Текущая версия 1.231 Изменения
Домашняя страница автор Маньюэл Каспер (Manuel Kasper).
Бета версия 1.3b4 Изменения
m0n0wall — бесплатный межсетевой экран, основанный на FreeBSD.
[more=Часть I. Установка и настройка.]
Исходные данные:
x86 - совместимый ПК (iCeleron 400МГц, 128Мб ОЗУ).
3.5" дисковод для дискет.
CD-ROM дисковод.
4 различных сетевых адаптера 1000/100/10.
Образ cdrom-1.21.iso (6Мб) записанный на CD.
1.44Мб 3.5" чистая дискета.
1.2.3.1/28 - IP-адрес роутера провайдера.
1.2.3.2/28 - внешний IP-адрес m0n0wall.
1.2.3.3/28 - IP-адрес почтового сервера.
1.2.3.4/28 - IP-адрес сервера имен.
1.2.3.5/28 - IP-адрес веб сервера.
172.16.1.0/24 - локальная сеть.
192.168.3.0/24 - демилитаризованная зона.
192.168.4.0/24 - иная локальная сеть.
IP-адреса присвоенные интерфейсам m0n0wall:
LAN: 172.16.1.254/24
WAN: 1.2.3.2/28
DMZ: 192.168.3.254/24
LAN2: 192.168.4.254/24
IP-адреса серверов расположенных в демилитаризованной зоне:
192.168.3.1 - сервер имен.
192.168.3.2 - веб сервер.
192.168.3.3 - почтовый сервер.
Готовые образы для встраиваемых платформ net45xx/net48xx/WRAP, а так же GENERIC-PC/CDROM можно скачать здесь.
Мною будет рассказано как организовать доступ в сеть интернет из двух локальных сетей, создать VPN-туннель с удаленным офисом и обеспечить работу почтового сервера, веб сервера и сервера имен расположенных в демилитаризованной зоне.
Установка.
Мною был выбран CDROM образ, поэтому речь пойдет именно об этом варианте установки.
После загрузки системы на экране появится следующая информация:
LAN IP address: 192.168.1.1
Port configuration:
LAN -> sis0
WAN -> sis1
m0n0wall console setup
**********************
1) Interfaces: assign network ports
2) Set up LAN IP address
3) Reset webGUI password
4) Reset to factory defaults
5) Reboot system
6) Ping host
Enter a number:
Сперва мы должны присвоить LAN интерфейсу необходимый IP-адрес.
Enter a number: 2
Enter the new LAN IP address: 172.16.1.254
Subnet masks are entered as bit counts (as in CIDR notation) in m0n0wall.
e.g. 255.255.255.0 = 24
255.255.0.0 = 16
255.0.0.0 = 8
Enter the new LAN subnet bit count: 24
Do you want to enable the DHCP server on LAN? (y/n) n
The LAN IP address has been set to 172.16.1.254/24.
You can now access the webGUI by opening the following URL
in your browser:
http://172.16.1.254/
Press ENTER to continue
После этого нам необходимо указать интерфейсы подключенные к WAN и LAN.
Enter a number: 1
Valid interfaces are:
rl0 xx:xx:xx:xx:xx:xx
sk0 xx:xx:xx:xx:xx:xx
fxp0 xx:xx:xx:xx:xx:xx
sk1 xx:xx:xx:xx:xx:xx
Do you want to set up VLANs first?
If you're not going to use VLANs, or only for optional interfaes, you
should say no here and use the webGUI to configure VLANs later, if required.
Do you want to set up VLANs now? (y/n) n
Enter the LAN interface name or 'a' for auto-detection: rl0
Enter the WAN interface name or 'a' for auto-detection
(or nothing if finished): sk0
Enter the Optional 1 interface name or 'a' for auto-detection
(or nothing if finished): fxp0
Enter the Optional 2 interface name or 'a' for auto-detection
(or nothing if finished): sk1
Enter the Optional 3 interface name or 'a' for auto-detection
(or nothing if finished):
The interfaces will be assigned as follows:
LAN -> rl0
WAN -> sk0
OPT1 -> fxp0 (OPT1)
OPT2 -> sk1 (OPT2)
The firewall will reboot after saving the changes.
Do you want to proceed? (y/n) y
The firewall is rebooting now
На этом этапе установку можно считать завершенной, теперь давайте перейдем непосредственно к настройке самого m0n0wall.
Не забудьте подсоединить LAN интерфейс m0n0wall к локальной сети либо на прямую патчкордом к другому ПК.
Настройка.
Со своей рабочей станции при помощи браузера вводим адрес LAN интерфейса m0n0wall, http://172.16.1.254
Для работы с веб-интерфейсом необходимо пройти авторизацию, по умолчанию, имя пользователя admin пароль mono
Первым делом заходим в System: "General Setup", где по своему желанию можем изменить Hostname и Domain.
В рассматриваемом мною примере используется статический IP-адрес выделенный провайдером, в связи с чем необходимо ввести IP-адреса сервера имен в поле DNS Servers 192.168.3.1 4.3.2.1 где,
192.168.3.1 - сервер имен расположенный в DMZ.
4.3.2.1 - внешний сервер имен провайдера.
Для большей безопасности необходимо изменить Username и Password принятые по умолчанию.
Изменить webGUI protocol на HTTPS.
Задать иной номер порта в поле webGUI port например: 445.
По желанию можно установить необходимую временную зону и сервер времени в полях Time zone и NTP time server.
По окончанию необходимо нажать на "Save" для сохранения изменений.
Следующим этапом переходим в раздел Interfaces: "WAN", где необходимо указать тип подключения, IP-адрес с маской сети и маршрутизатор провайдера.
Type -> Static
IP address -> 1.2.3.2/28
Gateway -> 1.2.3.1/28
По окончанию необходимо нажать на "Save" для сохранения изменений.
Далее следует переименовать и присвоить IP-адреса интерфейсам OPT1 и OPT2.
Interfaces: Optional 1 (OPT1)
Ставим галочку на против Enable Optional 1 interface
В поле "Description" вводим DMZ
Поле "Bridge with" оставляем как есть в none
В поле "IP address" вводим 192.168.3.254/24
По окончанию необходимо нажать на "Save" для сохранения изменений.
Interfaces: Optional 2 (OPT2)
Ставим галочку на против Enable Optional 2 interface
В поле "Description" вводим LAN2
Поле "Bridge with" оставляем как есть в none
В поле "IP address" вводим 192.168.4.254/24
По окончанию необходимо нажать на "Save" для сохранения изменений.
Далее перейдем к настройке правил брандмауэра и NAT.
Сперва заходим в раздел Firewall: NAT -> Server NAT.
Указываем внешний IP-адрес почтового сервера.
External IP address -> 1.2.3.3
Description -> Mail server
Указываем внешний IP-адрес сервера имен.
External IP address -> 1.2.3.4
Description -> Domain server
Указываем внешний IP-адрес веб сервера.
External IP address -> 1.2.3.5
Description -> Web server
Возможно потребуется настроить Services: "Proxy ARP", чтобы m0n0wall обрабатывал запросы идущие на IP-адреса отличные от WAN.
Interface -> WAN
Network ->
Type: Single Address
Address: 1.2.3.3
Description -> Mail server
Interface -> WAN
Network ->
Type: Single Address
Address: 1.2.3.4
Description -> Domain server
Interface -> WAN
Network ->
Type: Single Address
Address: 1.2.3.5
Description -> Web server
После того как "Server NAT" настроен, перейдем во вкладку Firewall: NAT -> Inbound.
Здесь нам необходимо ввести правила для почтового, веб сервера и сервера имен.
Interface -> WAN
External address -> 1.2.3.3 (Mail server)
Protocol -> TCP
External port range -> SMTP
NAT IP -> 192.168.3.3
Local port -> SMTP
Description -> allow SMTP to Mail server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule
Interface -> WAN
External address -> 1.2.3.3 (Mail server)
Protocol -> TCP
External port range -> POP3
NAT IP -> 192.168.3.3
Local port -> POP3
Description -> allow POP3 to Mail server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule
Interface -> WAN
External address -> 1.2.3.3 (Mail server)
Protocol -> TCP
External port range -> IMAP
NAT IP -> 192.168.3.3
Local port -> IMAP
Description -> allow IMAP to Mail server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule
Interface -> WAN
External address -> 1.2.3.3 (Mail server)
Protocol -> TCP
External port range -> 993
NAT IP -> 192.168.3.3
Local port -> 993
Description -> allow IMAPs to Mail server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule
Interface -> WAN
External address -> 1.2.3.3 (Mail server)
Protocol -> TCP
External port range -> 995
NAT IP -> 192.168.3.3
Local port -> 995
Description -> allow POP3s to Mail server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule
Interface -> WAN
External address -> 1.2.3.4 (Domain server)
Protocol -> TCP/UDP
External port range -> DNS
NAT IP -> 192.168.3.1
Local port -> DNS
Description -> allow DNS to Domain server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule
Interface -> WAN
External address -> 1.2.3.5 (Web server)
Protocol -> TCP
External port range -> HTTP
NAT IP -> 192.168.3.2
Local port -> HTTP
Description -> allow HTTP to Web server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule
Interface -> WAN
External address -> 1.2.3.5 (Web server)
Protocol -> TCP
External port range -> HTTPS
NAT IP -> 192.168.3.2
Local port -> HTTPS
Description -> allow HTTPs to Web server
Ставим галку на против Auto-add a firewall rule to permit traffic through this NAT rule
Теперь нам необходимо перейти в Firewall: Rules -> LAN и произвести настройку правил для локальной сети.
По умолчанию нет ограничений на весь исходящий трафик из локальной сети, на самом деле это не правильно, но для того чобы убедиться что все работает мы применим следующие правила:
Блокируем "мусор" идущий во внешнюю сеть.
Action -> Block
Interface -> LAN
Protocol -> TCP/UDP
Source -> LAN subnet
Source port range -> 135
Destination -> any
Destination port range -> any
Description -> Block NetBIOS service
Блокируем "мусор" идущий во внешнюю сеть.
Action -> Block
Interface -> LAN
Protocol -> TCP/UDP
Source -> LAN subnet
Source port range -> 137-139
Destination -> any
Destination port range -> any
Description -> Block NetBIOS services
Блокируем "мусор" идущий во внешнюю сеть.
Action -> Block
Interface -> LAN
Protocol -> TCP/UDP
Source -> LAN subnet
Source port range -> 445
Destination -> any
Destination port range -> any
Description -> Block NetBIOS service
Запрещаем исходящий трафик на 25 (SMTP) порт, за исключением нашего почтового сервера.
Action -> block
Interface -> LAN
Protocol -> TCP
Source -> LAN subnet
Source port range -> any
Destination ->
Ставим галку на против not
Type: Single host or Alias
Address: 192.168.3.3
Destination port range -> any
Description -> block SMTP to any *BUT* our Mail server
Открываем полный доступ за исключением доступа в сеть LAN2.
Action -> Pass
Interface -> LAN
Protocol -> any
Source -> LAN subnet
Source port range -> any
Destination ->
Ставим галку на против not
Type: LAN2 subnet
Destination port range -> any
Description -> permit LAN to any *BUT* LAN2
Правила для локальной сети LAN2 создаем по аналогии с правилами для сети LAN.
После этого нам необходимо перейти в Firewall: Rules -> DMZ и произвести настройку правил для демилитаризованной зоны.
Разрешаем исходящий трафик SMTP от почтового сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.3
Source port range -> SMTP
Destination -> any
Destination port range -> any
Description -> allow SMTP to any
Разрешаем исходящий трафик POP3 от почтового сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.3
Source port range -> POP3
Destination -> any
Destination port range -> any
Description -> allow POP3 to any
Разрешаем исходящий трафик IMAP от почтового сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.3
Source port range -> IMAP
Destination -> any
Destination port range -> any
Description -> allow IMAP to any
Разрешаем исходящий трафик IMAPs от почтового сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.3
Source port range -> 993
Destination -> any
Destination port range -> any
Description -> allow IMAPs to any
Разрешаем исходящий трафик POP3s от почтового сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.3
Source port range -> 995
Destination -> any
Destination port range -> any
Description -> allow POP3s to any
Разрешаем исходящий трафик от сервера имен.
Action -> Pass
Interface -> DMZ
Protocol -> TCP/UDP
Source ->
Type: Single host or Alias
Address: 192.168.3.1
Source port range -> DNS
Destination -> any
Destination port range -> any
Description -> allow DNS to any
Разрешаем исходящий трафик HTTP от веб сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.2
Source port range -> HTTP
Destination -> any
Destination port range -> any
Description -> allow HTTP to any
Разрешаем исходящий трафик HTTPs от веб сервера.
Action -> Pass
Interface -> DMZ
Protocol -> TCP
Source ->
Type: Single host or Alias
Address: 192.168.3.2
Source port range -> HTTPS
Destination -> any
Destination port range -> any
Description -> allow HTTPs to any
Запрещаем доступ в локальную сеть LAN.
Action -> Block
Interface -> DMZ
Protocol -> any
Source -> any
Source port range -> any
Destination -> LAN subnet
Description -> block DMZ traffic to LAN
Запрещаем доступ в локальную сеть LAN2.
Action -> Block
Interface -> DMZ
Protocol -> any
Source -> any
Source port range -> any
Destination -> LAN2 subnet
Description -> block DMZ traffic to LAN2
Разрешаем исходящий трафик DMZ куда угодно за исключением локальной сети LAN.
Action -> Pass
Interface -> DMZ
Protocol -> any
Source -> DMZ subnet
Source port range -> any
Destination ->
Ставим галку на против not
Type: LAN subnet
Destination port range -> any
Description -> permit DMZ traffic to any *BUT* LAN
Разрешаем исходящий трафик DMZ куда угодно за исключением локальной сети LAN2.
Action -> Pass
Interface -> DMZ
Protocol -> any
Source -> DMZ subnet
Source port range -> any
Destination ->
Ставим галку на против not
Type: LAN2 subnet
Destination port range -> any
Description -> permit DMZ traffic to any *BUT* LAN2
На данном этапе настройку системы можно считать завершенной, для применения новых параметров необходимо перезагрузить m0n0wall, для этого следует перейти в Diagnostics: "Reboot system" и нажать на "Yes".
Для проверки подключения кабелей к соответствующему интерфейсу можно прибегнуть к помощи консоли m0n0wall.[/more]
[more=Часть II. Настройка VPN-туннеля.]
Исходные данные:
ALT Linux Master 2.2
FreeSWAN 1.99
2.2.3.1/29 - IP-адрес роутера провайдера.
2.2.3.2/29 - внешний IP-адрес ALT Linux Master 2.2.
192.168.1.0/24 - локальная сеть.
Первым делом нам необходмо настроить FreeSWAN, каталог где расположены необходимые нам файлы находится здесь: /etc/freeswan
# cd /etc/freeswan/
# ls -l
total 2
-rw-r--r-- 1 root root 603 Jan 26 10:38 ipsec.conf
-rw------- 1 root root 53 Jan 26 10:39 ipsec.secrets
где, ipsec.conf файл конфигурации, ipsec.secrets файл содержащий информацию о ключе.
Файл ipsec.conf должен выглядеть примерно следующим образом:
# /etc/freeswan/ipsec.conf - FreeS/WAN IPsec configuration file
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
keyingtries=0
# disablearrivalcheck=no
# authby=rsasig
# leftrsasigkey=%dnsondemand
# rightrsasigkey=%dnsondemand
conn vpn1
type=tunnel
left=1.2.3.2
leftsubnet=172.16.1.0/24
leftnexthop=1.2.3.1
right=2.2.3.2
rightsubnet=192.168.1.0/24
rightnexthop=2.2.3.1
authby=secret
auth=esp
esp=3des-md5-96
pfs=no
auto=start
Файл ipsec.secret должен выглядеть примерно следующим образом:
# /etc/freeswan/ipsec.secret - FreeS/WAN IPsec secret file
2.2.3.2 1.2.3.2 : PSK "oursupersecretkey"
Собственно на этом настройка FreeSWAN завершена.
Теперь необходимо указать соответсвующие правила для брандмауэра чтобы обеспечить беспрепятственную работу VPN-туннеля.
# Разрешаем прохождение трафика с/на 500 порт по протоколу UDP.
iptables -A INPUT -p udp -i eth1 --sport 500 --dport 500 -j ACCEPT
iptables -A OUTPUT -p udp -o eth1 --sport 500 --dport 500 -j ACCEPT
# Разрешаем ESP протокол необходимый для шифрования и аутентификации.
iptables -A INPUT -p 50 -i eth1 -j ACCEPT
iptables -A OUTPUT -p 50 -o eth1 -j ACCEPT
# Разрешаем хождение трафика через ipsec0, ipsec1, ipsec2 и т.д... интерфейсы.
iptables -A INPUT -i ipsec+ -j ACCEPT
iptables -A OUTPUT -o ipsec+ -j ACCEPT
iptables -A FORWARD -i ipsec+ -j ACCEPT
eth1 - это внешний интерфейс, который соединен с интернет шлюзом провайдера
По мимо этого, необходимо отключить rp_filter, для того чтобы обеспечить нормальную работу IPSec.
for f in /proc/sys/net/ipv4/conf/*/rp_filter ; do
echo 0 > $f
done
После того как все выполнено мы можем перейти к настройке m0n0wall IPSec.
Переходим в раздел VPN: "IPsec -> Tunnels"
interface -> "WAN"
Local subnet: Type: "LAN subnet"
Remote subnet: 192.168.1.0
Remote gateway: 2.2.3.2
Description: ALT Linux VPN
Phase 1
Negotiation mode -> Main
My identifier: "My IP Address"
Encryption algorithm -> 3DES
Hash algorithm -> MD5
DH key group: "2"
Pre-shared key: oursupersecretkey
Phase 2
Protocol -> ESP
Encryption algorithms -> 3DES
Hash algorithms -> MD5
Сохраняем, затем ставим галочку на против Enable IPsec и жмем на "Save".
В разделе Diagnostics: "Logs -> System" можно увидеть следующие:
racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=6)
racoon: INFO: 192.168.4.254[500] used as isakmp port (fd=7)
racoon: INFO: 192.168.3.254[500] used as isakmp port (fd=8)
racoon: INFO: 1.2.3.2[500] used as isakmp port (fd=9)
racoon: INFO: 172.16.1.254[500] used as isakmp port (fd=10)
Для активации нашего VPN-туннеля необходимо на удаленном ALT Linux, запустить сервис ipsec, это можно выполнить командой:
# service ipsec start
Смотрим на результат:
# tail /var/log/message
ipsec_setup: Starting FreeS/WAN IPsec 1.99...
ipsec_setup: Using /lib/modules/2.4.20-alt5-up/kernel/net/ipsec/ipsec.o
kernel: klips_info:ipsec_init: KLIPS startup, FreeS/WAN IPSec version: 1.99
/etc/hotplug/net.agent: invoke ifup ipsec0
ipsec_setup: KLIPS debug `none'
/etc/hotplug/net.agent: invoke ifup ipsec1
/etc/hotplug/net.agent: invoke ifup ipsec2
/etc/hotplug/net.agent: invoke ifup ipsec3
ipsec_setup: KLIPS ipsec0 on eth1 2.2.3.2/255.255.255.248 broadcast 2.2.3.7
ipsec_setup: ...FreeS/WAN IPsec started
ipsec: ipsec setup succeeded
ipsec__plutorun: 104 "vpn1" #1: STATE_MAIN_I1: initiate
ipsec__plutorun: 003 "vpn1" #1: ignoring Vendor ID payload
ipsec__plutorun: 106 "vpn1" #1: STATE_MAIN_I2: sent MI2, expecting MR2
ipsec__plutorun: 108 "vpn1" #1: STATE_MAIN_I3: sent MI3, expecting MR3
ipsec__plutorun: 004 "vpn1" #1: STATE_MAIN_I4: ISAKMP SA established
ipsec__plutorun: 112 "vpn1" #2: STATE_QUICK_I1: initiate
ipsec__plutorun: 004 "vpn1" #2: STATE_QUICK_I2: sent QI2, IPsec SA established
# ipsec look
192.168.1.0/24 -> 172.16.1.0/24 => tun0x100d@1.2.3.2 esp0x4bc5295@1.2.3.2 (5)
ipsec0->eth1 mtu=16260(1443)->1500
esp0x161f184@1.2.3.2 ESP_3DES_HMAC_MD5: dir=out src=2.2.3.2 iv_bits=64bits iv=0x083784cc77363d6d ooowin=64 seq=2628 alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(318632,0,0)addtime(15647,0,0)usetime(1901,0,0)packets(2628,0,0) idle=1414
esp0x4bc5295@1.2.3.2 ESP_3DES_HMAC_MD5: dir=out src=2.2.3.2 iv_bits=64bits iv=0x7e70b6d253d1953e ooowin=64 seq=5 alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(616,0,0)addtime(1316,0,0)usetime(1312,0,0)packets(5,0,0) idle=502
esp0x6130a396@2.2.3.2 ESP_3DES_HMAC_MD5: dir=in src=1.2.3.2 iv_bits=64bits iv=0x11db43afab67becd ooowin=64 seq=2743 bit=0xffffffffffffffff alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(641607,0,0)addtime(15647,0,0)usetime(15232,0,0)packets(2743,0,0) idle=1588
esp0x6130a398@2.2.3.2 ESP_3DES_HMAC_MD5: dir=in src=1.2.3.2 iv_bits=64bits iv=0xe3ee06a2cb385326 ooowin=64 seq=6 bit=0x3f alen=128 aklen=128 eklen=192 life(c,s,h)=bytes(602,0,0)addtime(1316,0,0)usetime(1312,0,0)packets(6,0,0) idle=502
tun0x1009@2.2.3.2 IPIP: dir=in src=1.2.3.2 life(c,s,h)=bytes(641607,0,0)addtime(15647,0,0)usetime(15232,0,0)packets(2743,0,0) idle=1588
tun0x100a@1.2.3.2 IPIP: dir=out src=2.2.3.2 life(c,s,h)=bytes(228956,0,0)addtime(15647,0,0)usetime(1901,0,0)packets(2628,0,0) idle=1414
tun0x100c@2.2.3.2 IPIP: dir=in src=1.2.3.2 life(c,s,h)=bytes(602,0,0)addtime(1316,0,0)usetime(1312,0,0)packets(6,0,0) idle=502
tun0x100d@1.2.3.2 IPIP: dir=out src=2.2.3.2 life(c,s,h)=bytes(453,0,0)addtime(1316,0,0)usetime(1312,0,0)packets(5,0,0) idle=502
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 2.2.3.1 0.0.0.0 UG 0 0 0 eth1
172.16.1.0 2.2.3.1 255.255.255.0 UG 0 0 0 ipsec0
2.2.3.0 0.0.0.0 255.255.255.248 U 0 0 0 eth1
2.2.3.0 0.0.0.0 255.255.255.248 U 0 0 0 ipsec0
В разделе Diagnostics: "Logs -> System" можно увидеть следующие:
racoon: INFO: IPsec-SA request for 2.2.3.2 queued due to no phase1 found.
racoon: INFO: initiate new phase 1 negotiation: 1.2.3.2[500]<=>2.2.3.2[500]
racoon: INFO: begin Identity Protection mode.
racoon: INFO: ISAKMP-SA established 1.2.3.2[500]-2.2.3.2[500] spi:7e806a9ddc15b82d:64798000201142a6
racoon: INFO: initiate new phase 2 negotiation: 1.2.3.2[0]<=>2.2.3.2[0]
/kernel: WARNING: pseudo-random number generator used for IPsec processing
racoon: INFO: IPsec-SA established: ESP/Tunnel 2.2.3.2[0]->1.2.3.2[0] spi=79450773(0x4bc5295)
racoon: INFO: IPsec-SA established: ESP/Tunnel 1.2.3.2[0]->2.2.3.2[0] spi=1630577560(0x6130a398)
\>ping 192.168.1.1
Обмен пакетами с 192.168.1.1 по 32 байт:
Ответ от 192.168.1.1: число байт=32 время=2мс TTL=126
Ответ от 192.168.1.1: число байт=32 время=8мс TTL=126
Ответ от 192.168.1.1: число байт=32 время=4мс TTL=126
Ответ от 192.168.1.1: число байт=32 время=18мс TTL=126
Статистика Ping для 192.168.1.1:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 2мсек, Максимальное = 18 мсек, Среднее = 8 мсек
На этом установку VPN-туннеля можно считать завершенной.[/more]
)? Сейчас на диал-апе, тестировать все подряд - нет технической возможности... 