Люди, помогите кто может.
Нужно получить доступ к корпоративной сетке через VPN с домашнего ПК, сами знаете для чего :о)
Есть вот такая сетка: aaa.aaa.aaa.0/24. Она спрятана за гейтом с адресом 111.111.111.111
Есть домашний ПК с adsl-модемом. У модема два сетевых интерфейса. Внутренний интерфейс модема и сетевой интерфейс ПК принадлежат к сети bbb.bbb.bbb.0/24. Адрес внешнего интерфейса модема: 222.222.222.222.
На домашнем ПК в /etc/ipsec-tools.conf вписал:
#!/usr/sbin/setkey -f
# Flush the SAD and SPD flush; spdflush;
# ESP SAs doing encryption using 192 bit long keys (168 + 24 parity) # and authentication using 128 bit long keys add 111.111.111.111 222.222.222.222 esp 0x201 -m tunnel -E 3des-cbc 0x7aeaca3f87d060a12f4a4487d5a5c3355920fae69a96c831 -A hmac-md5 0xc0291ff014dccdd03874d9e8e4cdf3e6;
add 222.222.222.222 111.111.111.111 esp 0x301 -m tunnel -E 3des-cbc 0xf6ddb555acfd9d77b03ea3843f2653255afe8eb5573965df -A hmac-md5 0x96358c90783bbfa3d7b196ceabe0536b;
# Security policies spdadd bbb.bbb.bbb.0/24 aaa.aaa.aaa.0/24 any -P in ipsec esp/tunnel/222.222.222.222-111.111.111.111/require;
spdadd aaa.aaa.aaa.0/24 bbb.bbb.bbb.0/24 any -P out ipsec esp/tunnel/111.111.111.111-222.222.222.222/require;
На гейте фирмы записал то же самое, заменив IN на OUT - и наоборот.
Радостно запустил setkey из init.d, и ничего воодушевляющего не увидел.
Возможные косяки:
1. Надо было использовать NAT-Traversal? Изменяется заголовок пакета, и контрольная сумма меняется? Но была мудрая мысль о том, что NAT-Traversal нужен, если два клиента из под одного NAT пытаются создавать туннели. К чему была эта фраза?
2. Что-то с ip напутал :о( ?
3. Косяк с route? Версия ipsec-tools > 0.5.
4. Всё вышеперечисленное?
5. Всё вышеперечисленное, и ещё что-нибудь?
Заранее благодарен :о)
