hledani problemu s IPSec

[Miroslav Lachman]

Po par letech klidu po me zase chce zakaznik nastavit IPSec.
Uz to kdysi davno fungovalo na starem stroji, ktery uz neexistuje. Je to 
VPN do site Vodafone. Konfigurace je v pdostate stejna, jako byla pred 
lety, takze jsem si jen dohledal vlastni dokumentaci a nastavil to 
stejne, jako to bylo driv.

Problem je, ze to nefunguje.

Ja si na 99% myslim, ze neni chyba na moji strane, ale ze je problem 
nekde na trase. Ovsem nevim, jak to overit / dokazat.

Kdyz si pustim ipsec a racoon na tom stroji a pak zkusim ping na cilovou 
IP, tak v tcpdumpu vidim jen odchozi packet a zadnou odpoved

(IP adresy jsou zmenene na AA.BB.AA.BB a MM.NN.MM.NN

# tcpdump -i vmx1 -n -v host MM.NN.MM.NN
tcpdump: listening on vmx1, link-type EN10MB (Ethernet), capture size 
65535 bytes
22:45:06.616001 IP (tos 0x0, ttl 64, id 25484, offset 0, flags [none], 
proto UDP (17), length 128)
     AA.BB.AA.BB.500 > MM.NN.MM.NN.500: isakmp 1.0 msgid 00000000: phase 
1 I ident:
     (sa: doi=ipsec situation=identity
         (p: #1 protoid=isakmp transform=1
             (t: #1 id=ike (type=lifetype value=sec)(type=lifeduration 
value=1c20)(type=enc value=3des)(type=auth value=preshared)(type=hash 
value=sha1)(type=group desc value=modp1024))))
     (vid: len=16)



Kdyz uz toho mam zapnuty log debug v racoon.conf, tak se mi do 
/var/log/debug.log sype spousta informaci, ale zajimavy z toho je asi 
jen tohle

2017-05-30 22:46:33: DEBUG: resend phase1 packet 
b7d73730b229d839:0000000000000000
2017-05-30 22:46:34: [MM.NN.MM.NN] ERROR: phase2 negotiation failed due 
to time up waiting for phase1. ESP MM.NN.MM.NN[0]->AA.BB.AA.BB[0]
2017-05-30 22:46:34: INFO: delete phase 2 handler.


Jak nejlepe overit, jestli je vubec pruchozi trasa mezi temi IPSec 
endpointy? (tedy patrne protokol ESP)

Mirek