Openswan - Conecta mas não pinga

canhotojam
(usa CentOS)

Enviado em 23/09/2013 - 18:14h

Pessoal,

estou configurando uma vpn no CentOS 6.4_x64, com Openswan U2.6.32/K2.6.32-358.18.1.el6.x86_64 (netkey), de acordo com a conf abaixo:
==========================================================================================
version 2.0 # conforms to second version of ipsec.conf specification

# basic configuration
config setup
# Debug-logging controls: "none" for (almost) none, "all" for lots.
# klipsdebug=none
# plutodebug="control parsing"
# For Red Hat Enterprise Linux and Fedora, leave protostack=netkey
protostack=netkey
nat_traversal=yes
#virtual_private=
oe=off
interfaces=%defaultroute
# Enable this if you see "failed to find any available worker"
# nhelpers=0

#You may put your configuration (.conf) file in the "/etc/ipsec.d/" and uncomment this.
#include /etc/ipsec.d/*.conf

conn MATRIZ

authby=secret
leftid=matriz
left=ipexterno_mt
leftsubnet=192.168.0.0/24
leftnexthop=gw_externo_mt
rightid=filial
right=ipexterno_fl
rightsubnet=192.168.7.0/24
rightnexthop=gw_externo_fl
auto=start
type=tunnel
forceencaps=yes
pfs=no
compress=no

===================================================================================

Retorno do comando "ipsec auto --status":

000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,0,0} trans={0,0,0} attrs={0,0,0}
000
000 "MATRIZ": 192.168.0.0/24===ipexterno_mt<ip.ext.uni.mt>[+S=C]---gw...gw---ipexterno_fl<ip.ext.uni.fl>[+S=C]===192.168.7.0/24; erouted; eroute owner: #2
000 "MATRIZ": myip=unset; hisip=unset;
000 "MATRIZ": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "MATRIZ": policy: PSK+ENCRYPT+TUNNEL+PFS+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 24,24; interface: eth0;
000 "MATRIZ": newest ISAKMP SA: #1; newest IPsec SA: #2;
000 "MATRIZ": IKE algorithm newest: AES_CBC_128-SHA1-MODP2048
000
000 #2: "MATRIZ":4500 STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 27529s; newest IPSEC; eroute owner; isakmp#1; idle; import:admin initiate
000 #2: "MATRIZ" esp.aadc412a@ipexterno_fl esp.bc593aac@ipexterno_fl tun.0@ipexterno_fl tun.0@ipexterno_mt ref=0 refhim=4294901761
000 #1: "MATRIZ":4500 STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 2085s; newest ISAKMP; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate


Tenho confirmação de que a conexão está estabelecida, porém não consigo pingar minha filial.
Na filial, tenho um roteador Drytek Vigor 2910, e lá consigo ver que recebeu a conexão, porém sem tráfego na rede.

Se alguém tiver uma idéia do que seja, agradeço!