IPSEC Linux Ubuntu 10.04 DFL-800 DFL-210

Все оказалось достаточно просто, но понадобилась одна хитрость :) 

192.168.1.0/24 - ЦО

192.168.7.0/24 - ДЦ (eth0)

y.y.y.y - ДЦ (eth1)

x.x.x.x - ЦО 

И так, всё делаем по мануалу:

http://wiki.debian.org/IPsec
http://www.ibm.com/developerworks/ru/library/os-ipsec/?S_TACT=105AGX99&S_CMP=GR01

/etc/ipsec-tools.conf

#!/usr/sbin/setkey -f

flush;

spdflush;

spdadd 192.168.7.0/24 192.168.1.0/24 any -P out ipsec esp/tunnel/y.y.y.y-x.x.x.x/require;

spdadd 192.168.1.0/24 192.168.7.0/24 any -P in ipsec esp/tunnel/x.x.x.x-y.y.y.y/require;

racoon.conf:

path pre_shared_key "/etc/racoon/psk.txt";

path certificate "/etc/racoon/certs";

sainfo anonymous

{

        pfs_group 2;

        lifetime time 1 hour ;

        encryption_algorithm aes, 3des, blowfish 448, rijndael ;

        authentication_algorithm  hmac_md5, hmac_sha1 ;

        compression_algorithm deflate ;

}

include "/etc/racoon/x.x.x.x.conf";

include "/etc/racoon/z.z.z.z.conf";

x.x.x.x.conf:

remote x.x.x.x

{

        exchange_mode aggressive, main;

        my_identifier address;

        initial_contact on;

        proposal {

                encryption_algorithm aes;

                hash_algorithm sha1;

                authentication_method pre_shared_key;

                dh_group 2 ;

        }

}

Ну а теперь хитрость :) 

пакеты с самого сервера в тунель не попадали, хотя тунель фунциклировал, и между хостами в сетях связь была.

С самого IPSEC сервера Пинг проходил только если явно указать интерфейс ping -I eth0. Иначе все отправлялось на маршрут по умолчанию

Если добавить маршрут

ip route add 192.168.1.0/24 via 192.168.7.1 src 192.168.7.1 - вообще все переставало работать

ip route add 192.168.1.0/24 dev eth0 - тотже эффект, в общем не буду перечислять все варианты, укажу сразу тот что заработал:

ip route add 192.168.1.0/24 dev eth1 src 192.168.7.1

Добавил строчку в rc.local

Казалось бы мелочь ... а времени отняло ...