Какая гадость этот ваш IPSec

[dil]

В очередной раз поискав линуксовый клиент к Checkpoint VPN-серверу, нашел Shrew Soft VPN. Поставился из штатного пакета, всего каких-то три часа подбора правильных параметров, и вуаля - оно подцепилось к серверу.

Получило IP-адрес, создало соответствующие записи Security Policy, setkey их показывает, вроде всё нормально, а только ни один хост из

Comments

[alexkuklin]

IPsec - очень забавная хня.
90% "крутых цисковедов" в лучшем случае знает, как согласовать параметры на двух цисках для обеспечения работы канала.
ситуация, когда с другой стороны - не циска, а что-то другое - приводит таких в состояние "понос-судороги-смерть"

[dil]

Ну параметры ладно, я кое-как подобрал. А вот что дальше-то делать?
Это чудо природы создало tap0, и кроме SP ещё засобачило точно такие же маршруты на внутреннюю сеть через этот tap0. Но трафик через tap0 не ходит, естественно, IPsec'освские политики отрабатываются раньше. И я вижу исходящий шифрованный трафик, а обратно ничего не приходит.

[ext_109957]

А на той стороне маршруты-то прописаны?
Там в курсе, что вот этой сетке надо отвечать через ipsec?

[dil]

Очевидно, да. В винду-то оно их отдаёт. Адрес выдаётся динамический, из той же подсети /25, что и в винде.

[e1am0]

гыгыгы. чёт меня ностальгия пропёрла. вспомнил, как разбирался с работой иписека, выводя содержимое мбуфов. ггг

[dil]

Не, как он в целом работает, я понимаю. А вот куда копать в моем конкретном случае, когда вроде бы всё правильно, никаких ошибок нет, а не работает - не понимаю :(