VS>>>> Hе получается к этой штуке подключиться, что бы там ни было, в VS>>>> конфиг ей не заглянешь. Как найти общее множество алгоритмов? В VS>>>> wireshark на этой стадии уже ничего не видно, т.е. "Encrypted VS>>>> data" Как я понимаю, доходит до фазы 2 и не дальше, точнее VS>>>> дальше NO-PROPOSAL-CHOSEN и INVALID-HASH-INFORMATION EG>>> Во-первых, в моём примере не зря уровень дебага был установлен в EG>>> debug2 (что даже больше подробностей даёт, чем debug). Типа EG>>> намёк. Там будут виден список алгоритмов, которые присылает в EG>>> IKE та сторона. VS>> Я запускал "racoon -Fdd", полагаю что это то же самое. Список VS>> алгоритмов там как-то невнятно виден, ну да ладно.
EG> Hадо привыкнуть к формату лога, да. Оно излишне многословно и EG> бестолково, но нужная информация там есть.
Не привык пока. Если я тебе лог мылом пришлю, покажешь где там про протоколы и про pfs_group ?
Обычно FreeBSD - Cisco, FreeBSD - FreeBSD работает как из пушки, первый раз в жизни такое чудо вижу.
VS>> Причина оказывается не в наборах VS>> криптографических алгоритмов. Я убрал "pfs_group 2" из sainfo, и VS>> IPSec поднялся, сформировались две SA, в ту и в обратную сторону.
VS>> Правда mpd5 через них не пашет, не дожидается ответа (expecting VS>> reply; none received), и в tcpdump вижу только исходящие от меня VS>> ESP пакеты, но не входящие. Где-то видимо режется. В pf разрешены VS>> ESP. Завтра буду разбираться. Или подниму transport mode с VS>> каким-нибудь ещё хостом вместо этого злосчастного VPN-gateway, VS>> проверю методом исключения, так сказать.
EG> Включи nat_traversal. В моём примере конфига не было лишних строк EG> и ты совершенно зря его игнорируешь. Там в комментарии был пример EG> для forced-режима, чтобы инкапсуляция была в UDP/4500 вместо ESP, EG> так больше шансов пролезть через интернет.
На моем хосте публичный адрес, но мысль понял. Попробую вечером. Если например этот netpoint сам себе esp фильтрует, должна такая картина быть.
EG> Тут всё более менее хорошо, кроме выбранной инкапсуляции ESP, EG> которая почему-то в твоём случае не пролазит через провайдера.
Вот сегодня вечером заведу с этого хоста IPSec до какого-нибудь подведомственного мне хоста под эхотагом, тут и узнаю, провайдер виноват или нет. Или провайдер, но не мой.
VS>> И что за прикол с "pfs_group 2" и почему оно даёт такой VS>> негативный эффект?
EG> Вероятно, remote его неподдерживает, только и всего. Подробней - надо EG> в логи смотреть.