Новые ответы

IPSec + Racoon на FreeBSD, всё наоборот...,

Bani, 29-Сен-06, 07:52 [смотреть все]

Привет народ, вот начал ставить тунель на Фри-хах, версия 6.0, траблы такие что сам врубиться немогу...
Настройки на обоих машинах одинаковые. Что делать???
rc.conf-----------------------------------------------------------------------
defaultrouter="10.220.138.1"
gateway_enable="YES"
hostname="router.vostok.tj"
ifconfig_sis0="inet 10.220.138.220  netmask 255.255.255.0"
ifconfig_xl0="inet 192.168.10.110  netmask 255.255.255.0"
linux_enable="YES"
usbd_enable="NO"
firewall_enable="YES"
firewall_type="OPEN"
firewall_logging="YES"
natd_enable="YES"
natd_interface="sis0"
sshd_enable="YES"
racoon_enable="YES"
racoon_flags="-l /var/log/racoon.log"
gif_interfaces="gif0"
gifconfig_gif0="10.220.138.220 10.220.138.221"
ifconfig_gif0="inet 192.168.10.110 192.168.2.110 netmask 255.255.255.0"
static_route="vpn"
route_vpn="192.168.2.0/24 192.168.2.110"
export route_vpn
#IPsec
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
named_enable="YES"
IPSec.conf---------------------------------------------------------------------
Машина 1 (10.220.138.220-внеш, 192.168.10.110)
flush;
spdflush;
spdadd 192.168.10.0/24 192.168.2.0/24 ipencap -P in ipsec
  esp/tunnel/10.220.138.220-10.220.138.221/require;
spdadd 192.168.2.0/24 192.168.10.0/24 ipencap -P out ipsec
  esp/tunnel/10.220.138.221-10.220.138.220/require;
Машина 2 (10.220.138.221-внеш, 192.168.2.110)
flush;
spdflush;
spdadd 192.168.2.0/24 192.168.10.0/24 any -P in ipsec
esp/tunnel/10.220.138.221-10.220.138.220/require;
spdadd 192.168.10.0/24 192.168.2.0/24 any -P out ipsec
esp/tunnel/10.220.138.220-10.220.138.221/require;
Вот тут то и оно... по теории в этих правилах In должен стоять вместо Out, но когда ставлю наоборот ничего не ходит, уже перепробовал кучу конфигов один чёрт...
Racoon.conf-------------------------------------------------------------------------
       # search this file for pre_shared_key with various ID key.
        path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
        # "log" specifies logging level.  It is followed by either "notify", "debug"
        # or "debug2".
        log notify;
        # if no listen directive is specified, racoon will listen to all
        # available interface addresses.
        listen
        {
                isakmp 10.220.138.221 [500];
        }
        # Specification of default various timer.
        timer
        {
                # These value can be changed per remote node.
                counter 5;              # maximum trying count to send.
                interval 20 sec;        # maximum interval to resend.
                persend 1;              # the number of packets per a send.
                # timer for waiting to complete each phase.
                phase1 60 sec;
                phase2 60 sec;
        }
        remote anonymous
        {
            exchange_mode main;
            lifetime time 600 sec;
            proposal {
                encryption_algorithm 3des;
                hash_algorithm md5;
                authentication_method pre_shared_key;
                dh_group 1;
            }
        }
        sainfo anonymous
        {
                lifetime time 600 sec;
               encryption_algorithm 3des;
                authentication_algorithm hmac_md5;
                compression_algorithm deflate ;
        }
Что бы там нибыло ракуун ничего не криптует, вот лог...
2006-09-28 18:54:26: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2006-09-28 18:54:26: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2006-09-28 18:54:27: INFO: 10.220.138.220[500] used as isakmp port (fd=6)
2006-09-28 18:58:20: INFO: caught signal 15
2006-09-28 18:58:21: INFO: racoon shutdown
2006-09-28 18:59:29: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2006-09-28 18:59:29: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2006-09-28 18:59:29: INFO: 10.220.138.220[500] used as isakmp port (fd=6)
2006-09-28 19:03:40: INFO: unsupported PF_KEY message REGISTER
2006-09-28 19:04:34: INFO: caught signal 15
2006-09-28 19:04:35: INFO: racoon shutdown
2006-09-28 19:05:34: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2006-09-28 19:05:34: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2006-09-28 19:05:34: INFO: 10.220.138.220[500] used as isakmp port (fd=6)
2006-09-28 19:13:12: INFO: caught signal 15
2006-09-28 19:13:13: INFO: racoon shutdown
2006-09-28 19:14:10: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2006-09-28 19:14:10: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2006-09-28 19:14:11: INFO: 10.220.138.220[500] used as isakmp port (fd=6)
2006-09-28 19:21:39: INFO: caught signal 15
2006-09-28 19:21:40: INFO: racoon shutdown
2006-09-28 19:22:38: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2006-09-28 19:22:39: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2006-09-28 19:22:39: INFO: 10.220.138.220[500] used as isakmp port (fd=6)
2006-09-28 19:26:17: INFO: caught signal 15
2006-09-28 19:26:18: INFO: racoon shutdown
2006-09-28 19:27:22: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2006-09-28 19:27:22: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2006-09-28 19:27:22: INFO: 10.220.138.220[500] used as isakmp port (fd=6)
2006-09-28 19:29:29: INFO: caught signal 15
2006-09-28 19:29:30: INFO: racoon shutdown
2006-09-28 19:30:30: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2006-09-28 19:30:30: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2006-09-28 19:30:30: INFO: 10.220.138.220[500] used as isakmp port (fd=6)

Ответить | Сообщить модератору

IPSec + Racoon на FreeBSD, всё наоборот..., mAdDuke, 10:00 , 29-Сен-06 (1)
>        sainfo anonymous
>{
вот здесь добавь pfs_group 1;
>    lifetime time 600 sec;
>   encryption_algorithm 3des;
>    authentication_algorithm hmac_md5;
>    compression_algorithm deflate ;
>}
Буквально вчера победил такую же связку между 4.10 и 5.3. Но проблема была не только в этом.
Ответить | Сообщить модератору

IPSec + Racoon на FreeBSD, всё наоборот..., Bani, 16:30 , 29-Сен-06 (2)
>>        sainfo anonymous
>>{
>вот здесь добавь pfs_group 1;
>>    lifetime time 600 sec;
>>   encryption_algorithm 3des;
>>    authentication_algorithm hmac_md5;
>>    compression_algorithm deflate ;
>>}
>
>Буквально вчера победил такую же связку между 4.10 и 5.3. Но проблема
>была не только в этом.
а как быть с настройками IPSec ? это надо пробовать с работающим айписеком, подскажите....
Ответить | Сообщить модератору

IPSec + Racoon на FreeBSD, всё наоборот..., Bani, 16:03 , 30-Сен-06 (3)
>>>        sainfo anonymous
>>>{
>>вот здесь добавь pfs_group 1;
>>>    lifetime time 600 sec;
>>>   encryption_algorithm 3des;
>>>    authentication_algorithm hmac_md5;
>>>    compression_algorithm deflate ;
>>>}
>>
>>Буквально вчера победил такую же связку между 4.10 и 5.3. Но проблема
>>была не только в этом.
>
>а как быть с настройками IPSec ? это надо пробовать с работающим
>айписеком, подскажите....

Ракун пишет:
2006-09-30 20:03:54: INFO: IPsec-SA established: ESP/Tunnel 10.220.138.221[0]->10.220.138.220[0] spi=84038987(0x502554b)
2006-09-30 20:03:54: DEBUG: ===
2006-09-30 20:04:20: DEBUG: caught rtm:14, need update interface address list
2006-09-30 20:04:36: DEBUG: caught rtm:14, need update interface address list
Когда меняю IN на OUT в настройках айписека но трафика нет, может где то блокируется трафик?
Ответить | Сообщить модератору

IPSec + Racoon на FreeBSD, всё наоборот..., Bani, 09:43 , 04-Окт-06 (4)
>>>>        sainfo anonymous
>>>>{
>>>вот здесь добавь pfs_group 1;
>>>>    lifetime time 600 sec;
>>>>   encryption_algorithm 3des;
>>>>    authentication_algorithm hmac_md5;
>>>>    compression_algorithm deflate ;
>>>>}
>>>
>>>Буквально вчера победил такую же связку между 4.10 и 5.3. Но проблема
>>>была не только в этом.
>>
>>а как быть с настройками IPSec ? это надо пробовать с работающим
>>айписеком, подскажите....
>
>
>Ракун пишет:
>2006-09-30 20:03:54: INFO: IPsec-SA established: ESP/Tunnel 10.220.138.221[0]->10.220.138.220[0] spi=84038987(0x502554b)
>2006-09-30 20:03:54: DEBUG: ===
>2006-09-30 20:04:20: DEBUG: caught rtm:14, need update interface address list
>2006-09-30 20:04:36: DEBUG: caught rtm:14, need update interface address list
>
>Когда меняю IN на OUT в настройках айписека но трафика нет, может
>где то блокируется трафик?
Динозавры и то вымирали медленнее!!!!! Люди, откликнитесь!!!!
Ответить | Сообщить модератору

IPSec + Racoon на FreeBSD, всё наоборот..., andrew, 18:32 , 04-Окт-06 (5)

Правильно _должно_ быть всеравно так:
spdadd ТВОЯ_СЕТЬ/24 УДАЛЕННАЯ_СЕТЬ/24 any -P out ipsec
esp/tunnel/ТВОЙ_ВНЕШНИЙ_IP-УДАЛЕННЫЙ_ВНЕШНИЙ_IP/require;
spdadd УДАЛЕННАЯ_СЕТЬ/24 ТВОЯ_СЕТЬ/24 any -P in ipsec
esp/tunnel/УДАЛЕННЫЙ_ВНЕШНИЙ_IP-ТВОЙ_ВНЕШНИЙ_IP/require;
причем это две строки (хотя хавает и так - концом строки считает ";" )
исправь это, потом нужно применить политики IPSEC
#setkey -f /etc/ipsec.conf (или где файл с политиками)
проверить файрволы, проходит ли между машинами esp протокол (50)
и udp[500]
если не поможет - попробуй,после применения политики,
удалить гиф-ифейсы и пересоздать заново
на обоих шлюзах туннель
ifconfig gif0 destroy
ifconfig gif0 create
ifconfig gif0 tunnel ТВОЙ_ВНЕШНИЙ_IP УДАЛЕННЫЙ_ВНЕШНИЙ_IP
ifconfig gif0 inet ТВОЙ_ВНУТР_IP УДАЛ_ВНУТР_IP netmask 255.255.255.255
route add -net УДАЛ_СЕТЬ/24 УДАЛ_ВНУТР_IP
на другом шлюзе соотв. зеркально все
PS. (FreeBSD 5.5 STABLE) Были похожие грабли, этим решилось, ну и конфа ракуна на обоих концах
должна иметь одинаковие методы аутентификации-шифрования, время жизни ключей,
группу сложности ключа или как она там называется
также нужно убедится в наличие одинакового шейред_кея в psk.txt
Ответить | Сообщить модератору

IPSec + Racoon на FreeBSD, всё наоборот..., Bani, 07:12 , 01-Ноя-06 (6)
Пасибки Андрюша, я решил траблу но вот теперь ни с того ни с сего валится тунель, пока разбираю грабли.... есль будет трудняк выложу на форуме, спасибо!
>
>Правильно _должно_ быть всеравно так:
>
>spdadd ТВОЯ_СЕТЬ/24 УДАЛЕННАЯ_СЕТЬ/24 any -P out ipsec
>esp/tunnel/ТВОЙ_ВНЕШНИЙ_IP-УДАЛЕННЫЙ_ВНЕШНИЙ_IP/require;
>spdadd УДАЛЕННАЯ_СЕТЬ/24 ТВОЯ_СЕТЬ/24 any -P in ipsec
>esp/tunnel/УДАЛЕННЫЙ_ВНЕШНИЙ_IP-ТВОЙ_ВНЕШНИЙ_IP/require;
>
>причем это две строки (хотя хавает и так - концом строки считает
>";" )
>
>исправь это, потом нужно применить политики IPSEC
>
>#setkey -f /etc/ipsec.conf (или где файл с политиками)
>
>проверить файрволы, проходит ли между машинами esp протокол (50)
>и udp[500]
>
>если не поможет - попробуй,после применения политики,
>удалить гиф-ифейсы и пересоздать заново
>на обоих шлюзах туннель
>
>ifconfig gif0 destroy
>ifconfig gif0 create
>ifconfig gif0 tunnel ТВОЙ_ВНЕШНИЙ_IP УДАЛЕННЫЙ_ВНЕШНИЙ_IP
>ifconfig gif0 inet ТВОЙ_ВНУТР_IP УДАЛ_ВНУТР_IP netmask 255.255.255.255
>route add -net УДАЛ_СЕТЬ/24 УДАЛ_ВНУТР_IP
>на другом шлюзе соотв. зеркально все
>
>PS. (FreeBSD 5.5 STABLE) Были похожие грабли, этим решилось, ну и конфа
>ракуна на обоих концах
>должна иметь одинаковие методы аутентификации-шифрования, время жизни ключей,
>группу сложности ключа или как она там называется
>
>также нужно убедится в наличие одинакового шейред_кея в psk.txt

Ответить | Сообщить модератору