[freebsd] ESP Tunnel for VPN

Nick Kostirya nikolay.kostirya at i11.co
Wed Oct 31 17:01:58 EET 2018 

On Wed, 31 Oct 2018 21:26:25 +0700
Eugene Grosbein <eugen at grosbein.net> wrote:

> 31.10.2018 20:57, Nick Kostirya пишет:
> 
> > Привет.
> > Настроил ipsec тунель между белой IP (сервер, freebsd) и серой (клиент, freebsd).
> > Использовал racoon и Hybrid RSA.
> > Есть пару вопросов.
> > 
> > 1.
> > Это нормально, что не пришлось включать nat_traversal в конфиге racoon?
> > Сейчас клиент видит сервер (проходят ping и http запросы), а сервер не видит клиента. 
> > Может что-то не настроил? Или так и должно быть?  
> 
> Нет, это ненормально. Теоретически без NAT-T такой туннель можно завести,
> практически для этого нужно заморачиваться с пробросом ESP-пакетов в NAT.
> Лучше включить NAT-T, оно для того и придумано, чтобы упростить настройки.

Дело в том, что когда он включен (nat_traversal force; в обоих конфигах), то трафик вообще по туннелю не идет.
Или кроме конфигов нужно что-то еще включать дополнительно.

> 
> > 2.
> > Пришлось отключить проверку сертификата из-за ошибки 
> > ERROR: failed to get subjectAltName
> > DEBUG: Discarding CERT: does not match ID.
> > Никто не знает это особенность racoon или для других тоже нужно IP в SAN?  
> 
> Если сертификат не проверяется, зачем он вообще нужен?
> Используй длинный PSK со спецсимволами.
Чтобы не патчить racoon для звездочки в pre_shared_key файле.
А с сертификатом не нужно указывать IP клиента.

> 
> > 3.
> > Android туннель поднимает, но при этом у него интернет пропадает вообще.
> > Не указывал, что нужно весть трафик заворачивать в туннель.
> > Никто не знает с чем это связано? Куда смотреть.  
> 
> Похоже на проблемы с DNS, смотреть в первую очередь в эту сторону.
> Какой тип туннеля для андроида - L2TP/IPSEC или IKEv2?

А что у android IKEv2 ? Я думал, что IKEv1, когда без L2TP.
Безе L2TP пытаюсь. Также пробовал в дополнительных настройках VPN указывать 8.8.8.8.
Ой, а похоже, что поскольку Android подключен через Wifi, то и к местном DNS трафик заворачитаеться в тунель, а он не работает пока.
Наверно, из-за сертификата и из-за отсутствия NAT-T.

More information about the freebsd mailing list