[freebsd] ESP Tunnel for VPN
Nick Kostirya
nikolay.kostirya at i11.co
Wed Oct 31 17:01:58 EET 2018
On Wed, 31 Oct 2018 21:26:25 +0700
Eugene Grosbein <eugen at grosbein.net> wrote:
> 31.10.2018 20:57, Nick Kostirya пишет:
>
> > Привет.
> > Настроил ipsec тунель между белой IP (сервер, freebsd) и серой (клиент, freebsd).
> > Использовал racoon и Hybrid RSA.
> > Есть пару вопросов.
> >
> > 1.
> > Это нормально, что не пришлось включать nat_traversal в конфиге racoon?
> > Сейчас клиент видит сервер (проходят ping и http запросы), а сервер не видит клиента.
> > Может что-то не настроил? Или так и должно быть?
>
> Нет, это ненормально. Теоретически без NAT-T такой туннель можно завести,
> практически для этого нужно заморачиваться с пробросом ESP-пакетов в NAT.
> Лучше включить NAT-T, оно для того и придумано, чтобы упростить настройки.
Дело в том, что когда он включен (nat_traversal force; в обоих конфигах), то трафик вообще по туннелю не идет.
Или кроме конфигов нужно что-то еще включать дополнительно.
>
> > 2.
> > Пришлось отключить проверку сертификата из-за ошибки
> > ERROR: failed to get subjectAltName
> > DEBUG: Discarding CERT: does not match ID.
> > Никто не знает это особенность racoon или для других тоже нужно IP в SAN?
>
> Если сертификат не проверяется, зачем он вообще нужен?
> Используй длинный PSK со спецсимволами.
Чтобы не патчить racoon для звездочки в pre_shared_key файле.
А с сертификатом не нужно указывать IP клиента.
>
> > 3.
> > Android туннель поднимает, но при этом у него интернет пропадает вообще.
> > Не указывал, что нужно весть трафик заворачивать в туннель.
> > Никто не знает с чем это связано? Куда смотреть.
>
> Похоже на проблемы с DNS, смотреть в первую очередь в эту сторону.
> Какой тип туннеля для андроида - L2TP/IPSEC или IKEv2?
А что у android IKEv2 ? Я думал, что IKEv1, когда без L2TP.
Безе L2TP пытаюсь. Также пробовал в дополнительных настройках VPN указывать 8.8.8.8.
Ой, а похоже, что поскольку Android подключен через Wifi, то и к местном DNS трафик заворачитаеться в тунель, а он не работает пока.
Наверно, из-за сертификата и из-за отсутствия NAT-T.
More information about the freebsd
mailing list