Mislim da sam nanjushio problem, mislim da je do masqarading-a ...
Posto sa 172.X.X.X masine inace imam izlaz na internet, osim paketa koji se gube na putu do ipsec-a, moguce je da u postroutingu
dolazi do izmene adrese ili sta vec, sad cu da pogledam dokumentaciju, pa da probam da skinem masq za tu kombinaciju ip-eva.
Inace, da ovaj thread bude iole od koristi ikome, ukratko cu opisati konfigurisanje racoon-a i sta sam uradio.
lokalna mreza je podignuta na standardni nacin znaci
192.168.0.0/24
sa tim da
na istom ethernetu funkcionise jos jedna mreza C klase (samo za 3 masine)
172.X.X.0/24
Za gateway (nat u slucaju mreze 192.168.0.0/24) na lokalnom mreznom interface-u imam 2 IP adrese
192.168.0.1 i 172.X.X.1 i externi interface PC (client peer u ipsec tunelu i javna adresa za gateway)
masina koja bi trebalo da komunicira preko tunela ima IP
172.X.X.2
moja masina (produkcija i remote administracija) ima na mreznom interface-u dve IP adrese
192.168.0.32 i 172.X.X.3 (za pristup i ovoj i onoj mrezi C klase)
e, sad, konfiguracija racoon-a je sledeca:
/etc/racoon/psk.txt
Code:
PS ovde_staviti_psk
/etc/racoon/racoon.conf
Code:
...
remote PS
{
my_identifier_address PC;
exchange_mode aggressive,main;
initial_contact off;
lifetime time 24 hour;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
lifetime time 8 hour;
compression_algorithm deflate;
}
...
/etc/racoon/setkey.conf
Code:
spdadd 172.X.X.2 10.Y.Y.Y any -P out ipsec esp/tunnel/PC-PS/require;
spdadd 10.Y.Y.Y 172.X.X.2 any -P in ipsec esp/tunnel/PS-PC/require;
naravno kod za pokretanje je
setkey -f /etc/racoon/setkey.conf
racoon
PC, PS, I ovi X, Y i Z u ip adresama su realni brojevi ....