Опять загадочные грабли
Сегодня пытался запустить очередной IPsec’овый туннель. Не работает. Связался с клиентом, проверили настройки, вроде всё с обеих сторон одинаково, должно работать, ан нет. Запустил на роутере tcpdump, и офигел.. Phase1 успешно проходит, а на пакеты от Phase2 с той стороны вместо ответа приходят ICMP destination port unreachable, хотя порт тот же самый UDP 500, что и в Phase1. Как такое может быть??
Эти грабли я пока обойти не смог, ибо у меня нету доступа к ихнему серверу, поэтому я не могу посмотреть, что там может быть не в порядке, а тот сотрудник, с которым я общался, похоже, в сетевых технологиях почти не разбирается.
Upd: мне выдали доступ по ssh к клиентскому серверу, я там полдня колупался с настройками этого openswan’а, пытаясь понять, как сделать, чтобы тамошний публичный IP использовался не только в качестве идентификатора, но и в качестве локального адреса с той стороны туннеля. А ведь на амазоновских машинках используются только приватные адреса, а приделываемые к ним публичные NATятся внешними амазоновскими роутерами.
В конце концов мне удалось подкрутить настройки, и VPN заработал. Но объяснить, что конкретно там было не так, я не могу, слишком долго я там эти настройки подкручивал и перезапускал ipsec..
Оригинал этой записи в личном блоге.
(
| Комментировать в Dreamwidth)