У меня есть хост, который я пытаюсь настроить для ipsec. Но я нахожу в журнале ошибки, которые не имеют для меня особого смысла.
Система представляет собой боксы Rhel 5.5. Я последовал за Направления развертывания IPSec от RHEL для настройки хоста для подключения IPSec-соединения между хостами в двух разных локальных сетях. У одного хоста есть связанный интерфейс. После запуска tcpdump я не вижу трафика, идущего на второй хост.
Я перезапустил сетевые службы и увидел следующее:
Jul 31 14:27:17 n7pg01dimg001imon002 racoon: INFO: @(#)ipsec-tools 0.6.5 (http://ipsec-tools.sourceforge.net)
Jul 31 14:27:17 n7pg01dimg001imon002 racoon: INFO: @(#)This product linked OpenSSL 0.9.8e-fips-rhel5 01 Jul 2008 (http://www.openssl.org/)
Jul 31 14:27:17 n7pg01dimg001imon002 racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=10)
Jul 31 14:27:17 n7pg01dimg001imon002 racoon: INFO: 127.0.0.1[500] used for NAT-T
Jul 31 14:27:17 n7pg01dimg001imon002 racoon: INFO: 10.x.x.x[500] used as isakmp port (fd=11)
Jul 31 14:27:17 n7pg01dimg001imon002 racoon: INFO: 10.x.x.x[500] used for NAT-T
Jul 31 14:54:19 n7pg01dimg001imon002 racoon: INFO: unsupported PF_KEY message REGISTER
Jul 31 14:54:19 n7pg01dimg001imon002 racoon: INFO: unsupported PF_KEY message X_SPDDELETE2
Jul 31 14:54:19 n7pg01dimg001imon002 racoon: INFO: unsupported PF_KEY message REGISTER
Jul 31 14:54:19 n7pg01dimg001imon002 racoon: ERROR: such policy already exists. anyway replace it: 10.x.x.x/x[0] 174.x.x.x/32[0] proto=any dir=out
Jul 31 14:54:19 n7pg01dimg001imon002 racoon: ERROR: such policy already exists. anyway replace it: 10.x.x.x/x[0] 174.x.x.x/32[0] proto=any dir=in
Jul 31 14:54:19 n7pg01dimg001imon002 racoon: ERROR: such policy already exists. anyway replace it: 10.x.x.x/x[0] 174.x.x.x/32[0] proto=any dir=fwd
В какой-то момент он проходит через NAT.