FreeBSDとsrt100の間でIPsec接続をいろいろ試行錯誤しているのだけれど。
racoon(ipsec-tools)を使った接続は、FreeBSD Handbookにも書いてあるし、比較的すんなりと繋がったのだけれど、racoon2を使った接続が、どうもうまくいかない。
で、いろいろ試したあげく、諦めかけたときに、たまたまつながった。でも、再現性がない。
たぶん、直前にracoonで繋がっていた状態が残っていて、それをたまたまracoon2が引き継いでしまったのだと思う。
ちなみにそのときの setkey -D の内容は
YYY.YYY.YYY.YYY XXX.XXX.XXX.XXX
esp mode=tunnel spi=3273150635(0xc31850ab) reqid=0(0x00000000)
E: rijndael-cbc f7a3e370 93e2bb73 c0d5b2eb b16801ef
A: hmac-sha1 2021a404 62f3a2dc 2e02e58e 189e595f 0f1f65a7
seq=0x00000022 replay=4 flags=0x00000000 state=mature
created: Mar 21 07:40:48 2011 current: Mar 21 07:55:20 2011
diff: 872(s) hard: 28800(s) soft: 28800(s)
last: Mar 21 07:45:48 2011 hard: 0(s) soft: 0(s)
current: 4816(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 34 hard: 0 soft: 0
sadb_seq=1 pid=1225 refcnt=3
XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY
esp mode=tunnel spi=253638793(0x0f1e3889) reqid=0(0x00000000)
E: rijndael-cbc 04b33ec7 5b55b3aa f32696f0 339d117b
A: hmac-sha1 e19c8bd3 ec44ed27 b9fd5def c32f16cf 75c07761
seq=0x0000000f replay=4 flags=0x00000000 state=mature
created: Mar 21 07:40:48 2011 current: Mar 21 07:55:20 2011
diff: 872(s) hard: 28800(s) soft: 28800(s)
last: Mar 21 07:45:42 2011 hard: 0(s) soft: 0(s)
current: 1472(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 15 hard: 0 soft: 0
sadb_seq=0 pid=1225 refcnt=1
直前にした事といえば、tunnel_ike.confで、acceptable_kmp { ikev1; };ikev1 { ... exchange_mode aggressive; ...} にして spmd を起動したこと。同じ設定で iked を起動したら、aggressive モードはサポートされていないと怒られたので、exchange mode main; に戻して iked を再起動したこと。
この時点で IPsec接続が確認された。( が、同じことを繰り返しても、今は接続できていない。)
racoon2(=iked+spmd)を試す直前には、racoonで接続していた。
検索しても、racoon2での接続成功例は見当たらないようなので、何かの参考になるかと思って記録しておく。
[追記] いろいろ SRT100の設定をいじってみたら、何回かに一度は繋がるようになった。aggressive modeはどうも関係なさそう。
[追記] ikev1ではそれなりの確度で接続できるようになった。ルータのリセット後の自動再接続などがまだ不安定。ikev2ではまだ成功していない。
0 件のコメント:
コメントを投稿