[freebsd] ESP Tunnel for VPN

[Eugene Grosbein]

31.10.2018 20:57, Nick Kostirya пишет:

> Привет.
> Настроил ipsec тунель между белой IP (сервер, freebsd) и серой (клиент, freebsd).
> Использовал racoon и Hybrid RSA.
> Есть пару вопросов.
> 
> 1.
> Это нормально, что не пришлось включать nat_traversal в конфиге racoon?
> Сейчас клиент видит сервер (проходят ping и http запросы), а сервер не видит клиента. 
> Может что-то не настроил? Или так и должно быть?

Нет, это ненормально. Теоретически без NAT-T такой туннель можно завести,
практически для этого нужно заморачиваться с пробросом ESP-пакетов в NAT.
Лучше включить NAT-T, оно для того и придумано, чтобы упростить настройки.

> 2.
> Пришлось отключить проверку сертификата из-за ошибки 
> ERROR: failed to get subjectAltName
> DEBUG: Discarding CERT: does not match ID.
> Никто не знает это особенность racoon или для других тоже нужно IP в SAN?

Если сертификат не проверяется, зачем он вообще нужен?
Используй длинный PSK со спецсимволами.

> 3.
> Android туннель поднимает, но при этом у него интернет пропадает вообще.
> Не указывал, что нужно весть трафик заворачивать в туннель.
> Никто не знает с чем это связано? Куда смотреть.

Похоже на проблемы с DNS, смотреть в первую очередь в эту сторону.
Какой тип туннеля для андроида - L2TP/IPSEC или IKEv2?