https://www.opennet.ru/openforum/vsluhforumID1/91730.html Здравствуйте,<br><br>У меня встала задача поднять ipsec vpn тунель между двумя сетями (FreeBSD &lt;--&gt; Ubuntu).<br><br>Сейчас на стороне FreeBSD всё работает, тунель поднимается, со стороны FreeBSD есть пинг до внутренней сети ubuntu.<br><br>Проблемы на стороне Ubuntu, пинг который должен быть направлен в vpn улетает в интернет (в никуда).<br><br>Интернет на ubuntu получается через pppoe соединение.<br>Раздаётся в сеть через nat поднятым iptables<br><br>В фаерволе никаких заглушек нет, специально всё открыл чтобы добить вопрос.<br><br>Ниже конфиги и логи.<br><br>Нужны ли какие то специфичные маршруты?<br>Или ещё что.<br><br>Никак не могу понять почему нет пинга от сети ubuntu к FreeBSD, почему пакеты летят в интерент, а не заворачиваются в vpn.<br><br>Буду признателен за помощь.<br><br><br><br>aa.aa.aa.aa - внейший ip ubuntu<br>bb.bb.bb.bb - внешний ip FreeBSD<br>aa.aa.0.0/21 - внутренняя подсеть ubuntu<br>bb.bb.0.0/21 - внутренняя подсеть FreeBSD<br><br>Конфиги применяются командами:<br><br><br><br>setkey -f /etc/racoon/setkey.conf<br>racoon -f /etc/racoon/racoon.conf -l /var/l https://www.opennet.ru/openforum/vsluhforumID1/91730.html#4 Tue, 14 Jun 2011 03:13:01 GMT &gt;&gt; 16:41:18.321139 IP aa.aa.aa.aa &gt; bb.bb.0.1: ICMP echo request, id 768, seq 21003, <br>&gt;&gt; length 40 <br>&gt; это чито? aa.aa.aa.aa ??? внешний ip ubuntu? на pppoe? -- если <br>&gt; да -- то трафик попал под нат -- и под правила <br>&gt; инкапсуляции не попадёт -- соответственно не будет передан <br><br>Какой надо сделать маршрут? или правило IPTABLES чтобы трафик шёл по назначению?<br> https://www.opennet.ru/openforum/vsluhforumID1/91730.html#3 Fri, 10 Jun 2011 14:03:01 GMT <br>&gt; 16:41:18.321139 IP aa.aa.aa.aa &gt; bb.bb.0.1: ICMP echo request, id 768, seq 21003, <br>&gt; length 40 <br><br> это чито? aa.aa.aa.aa ??? внешний ip ubuntu? на pppoe? -- если да -- то трафик попал под нат -- и под правила инкапсуляции не попадёт -- соответственно не будет передан<br> https://www.opennet.ru/openforum/vsluhforumID1/91730.html#2 Thu, 09 Jun 2011 09:46:43 GMT &gt;[оверквотинг удален]<br>&gt;&gt; 2011-06-09 13:54:07: INFO: ISAKMP-SA established aa.aa.aa.aa[500]-83.220.61.226[500] <br>&gt;&gt; spi:1f12b80dfe8160aa:8ad815b5b962dec9 <br>&gt;&gt; 2011-06-09 13:54:08: INFO: respond new phase 2 negotiation: aa.aa.aa.aa[500]&lt;=&gt;bb.bb.bb.bb[500] <br>&gt;&gt; 2011-06-09 13:54:08: INFO: IPsec-SA established: ESP/Tunnel bb.bb.bb.bb[0]-&gt;aa.aa.aa.aa[0] <br>&gt;&gt; spi=31011214(0x1d9318e) <br>&gt;&gt; 2011-06-09 13:54:08: INFO: IPsec-SA established: ESP/Tunnel aa.aa.aa.aa[500]-&gt;bb.bb.bb.bb[500] <br>&gt;&gt; spi=93166794(0x58d9cca) <br>&gt; и чито не работает? тунель устанавливается.<br>&gt; tcpdump что говорит? пакеты иyкапсулированные летят?<br>&gt; конфиг со сторону фряхи?<br><br>конфиг с фряхи аналогичный только ipsec^<br><br>spdadd bb.bb.0.0/2110.5.0.0/21 any -P out ipsec esp/tunnel/bb.bb.bb.bb-aa.aa.aa.aa/require;<br>spdadd aa.aa.0.0/21 bb.bb.0.0/21any -P in ipsec esp/tunnel/aa.aa.aa.aa-bb.bb.bb.bb/require;<br><br>со стороны ubuntu:<br>eth1 - внутрений интерфейс<br><br>tcpdump -n -i eth1 host bb.bb.0.1<br>tcpdump: verbose output suppressed, use -v or -vv for full pr https://www.opennet.ru/openforum/vsluhforumID1/91730.html#1 Thu, 09 Jun 2011 09:22:21 GMT &gt;[оверквотинг удален]<br>&gt; 2011-06-09 13:54:07: INFO: respond new phase 1 negotiation: aa.aa.aa.aa[500]&lt;=&gt;83.220.61.226[500] <br>&gt; 2011-06-09 13:54:07: INFO: begin Identity Protection mode.<br>&gt; 2011-06-09 13:54:07: INFO: received Vendor ID: DPD <br>&gt; 2011-06-09 13:54:07: INFO: ISAKMP-SA established aa.aa.aa.aa[500]-83.220.61.226[500] <br>&gt; spi:1f12b80dfe8160aa:8ad815b5b962dec9 <br>&gt; 2011-06-09 13:54:08: INFO: respond new phase 2 negotiation: aa.aa.aa.aa[500]&lt;=&gt;bb.bb.bb.bb[500] <br>&gt; 2011-06-09 13:54:08: INFO: IPsec-SA established: ESP/Tunnel bb.bb.bb.bb[0]-&gt;aa.aa.aa.aa[0] <br>&gt; spi=31011214(0x1d9318e) <br>&gt; 2011-06-09 13:54:08: INFO: IPsec-SA established: ESP/Tunnel aa.aa.aa.aa[500]-&gt;bb.bb.bb.bb[500] <br>&gt; spi=93166794(0x58d9cca) <br><br>и чито не работает? тунель устанавливается.<br>tcpdump что говорит? пакеты иyкапсулированные летят?<br><br>конфиг со сторону фряхи?<br>