рдкрд░рд┐рд╕реНрдерд┐рддреА
рд╕реБрдЯреНрдЯреАрдЪрд╛ рджрд┐рд╡рд╕. рдореА рдХреЙрдлреА рдкрд┐рддреЛ. рд╡рд┐рджреНрдпрд╛рд░реНрдереНрдпрд╛рдиреЗ рджреЛрди рдмрд┐рдВрджреВрдВрдордзреНрдпреЗ VPN рдХрдиреЗрдХреНрд╢рди рд╕реЗрдЯ рдХреЗрд▓реЗ рдЖрдгрд┐ рдЧрд╛рдпрдм рдЭрд╛рд▓реЗ. рдореА рддрдкрд╛рд╕рддреЛ: рдЦрд░реЛрдЦрд░ рдПрдХ рдмреЛрдЧрджрд╛ рдЖрд╣реЗ, рдкрд░рдВрддреБ рдмреЛрдЧрджреНрдпрд╛рдд рдХреЛрдгрддреАрд╣реА рд░рд╣рджрд╛рд░реА рдирд╛рд╣реА. рд╡рд┐рджреНрдпрд╛рд░реНрдереА рдХреЙрд▓рд▓рд╛ рдЙрддреНрддрд░ рджреЗрдд рдирд╛рд╣реА.
рдореА рдХреЗрдЯрд▓ рд▓рд╛рд╡рд▓реА рдЖрдгрд┐ S-Terra рдЧреЗрдЯрд╡реЗ рдЯреНрд░рдмрд▓рд╢реВрдЯрд┐рдВрдЧрдордзреНрдпреЗ рдбреБрдмрдХреА рдорд╛рд░рд▓реА. рдореА рдорд╛рдЭрд╛ рдЕрдиреБрднрд╡ рдЖрдгрд┐ рдХрд╛рд░реНрдпрдкрджреНрдзрддреА рд╢реЗрдЕрд░ рдХрд░рддреЛ.
рд╕реНрд░реЛрдд рдбреЗрдЯрд╛
рднреМрдЧреЛрд▓рд┐рдХрджреГрд╖реНрдЯреНрдпрд╛ рд╡рд┐рднрдХреНрдд рдХреЗрд▓реЗрд▓реНрдпрд╛ рджреЛрди рд╕рд╛рдЗрдЯ GRE рдмреЛрдЧрджреНрдпрд╛рдиреЗ рдЬреЛрдбрд▓реЗрд▓реНрдпрд╛ рдЖрд╣реЗрдд. GRE рдПрдирдХреНрд░рд┐рдкреНрдЯ рдХрд░рдгреЗ рдЖрд╡рд╢реНрдпрдХ рдЖрд╣реЗ:
рдореА GRE рдмреЛрдЧрджреНрдпрд╛рдЪреА рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рддрдкрд╛рд╕рдд рдЖрд╣реЗ. рд╣реЗ рдХрд░рдгреНрдпрд╛рд╕рд╛рдареА, рдореА рдбрд┐рд╡реНрд╣рд╛рдЗрд╕ R1 рд╡рд░реВрди рдбрд┐рд╡реНрд╣рд╛рдЗрд╕ R2 рдЪреНрдпрд╛ GRE рдЗрдВрдЯрд░рдлреЗрд╕рд╡рд░ рдкрд┐рдВрдЧ рдЪрд╛рд▓рд╡рддреЛ. рд╣реЗ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рдирд╕рд╛рдареА рд▓рдХреНрд╖реНрдп рд░рд╣рджрд╛рд░реА рдЖрд╣реЗ. рдЙрддреНрддрд░ рдирд╛рд╣реА:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 0 received, 100% packet loss, time 3057msрдореА Gate1 рдЖрдгрд┐ Gate2 рд╡рд░реАрд▓ рд▓реЙрдЧ рдкрд╛рд╣рддреЛ. рд▓реЙрдЧ рдЖрдирдВрджрд╛рдиреЗ рдЕрд╣рд╡рд╛рд▓ рджреЗрддреЛ рдХреА IPsec рдмреЛрдЧрджрд╛ рдпрд╢рд╕реНрд╡реАрд░рд┐рддреНрдпрд╛ рд▓рд╛рдБрдЪ рдЭрд╛рд▓рд╛, рдХреЛрдгрддреАрд╣реА рд╕рдорд╕реНрдпрд╛ рдирд╛рд╣реА:
root@Gate1:~# cat /var/log/cspvpngate.log
Aug 5 16:14:23 localhost vpnsvc: 00100119 <4:1> IPSec connection 5 established, traffic selector 172.17.0.1->172.16.0.1, proto 47, peer 10.10.10.251, id "10.10.10.251", Filter
IPsec:Protect:CMAP:1:LIST, IPsecAction IPsecAction:CMAP:1, IKERule IKERule:CMAP:1рдЧреЗрдЯ 1 рд╡рд░реАрд▓ IPsec рдмреЛрдЧрджреНрдпрд╛рдЪреНрдпрд╛ рдЖрдХрдбреЗрд╡рд╛рд░реАрдордзреНрдпреЗ рдорд▓рд╛ рджрд┐рд╕рддреЗ рдХреА рддреЗрдереЗ рдЦрд░реЛрдЦрд░ рдПрдХ рдмреЛрдЧрджрд╛ рдЖрд╣реЗ, рдкрд░рдВрддреБ R╤Бvd рдХрд╛рдЙрдВрдЯрд░ рд╢реВрдиреНрдпрд╛рд╡рд░ рд░реАрд╕реЗрдЯ рдХреЗрд▓рд╛ рдЖрд╣реЗ:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1070 1014
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 3 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 480 0рдорд▓рд╛ S-Terra рдЪрд╛ рдЕрд╕рд╛ рддреНрд░рд╛рд╕ рд╣реЛрддреЛ: R1 рддреЗ R2 рдпрд╛ рдорд╛рд░реНрдЧрд╛рд╡рд░ рд▓рдХреНрд╖реНрдп рдкреЕрдХреЗрдЯ рдХреБрдареЗ рд╣рд░рд╡рд▓реЗ рдЖрд╣реЗрдд рддреЗ рдореА рд╢реЛрдзрддреЛ. рдкреНрд░рдХреНрд░рд┐рдпреЗрдд (рд╕реНрдкреЙрдпрд▓рд░) рдорд▓рд╛ рдЪреВрдХ рд╕рд╛рдкрдбреЗрд▓.
рд╕рдорд╕реНрдпрд╛рдирд┐рд╡рд╛рд░рдг
рдкрд╛рдпрд░реА 1. R1 рдХрдбреВрди рдЧреЗрдЯ1 рд▓рд╛ рдХрд╛рдп рдорд┐рд│рддреЗ
рдореА рдЕрдВрдЧрднреВрдд рдкреЕрдХреЗрдЯ рд╕реНрдирд┐рдлрд░ рд╡рд╛рдкрд░рддреЛ - tcpdump. рдореА рдЗрдВрдЯрд░рдлреЗрд╕рд╡рд░ рд╕реНрдирд┐рдлрд░ рд▓рд╛рдБрдЪ рдХрд░рддреЛ (рд╕рд┐рд╕реНрдХреЛ рд╕рд╛рд░рдЦреНрдпрд╛ рдиреЛрдЯреЗрд╢рдирдордзреНрдпреЗ Gi0/1 рдХрд┐рдВрд╡рд╛ рдбреЗрдмрд┐рдпрди OS рдиреЛрдЯреЗрд╢рдирдордзреНрдпреЗ eth1) рдЗрдВрдЯрд░рдлреЗрд╕:
root@Gate1:~# tcpdump -i eth1
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth1, link-type EN10MB (Ethernet), capture size 262144 bytes
14:53:38.879525 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 1, length 64
14:53:39.896869 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 2, length 64
14:53:40.921121 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 3, length 64
14:53:41.944958 IP 172.16.0.1 > 172.17.0.1: GREv0, key=0x1, length 92: IP 1.1.1.1 > 1.1.1.2: ICMP echo request, id 2083, seq 4, length 64рдореА рдкрд╛рд╣рддреЛ рдХреА Gate1 рд▓рд╛ R1 рдХрдбреВрди GRE рдкреЕрдХреЗрдЯ рдорд┐рд│рддрд╛рдд. рдореА рдкреБрдвреЗ рдЬрд╛рдд рдЖрд╣реЗ.
рдкрд╛рдпрд░реА 2. GRE рдкреЕрдХреЗрдЯрд╕рд╣ рдЧреЗрдЯ1 рдХрд╛рдп рдХрд░рддреЛ
klogview рдпреБрдЯрд┐рд▓рд┐рдЯреА рд╡рд╛рдкрд░реВрди рдореА S-Terra VPN рдбреНрд░рд╛рдпрд╡реНрд╣рд░рдордзреНрдпреЗ GRE рдкреЕрдХреЗрдЯреНрд╕рдордзреНрдпреЗ рдХрд╛рдп рд╣реЛрдд рдЖрд╣реЗ рддреЗ рдкрд╛рд╣реВ рд╢рдХрддреЛ:
root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 4 "IPsecPolicy:CMAP", filter 8, event id IPsec:Protect:CMAP:1:LIST, status PASS
encapsulating with SA 31: 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0
passed out packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: encapsulated
рдореА рдкрд╛рд╣рддреЛ рдХреА рд▓рдХреНрд╖реНрдп GRE рд░рд╣рджрд╛рд░реА (рдкреНрд░реЛрдЯреЛ 47) 172.16.0.1 -> 172.17.0.1 рд╣реЗ CMAP рдХреНрд░рд┐рдкреНрдЯреЛ рдирдХрд╛рд╢рд╛рдордзреАрд▓ LIST рдПрдирдХреНрд░рд┐рдкреНрд╢рди рдирд┐рдпрдорд╛рдВрддрд░реНрдЧрдд рдЖрд▓реЗ рд╣реЛрддреЗ рдЖрдгрд┐ рдПрдиреНрдХреЕрдкреНрд╕реНрдпреБрд▓реЗрдЯ рдХреЗрд▓реЗ рд╣реЛрддреЗ. рдкреБрдвреЗ, рдкреЕрдХреЗрдЯ рд░рд╛рдЙрдЯ рдХреЗрд▓реЗ (рдкрд╛рд╕ рдЖрдКрдЯ). klogview рдЖрдЙрдЯрдкреБрдЯрдордзреНрдпреЗ рдХреЛрдгрддрд╛рд╣реА рдкреНрд░рддрд┐рд╕рд╛рдж рд░рд╣рджрд╛рд░реА рдирд╛рд╣реА.
рдореА Gate1 рдбрд┐рд╡реНрд╣рд╛рдЗрд╕рд╡рд░реАрд▓ рдкреНрд░рд╡реЗрд╢ рд╕реВрдЪреА рддрдкрд╛рд╕рдд рдЖрд╣реЗ. рдорд▓рд╛ рдПрдХ рдкреНрд░рд╡реЗрд╢ рд╕реВрдЪреА LIST рджрд┐рд╕рдд рдЖрд╣реЗ, рдЬреА рдПрдирдХреНрд░рд┐рдкреНрд╢рдирд╕рд╛рдареА рд▓рдХреНрд╖реНрдп рд░рд╣рджрд╛рд░реА рдкрд░рд┐рднрд╛рд╖рд┐рдд рдХрд░рддреЗ, рдпрд╛рдЪрд╛ рдЕрд░реНрде рдлрд╛рдпрд░рд╡реЙрд▓ рдирд┐рдпрдо рдХреЙрдиреНрдлрд┐рдЧрд░ рдХреЗрд▓реЗрд▓реЗ рдирд╛рд╣реАрдд:
Gate1#show access-lists
Extended IP access list LIST
10 permit gre host 172.16.0.1 host 172.17.0.1рдирд┐рд╖реНрдХрд░реНрд╖: рд╕рдорд╕реНрдпрд╛ Gate1 рдбрд┐рд╡реНрд╣рд╛рдЗрд╕рдордзреНрдпреЗ рдирд╛рд╣реА.
klogview рдмрджреНрджрд▓ рдЕрдзрд┐рдХ
рд╡реНрд╣реАрдкреАрдПрди рдбреНрд░рд╛рдпрд╡реНрд╣рд░ рд╕рд░реНрд╡ рдиреЗрдЯрд╡рд░реНрдХ рдЯреНрд░реЕрдлрд┐рдХ рд╣рд╛рддрд╛рд│рддреЛ, рдлрдХреНрдд рдХреВрдЯрдмрджреНрдз рдХрд░рдгреЗ рдЖрд╡рд╢реНрдпрдХ рдЕрд╕рд▓реЗрд▓реА рд░рд╣рджрд╛рд░реА рдирд╛рд╣реА. рдЬрд░ рд╡реНрд╣реАрдкреАрдПрди рдбреНрд░рд╛рдпрд╡реНрд╣рд░рдиреЗ рдиреЗрдЯрд╡рд░реНрдХ рдЯреНрд░реЕрдлрд┐рдХрд╡рд░ рдкреНрд░рдХреНрд░рд┐рдпрд╛ рдХреЗрд▓реА рдЕрд╕реЗрд▓ рдЖрдгрд┐ рддреА рдПрдиреНрдХреНрд░рд┐рдкреНрдЯ рди рдХрд░рддрд╛ рдкреНрд░рд╕рд╛рд░рд┐рдд рдХреЗрд▓реА рдЕрд╕реЗрд▓ рддрд░ рд╣реЗ klogview рдордзреНрдпреЗ рджреГрд╢реНрдпрдорд╛рди рд╕рдВрджреЗрд╢ рдЖрд╣реЗрдд:
root@R1:~# ping 172.17.0.1 -c 4root@Gate1:~# klogview -f 0xffffffff
filtration result for out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: chain 4 "IPsecPolicy:CMAP": no match
passed out packet 172.16.0.1->172.17.0.1, proto 1, len 84, if eth0: filteredCMAP рдХреНрд░рд┐рдкреНрдЯреЛ рдХрд╛рд░реНрдбрдЪреНрдпрд╛ рдПрдиреНрдХреНрд░рд┐рдкреНрд╢рди рдирд┐рдпрдорд╛рдВрдордзреНрдпреЗ ICMP рдЯреНрд░реЕрдлрд┐рдХ (рдкреНрд░реЛрдЯреЛ 1) 172.16.0.1->172.17.0.1 рд╕рдорд╛рд╡рд┐рд╖реНрдЯ рдХреЗрд▓реЗрд▓реЗ рдирд╛рд╣реА (рдЬреБрд│рдд рдирд╛рд╣реА) рдЕрд╕реЗ рдорд▓рд╛ рджрд┐рд╕рддреЗ. рдкреЕрдХреЗрдЯ рд╕реНрдкрд╖реНрдЯ рдордЬрдХреБрд░рд╛рдд рд░рд╛рдЙрдЯ рдХреЗрд▓реЗ (рдкрд╛рд╕ рдЖрдКрдЯ).
рдкрд╛рдпрд░реА 3. рдЧреЗрдЯ2 рд▓рд╛ рдЧреЗрдЯ1 рдХрдбреВрди рдХрд╛рдп рдорд┐рд│рддреЗ
рдореА WAN (eth0) Gate2 рдЗрдВрдЯрд░рдлреЗрд╕рд╡рд░ рд╕реНрдирд┐рдлрд░ рд▓рд╛рдБрдЪ рдХрд░рддреЛ:
root@Gate2:~# tcpdump -i eth0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes
16:05:45.104195 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x1), length 140
16:05:46.093918 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x2), length 140
16:05:47.117078 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x3), length 140
16:05:48.141785 IP 10.10.10.251 > 10.10.10.252: ESP(spi=0x30088112,seq=0x4), length 140рдореА рдкрд╛рд╣рддреЛ рдХреА Gate2 рд▓рд╛ Gate1 рдХрдбреВрди ESP рдкреЕрдХреЗрдЯ рдорд┐рд│рддрд╛рдд.
рдкрд╛рдпрд░реА 4. рдИрдПрд╕рдкреА рдкреЕрдХреЗрдЬреЗрд╕рд╕рд╣ рдЧреЗрдЯ2 рдХрд╛рдп рдХрд░рддреЗ
рдореА Gate2 рд╡рд░ klogview рдпреБрдЯрд┐рд▓рд┐рдЯреА рд▓рд╛рдБрдЪ рдХрд░рддреЛ:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: chain 17 "FilterChain:L3VPN", filter 21, status DROP
dropped in packet 10.10.10.251->10.10.10.252, proto 50, len 160, if eth0: firewall
рдореА рдкрд╛рд╣рддреЛ рдХреА рдлрд╛рдпрд░рд╡реЙрд▓ рдирд┐рдпрдо (L50VPN) рджреНрд╡рд╛рд░реЗ ESP рдкреЕрдХреЗрдЯ (рдкреНрд░реЛрдЯреЛ 3) рд╕реЛрдбрд▓реЗ (DROP) рд╣реЛрддреЗ. рдореА рдЦрд╛рддреНрд░реА рдХрд░рддреЛ рдХреА Gi0/0 рд▓рд╛ рдкреНрд░рддреНрдпрдХреНрд╖рд╛рдд L3VPN рдНрдХреНрд╕реЗрд╕ рд╕реВрдЪреА рд╕рдВрд▓рдЧреНрди рдЖрд╣реЗ:
Gate2#show ip interface gi0/0
GigabitEthernet0/0 is up, line protocol is up
Internet address is 10.10.10.252/24
MTU is 1500 bytes
Outgoing access list is not set
Inbound access list is L3VPNрдореА рд╕рдорд╕реНрдпрд╛ рд╢реЛрдзрд▓реА.
рдкрд╛рдпрд░реА 5. рдкреНрд░рд╡реЗрд╢ рд╕реВрдЪреАрдордзреНрдпреЗ рдХрд╛рдп рдЪреВрдХ рдЖрд╣реЗ
L3VPN рдкреНрд░рд╡реЗрд╢ рд╕реВрдЪреА рдХрд╛рдп рдЖрд╣реЗ рддреЗ рдореА рдкрд╛рд╣рддреЛ:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit icmp host 10.10.10.251 anyрдореА рдкрд╛рд╣рддреЛ рдХреА ISAKMP рдкреЕрдХреЗрдЯреНрд╕рдирд╛ рдкрд░рд╡рд╛рдирдЧреА рдЖрд╣реЗ, рдореНрд╣рдгреВрди рдПрдХ IPsec рдмреЛрдЧрджрд╛ рд╕реНрдерд╛рдкрд┐рдд рдХреЗрд▓рд╛ рдЖрд╣реЗ. рдкрд░рдВрддреБ ESP рд╕рд╛рдареА рдХреЛрдгрддрд╛рд╣реА рд╕рдХреНрд╖рдо рдирд┐рдпрдо рдирд╛рд╣реА. рд╡рд░рд╡рд░ рдкрд╛рд╣рддрд╛, рд╡рд┐рджреНрдпрд╛рд░реНрдереНрдпрд╛рдиреЗ icmp рдЖрдгрд┐ esp рдордзреНрдпреЗ рдЧреЛрдВрдзрд│ рдШрд╛рддрд▓рд╛.
рдкреНрд░рд╡реЗрд╢ рд╕реВрдЪреА рд╕рдВрдкрд╛рджрд┐рдд рдХрд░рдгреЗ:
Gate2(config)#
ip access-list extended L3VPN
no 30
30 permit esp host 10.10.10.251 anyрдкрд╛рдпрд░реА 6. рдХрд╛рд░реНрдпрдХреНрд╖рдорддрд╛ рддрдкрд╛рд╕рдд рдЖрд╣реЗ
рд╕рд░реНрд╡ рдкреНрд░рдердо, рдореА рдЦрд╛рддреНрд░реА рдХрд░рддреЛ рдХреА L3VPN рдкреНрд░рд╡реЗрд╢ рд╕реВрдЪреА рдпреЛрдЧреНрдп рдЖрд╣реЗ:
Gate2#show access-list L3VPN
Extended IP access list L3VPN
10 permit udp host 10.10.10.251 any eq isakmp
20 permit udp host 10.10.10.251 any eq non500-isakmp
30 permit esp host 10.10.10.251 anyрдЖрддрд╛ рдореА рдбрд┐рд╡реНрд╣рд╛рдЗрд╕ R1 рд╡рд░реВрди рд▓рдХреНрд╖реНрдп рд░рд╣рджрд╛рд░реА рд▓рд╛рдБрдЪ рдХрд░рддреЛ:
root@R1:~# ping 1.1.1.2 -c 4
PING 1.1.1.2 (1.1.1.2) 56(84) bytes of data.
64 bytes from 1.1.1.2: icmp_seq=1 ttl=64 time=35.3 ms
64 bytes from 1.1.1.2: icmp_seq=2 ttl=64 time=3.01 ms
64 bytes from 1.1.1.2: icmp_seq=3 ttl=64 time=2.65 ms
64 bytes from 1.1.1.2: icmp_seq=4 ttl=64 time=2.87 ms
--- 1.1.1.2 ping statistics ---
4 packets transmitted, 4 received, 0% packet loss, time 3006ms
rtt min/avg/max/mdev = 2.650/10.970/35.338/14.069 msрд╡рд┐рдЬрдп. рдЬреАрдЖрд░рдИ рдмреЛрдЧрджрд╛ рдЙрднрд╛рд░рдгреНрдпрд╛рдд рдЖрд▓рд╛ рдЖрд╣реЗ. IPsec рдЖрдХрдбреЗрд╡рд╛рд░реАрдордзреНрдпреЗ рдЗрдирдХрдорд┐рдВрдЧ рдЯреНрд░реЕрдлрд┐рдХ рдХрд╛рдЙрдВрдЯрд░ рд╢реВрдиреНрдп рдирд╛рд╣реА:
root@Gate1:~# sa_mgr show
ISAKMP sessions: 0 initiated, 0 responded
ISAKMP connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) State Sent Rcvd
1 3 (10.10.10.251,500)-(10.10.10.252,500) active 1474 1350
IPsec connections:
Num Conn-id (Local Addr,Port)-(Remote Addr,Port) Protocol Action Type Sent Rcvd
1 4 (172.16.0.1,*)-(172.17.0.1,*) 47 ESP tunn 1920 480рдЧреЗрдЯ2 рдЧреЗрдЯрд╡реЗрд╡рд░, klogview рдЖрдЙрдЯрдкреБрдЯрдордзреНрдпреЗ, рд╕рдВрджреЗрд╢ рджрд┐рд╕рд▓реЗ рдХреА рд▓рдХреНрд╖реНрдп рд░рд╣рджрд╛рд░реА 172.16.0.1->172.17.0.1 рдпрд╢рд╕реНрд╡реАрд░рд┐рддреНрдпрд╛ CMAP рдХреНрд░рд┐рдкреНрдЯреЛ рдирдХрд╛рд╢рд╛рдордзреАрд▓ LIST рдирд┐рдпрдорд╛рджреНрд╡рд╛рд░реЗ рдбрд┐рдХреНрд░рд┐рдкреНрдЯ (PASS) рдХреЗрд▓реА рдЧреЗрд▓реА:
root@Gate2:~# klogview -f 0xffffffff
filtration result for in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: chain 18 "IPsecPolicy:CMAP", filter 25, event id IPsec:Protect:CMAP:1:LIST, status PASS
passed in packet 172.16.0.1->172.17.0.1, proto 47, len 112, if eth0: decapsulatedрдкрд░рд┐рдгрд╛рдо
рдПрдХрд╛ рд╡рд┐рджреНрдпрд╛рд░реНрдереНрдпрд╛рдиреЗ рд╕реБрдЯреНрдЯреАрдЪрд╛ рджрд┐рд╡рд╕ рдЙрдзрд│рд▓рд╛.
ME рдирд┐рдпрдорд╛рдВрдЪреА рдХрд╛рд│рдЬреА рдШреНрдпрд╛.
рдЕрдирд╛рдорд┐рдХ рдЕрднрд┐рдпрдВрддрд╛
t.me/anonymous_engineer
рд╕реНрддреНрд░реЛрдд: www.habr.com