On Sun, Jan 30, 2005 at 02:26:57PM +0200, Andrey Loginov wrote: AL>Добрый день! AL> AL>Есть связка AL> AL> Cisco 831<--AES256-->racoon<-AES256->Checkpoint VPN-1 AL> | | | AL> 192.168.38.32/27 192.168.38.0/27 150.0.0.0/16 вот тут траффик шифруется на cisco далее дешифруется на linux, потом шифруется опять и идет на Checkpoint правильно? как вариант - почему бы не сделать в такой схеме linux просто маршрутизатором и не пускать ipsec напрямик между cisco и checkpoint зы. если они все-таки работают напрямик - то у cisco толжно быть 2 crypto-peer AL>Проблема заключается в следущем: AL>Находясь в сети 192.168.38.32/27 если я пытаюсь послать пакетик на сеть AL>192.168.38.0/27 IPSEC поднимается и в этом направлении все работает. AL>Пытаюсь слать пакетик на 150.0.0.0/16 - тишина. Чищу крипто мапу на setkey -D ? setkey -DP ? кстати, а причем тут racoon к crypto-map? AL>роутере. Шлю пакетик снова на 150.0.0.0/16. Все работает с точностью до AL>наоборот-не ходит траффик в сторону 192.168.38.0/27. Вот мой конфиг racoonа: AL> AL> remote AL> { AL> exchange_mode main; # For Firewall-1 Aggressive mode AL> nonce_size 16; AL> lifetime time 1440 min; # sec,min,hour AL> initial_contact on; AL> support_mip6 on; AL> proposal_check obey; # obey, strict or claim AL> AL> proposal { AL> encryption_algorithm aes 256; AL> hash_algorithm md5; AL> authentication_method pre_shared_key; AL> dh_group 2 ; AL> } AL> } AL> AL> remote AL> { AL> exchange_mode main; AL> nonce_size 16; AL> lifetime time 1440 min; # sec,min,hour AL> initial_contact on; AL> support_mip6 on; AL> proposal_check obey; # obey, strict or claim AL> AL> proposal { AL> encryption_algorithm aes 256; AL> hash_algorithm md5; AL> authentication_method pre_shared_key; AL> dh_group 2 ; AL> } AL> } AL> AL> sainfo address 192.168.38.0/24 any address 150.0.0.0/16 any AL> { AL> pfs_group 2; AL> lifetime time 3600 sec; AL> encryption_algorithm aes 256; AL> authentication_algorithm hmac_md5; AL> compression_algorithm deflate ; AL> } AL> AL> sainfo address 192.168.38.0/27 any address 192.168.38.32/27 any AL> { AL> pfs_group 2; AL> lifetime time 3600 sec; AL> encryption_algorithm aes 256; AL> authentication_algorithm hmac_md5; AL> compression_algorithm deflate ; AL> } AL> AL> sainfo address 150.0.0.0/16 any address 192.168.38.32/27 any AL> { AL> pfs_group 2; AL> lifetime time 3600 sec; AL> encryption_algorithm aes 256; AL> authentication_algorithm hmac_md5; AL> compression_algorithm deflate ; AL> } AL> AL> Вот конфиг с роутера Cisco 831 относяшийся к IPSECу: AL>crypto isakmp policy 1 AL> encr aes 256 AL> hash md5 AL> authentication pre-share AL> group 2 AL>crypto isakmp key <key> address <адресс racoonа> AL> AL>crypto isakmp peer address <адресс racoonа> AL> AL>crypto ipsec transform-set trans1 esp-aes 256 esp-md5-hmac AL> AL>crypto map CRYPTO1 10 ipsec-isakmp AL> set peer <адрес racoonа> AL> set transform-set trans1 AL> set pfs group2 AL> match address 199 AL> AL>interface Ethernet1 AL>ip address <адрес cisco 831> AL>crypto map CRYPTO1 AL> AL>access-list 199 permit ip 192.168.38.32 0.0.0.31 192.168.38.0 0.0.0.31 AL>access-list 199 permit ip 192.168.38.32 0.0.0.31 150.0.0.0 0.0.255.255 AL> AL>Подскажите плз как проблему эту полечить. AL>Заранее благодарен. AL> AL>-- AL>С уважением AL>Андрей Логинов. AL> AL>=================================================================== AL>uanog mailing list. AL>To Unsubscribe: send mail to majordomo@uanog.kiev.ua AL>with "unsubscribe uanog" in the body of the message -- Best regard, Aleksander Trotsai aka MAGE-RIPE aka MAGE-UANIC My PGP key at ftp://blackhole.adamant.ua/pgp/trotsai.key[.asc] Объявление в зоопарке "Осторожно, звери открываются" =================================================================== uanog mailing list. To Unsubscribe: send mail to majordomo@uanog.kiev.ua with "unsubscribe uanog" in the body of the message