Теперь вы готовы к запуску racoon и тестированию туннеля VPN. Для целей отладки откройте Log Viewer на Firewall-1 и задайте фильтр протоколирования для выделения записей, относящихся к машине GW с FreeBSD. Вам может также пригодиться просмотр журнала racoon при помощи команды tail(1):
# tail -f /var/log/racoon.log
Запустите racoon посредством следующей команды:
# /usr/local/sbin/racoon -f /usr/local/etc/racoon/racoon.conf
После запуска racoon выполните подключение по telnet(1) к хосту в сети, защищённой Firewall-1.
# telnet -s 192.168.10.3 199.208.192.66 22
По этой команде выполняется попытка подключения к ssh(1)-порту машины
199.208.192.66, той, что находится в сети, защищённой Firewall-1.
Параметр -s
задаёт используемый интерфейс в исходящем
соединении. Это, в частности, важно при использовании на машине GW с FreeBSD технологий NAT и IPFW. Использование
-s и явное задание исходящего адреса не позволит NAT подменять пакеты перед туннелированием.
При успешном обмене ключами racoon выдаст в файл протокола racoon.log следующее:
pfkey UPDATE succeeded: ESP/Tunnel 216.218.197.2->208.229.100.6 pk_recvupdate(): IPSec-SA established: ESP/Tunnel 216.218.197.2->208.229.100.6 get pfkey ADD message IPsec-SA established: ESP/Tunnel 208.229.100.6->216.218.197.2
После того, как обмен ключами будет завершён (что занимает несколько секунд), будет выдана заставка ssh(1). Если всё прошло нормально, в средстве Log Viewer на Firewall-1 будет зафиксировано два сообщения ''Key Install''.
Action | Source | Dest. | Info. Key Install | 216.218.197.2 | 208.229.100.6 | IKE Log: Phase 1 (aggressive) completion. Key Install | 216.218.197.2 | 208.229.100.6 | scheme: IKE methods
В информационной колонке подробный протокол будет выглядеть так:
IKE Log: Phase 1 (aggressive) completion. 3DES/MD5/Pre shared secrets Negotiation Id: scheme: IKE methods: Combined ESP: 3DES + MD5 + PFS (phase 2 completion) for host:
Этот, и другие документы, могут быть скачаны с ftp://ftp.FreeBSD.org/pub/FreeBSD/doc/.
По вопросам, связанным с FreeBSD, прочитайте документацию прежде чем писать в <questions@FreeBSD.org>.
По вопросам, связанным с этой документацией, пишите <doc@FreeBSD.org>.
По вопросам, связанным с русским переводом документации, пишите в рассылку <frdp@FreeBSD.org.ua>.
Информация по подписке на эту рассылку находится на сайте проекта перевода.