[freebsd] ESP Tunnel for VPN

Eugene Grosbein eugen at grosbein.net
Wed Oct 31 17:11:30 EET 2018


31.10.2018 22:01, Nick Kostirya пишет:

>>> Привет.
>>> Настроил ipsec тунель между белой IP (сервер, freebsd) и серой (клиент, freebsd).
>>> Использовал racoon и Hybrid RSA.
>>> Есть пару вопросов.
>>>
>>> 1.
>>> Это нормально, что не пришлось включать nat_traversal в конфиге racoon?
>>> Сейчас клиент видит сервер (проходят ping и http запросы), а сервер не видит клиента. 
>>> Может что-то не настроил? Или так и должно быть?  
>>
>> Нет, это ненормально. Теоретически без NAT-T такой туннель можно завести,
>> практически для этого нужно заморачиваться с пробросом ESP-пакетов в NAT.
>> Лучше включить NAT-T, оно для того и придумано, чтобы упростить настройки.
> 
> Дело в том, что когда он включен (nat_traversal force; в обоих конфигах), то трафик вообще по туннелю не идет.

Ну так tcpdump в руки и вперёд. Для дампа зашифрованного трафика у нас есть device enc,
не забыть только сделать предварительно:

sysctl net.enc.in.ipsec_filter_mask=0
sysctl net.enc.out.ipsec_filter_mask=0
ifconfig enc0 up

И tcpdump -ni enc0 запускать без -p.

>>> 2.
>>> Пришлось отключить проверку сертификата из-за ошибки 
>>> ERROR: failed to get subjectAltName
>>> DEBUG: Discarding CERT: does not match ID.
>>> Никто не знает это особенность racoon или для других тоже нужно IP в SAN?  
>>
>> Если сертификат не проверяется, зачем он вообще нужен?
>> Используй длинный PSK со спецсимволами.
> Чтобы не патчить racoon для звездочки в pre_shared_key файле.

Начиная с ipsec-tools-0.8.2_6 это дефолт (включено по умолчанию),
даже порт не надо пересобирать, можно просто пакет ставить.


More information about the freebsd mailing list