинг из одной подсети в другую не проходит
в yastе в разделе firewall поставил галочку возле ipsec support
при подключении выдает
ipsec auto --up test-vpn
104 "test-vpn" #1: STATE_MAIN_I1: initiate
003 "test-vpn" #1: ignoring unknown Vendor ID payload [4f45677750767f665f615b42]
003 "test-vpn" #1: received Vendor ID payload [Dead Peer Detection]
003 "test-vpn" #1: received Vendor ID payload [RFC 3947] method set to=109
106 "test-vpn" #1: STATE_MAIN_I2: sent MI2, expecting MR2
003 "test-vpn" #1: NAT-Traversal: Result using 3: no NAT detected
108 "test-vpn" #1: STATE_MAIN_I3: sent MI3, expecting MR3
004 "test-vpn" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=oakley_3des_cbc_192 prf=oakley_md5 group=modp1536}
117 "test-vpn" #2: STATE_QUICK_I1: initiate
004 "test-vpn" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x41e59522 <0xd7425145 xfrm=AES_0-HMAC_SHA1 NATD=195.ххх.хх.хх:500 DPD=none}

netstat -nr
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
85.ххх.хх.150 0.0.0.0 255.255.255.252 U 0 0 0 eth2
192.168.2.0 85.ххх.хх.149 255.255.255.0 UG 0 0 0 eth2
192.168.1.0 0.0.0.0 255.255.255.0 U 0 0 0 eth0
169.254.0.0 0.0.0.0 255.255.0.0 U 0 0 0 eth0
127.0.0.0 0.0.0.0 255.0.0.0 U 0 0 0 lo
0.0.0.0 85.ххх.хх.149 0.0.0.0 UG 0 0 0 eth2

после установки соединения:
netstat -nlup
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
udp 0 0 127.0.0.1:4500 0.0.0.0:* 4499/pluto
udp 0 0 192.168.1.105:4500 0.0.0.0:* 4499/pluto
udp 0 0 85.ххх.хх.150:4500 0.0.0.0:* 4499/pluto
udp 0 0 0.0.0.0:111 0.0.0.0:* 4348/portmap
udp 0 0 127.0.0.1:500 0.0.0.0:* 4499/pluto
udp 0 0 192.168.1.105:500 0.0.0.0:* 4499/pluto
udp 0 0 85.ххх.хх.150:500 0.0.0.0:* 4499/pluto
udp 0 0 ::1:500 :::* 4499/pluto

в обоих сетях стоит шлюз на SUSE 10.0 и в обоих сетях включен маскарадинг(маскарадинг отключал - не помогает)

подскажите пожалуйста куда копать?

[kvs]

Как IPSec ставил. Ядро собирал сам, пач накладывал, openswan ?

[unreal]

Как IPSec ставил. Ядро собирал сам, пач накладывал, openswan ?

ipsec и openswan ставил rpm-ками потом генерировал rsa ключ
в логах пишутся вот такие вещи :
ipsec_setup: insmod /lib/modules/2.6.13-15.8-default/kernel/net/key/af_key.ko
ipsec_setup: insmod /lib/modules/2.6.13-15.8-default/kernel/net/ipv4/ah4.ko
ipsec_setup: insmod /lib/modules/2.6.13-15.8-default/kernel/net/ipv4/esp4.ko
ipsec_setup: insmod /lib/modules/2.6.13-15.8-default/kernel/net/ipv4/ipcomp.ko
ipsec_setup: insmod /lib/modules/2.6.13-15.8-default/kernel/net/ipv4/xfrm4_tunnel.ko
ipsec_setup: insmod /lib/modules/2.6.13-15.8-default/kernel/net/xfrm/xfrm_user.ko
ipsec_setup: insmod /lib/modules/2.6.13-15.8-default/kernel/crypto/sha1.ko
ipsec_setup: insmod /lib/modules/2.6.13-15.8-default/kernel/arch/i386/crypto/aes-i586.ko
ifup: No configuration found for sit0
pluto[4547]: Starting Pluto (Openswan Version 2.4.4 X.509-1.5.4 PLUTO_SENDS_VENDORID PLUTO_USES_KEYRR; V
pluto[4547]: Setting NAT-Traversal port-4500 floating to off
pluto[4547]: port floating activation criteria nat_t=0/port_fload=1
pluto[4547]: including NAT-Traversal patch (Version 0.6c) [disabled]
pluto[4547]: ike_alg_register_enc(): Activating OAKLEY_AES_CBC: Ok (ret=0)
pluto[4547]: starting up 1 cryptographic helpers
pluto[4547]: started helper pid=4681 (fd:6)
pluto[4547]: Using Linux 2.6 IPsec interface code on 2.6.13-15.8-default
pluto[4547]: Changing to directory '/etc/ipsec.d/cacerts'
pluto[4547]: Could not change to directory '/etc/ipsec.d/aacerts'
pluto[4547]: Could not change to directory '/etc/ipsec.d/ocspcerts'
pluto[4547]: Changing to directory '/etc/ipsec.d/crls'
pluto[4547]: Warning: empty directory
pluto[4547]: added connection description "test-vpn"
pluto[4547]: listening for IKE messages
pluto[4547]: adding interface eth2/eth2 85.ххх.хх.150:500
pluto[4547]: adding interface eth0/eth0 192.168.1.105:500
pluto[4547]: adding interface lo/lo 127.0.0.1:500
pluto[4547]: adding interface lo/lo ::1:500
pluto[4547]: loading secrets from "/etc/ipsec.secrets"
pluto[4547]: packet from 195.ххх.хх.54:500: ignoring unknown Vendor ID payload [4f45677750767f665f615b42
pluto[4547]: packet from 195.ххх.хх.54:500: received Vendor ID payload [Dead Peer Detection]
pluto[4547]: "test-vpn" #1: responding to Main Mode
pluto[4547]: "test-vpn" #1: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
pluto[4547]: "test-vpn" #1: STATE_MAIN_R1: sent MR1, expecting MI2
pluto[4547]: "test-vpn" #1: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
pluto[4547]: "test-vpn" #1: STATE_MAIN_R2: sent MR2, expecting MI3
pluto[4547]: "test-vpn" #1: Main mode peer ID is ID_IPV4_ADDR: '195.ххх.хх.54'
pluto[4547]: "test-vpn" #1: I did not send a certificate because I do not have one.
pluto[4547]: "test-vpn" #1: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
pluto[4547]: "test-vpn" #1: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher
pluto[4547]: "test-vpn" #2: responding to Quick Mode {msgid:ab97e22a}
pluto[4547]: "test-vpn" #2: transition from state STATE_QUICK_R0 to state STATE_QUICK_R1
pluto[4547]: "test-vpn" #2: STATE_QUICK_R1: sent QR1, inbound IPsec SA installed, expecting QI2
pluto[4547]: "test-vpn" #2: transition from state STATE_QUICK_R1 to state STATE_QUICK_R2
pluto[4547]: "test-vpn" #2: STATE_QUICK_R2: IPsec SA established {ESP=>0x724ad57b <0x62173c9f xfrm=AES
pluto[4547]: packet from 195.ххх.хх.54:500: ignoring unknown Vendor ID payload [4f45677750767f665f615b42
pluto[4547]: packet from 195.ххх.хх.54:500: received Vendor ID payload [Dead Peer Detection]
pluto[4547]: "test-vpn" #3: responding to Main Mode
pluto[4547]: "test-vpn" #3: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
pluto[4547]: "test-vpn" #3: STATE_MAIN_R1: sent MR1, expecting MI2
kernel: Redirect from 85.ххх.хх.149 on eth2 about 195.ххх.хх.54 ignored.
kernel: Advised path = 85.ххх.хх.150 -> 195.ххх.хх.54, tos 00
pluto[4547]: "test-vpn" #3: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
pluto[4547]: "test-vpn" #3: STATE_MAIN_R2: sent MR2, expecting MI3
kernel: Redirect from 85.ххх.хх.149 on eth2 about 195.ххх.хх.54 ignored.
kernel: Advised path = 85.ххх.хх.150 -> 195.ххх.хх.54, tos 00
pluto[4547]: "test-vpn" #3: Main mode peer ID is ID_IPV4_ADDR: '195.ххх.хх.54'
pluto[4547]: "test-vpn" #3: I did not send a certificate because I do not have one.
pluto[4547]: "test-vpn" #3: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
pluto[4547]: "test-vpn" #3: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher
kernel: Redirect from 85.ххх.хх.149 on eth2 about 195.ххх.хх.54 ignored.
kernel: Advised path = 85.ххх.хх.150 -> 195.ххх.хх.54, tos 00
pluto[4547]: packet from 195.ххх.хх.54:500: Informational Exchange is for an unknown (expired?) SA

[kvs]

Вот почитай http://asplinux.net/modules/newbb_plus/vie...um.php?forum=25
В топике есть отельная тема, все по пунктам. Не хочется повторятся

[unreal]

Вот почитай http://asplinux.net/modules/newbb_plus/vie...um.php?forum=25
В топике есть отельная тема, все по пунктам. Не хочется повторятся

Bandwidth Limit Exceeded
The server is temporarily unable to service your request due to the site owner reaching his/her bandwidth limit. Please try again later.
Apache/1.3.34 Server at www.asplinux.net Port 80

хоть намекните что не так?

[kvs]

Патч на ядро ставил ? Для того что-бы получить поддержку IPSec нужно пропатчить ядро.
http://www.openswan.org/download/openswan-...6-natt.patch.gz
http://www.openswan.org/download/openswan-...-klips.patch.gz
Качаеш патчи, ставиш патч на исходники ядра, если нет исходников, скачай (kernel.org), собираеш ядро.
по ссылке все подробно описано, незнаю почему сегодня сервер недоступен.

[unreal]

забил я на Opens/wan так ничего и не получилось...
установил openvpn
но ситуация повторяется сервера видят друг друга и внешние и внутренние интерфейсы но пинг на машины внутри обеих локалок не проходят в логах есть странные сообщения
kernel: Redirect from 195.ххх.хх.53 on eth1 about 85.ххх.хх.150 ignored.
May 31 16:37:18 kernel: Advised path = 195.ххх.хх.54 -> 85.ххх.хх.150, tos 00
May 31 16:37:49 kernel: Redirect from 195.ххх.хх.53 on eth1 about 85.ххх.хх.150 ignored.
May 31 16:37:49 kernel: Advised path = 195.ххх.хх.54 -> 85.ххх.хх.150, tos 00
May 31 16:38:33 kernel: Redirect from 195.ххх.хх.53 on eth1 about 85.ххх.хх.150 ignored.
May 31 16:38:33kernel: Advised path = 195.ххх.хх.54 -> 85.ххх.хх.150, tos 00
May 31 16:43:51kernel: Redirect from 195.ххх.хх.53 on eth1 about 85.ххх.хх.150 ignored.
May 31 16:43:51 kernel: Advised path = 195.ххх.хх.54 -> 85.ххх.хх.150, tos 00

195.ххх.хх.54 -это мой внешний ip
195.ххх.хх.53- это шлюз провайдера
85.ххх.хх.150-внешний ip второй локалки

может кто-то знает в чем дело?

[kvs]

зря батенька, я шел от обратного, поставил Openvpn и даже соеденил Линх сервер и виндузовы, есть такая возможность у Openvpn.
покаж конфиг файлы, одна сторона должна быть сервером, другая клиентом, между ними тунель
proto tcp-server
dev tun
dev-node server


как вариант, а IPSec намного лучше

proto udp
dev tun
port 5004
comp-lzo
ping 15
verb 3
user openvpn
group openvpn
ifconfig 10.3.0.6 10.3.0.5
route 10.10.130.0 255.255.255.0 10.3.0.5
tls-server
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/tmp-ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
tun-mtu 1500
auth MD5

только не забудт порты открыть на фаере


как вариант, а IPSec намного лучше

proto udp
dev tun
port 5004
comp-lzo
ping 15
verb 3
user openvpn
group openvpn
ifconfig 10.3.0.6 10.3.0.5
route 10.10.130.0 255.255.255.0 10.3.0.5
tls-server
dh /etc/openvpn/dh1024.pem
ca /etc/openvpn/tmp-ca.crt
cert /etc/openvpn/server.crt
key /etc/openvpn/server.key
tun-mtu 1500
auth MD5

только не забудт порты открыть на фаере