 Странность с Raccon,  Doc, 07-Июл-16, 10:01 [смотреть все]Приветствию, есть поднятый и рабий тоннель IPSEC на raccon с одной подесткой (192.10.2.0/24)
теперь потребовалось добавить ещё одну подсесть в тоннель (192.10.10.0/24)
Но получаю такой глюк новая подсесть начинает работать через тоннель, а старая перестает
тоннель при обращении к обеим подсетям НЕ падает, а остается в рабочем состоянииможет я как-то не так прописываю правило в setkey
spdadd 192.10.2.0/24 192.0.0.16/14 any -P out ipsec esp/tunnel/10.141.43.2-10.136.104.126/require;
spdadd 192.0.0.0/14 192.10.2.0/24 any -P in ipsec esp/tunnel/10.136.104.126-10.141.43.2/require;
spdadd 192.10.10.0/24 192.0.0.16/14 any -P out ipsec esp/tunnel/10.141.43.2-10.136.104.126/require;
spdadd 192.0.0.0/14 192.10.10.0/24 any -P in ipsec esp/tunnel/10.136.104.126-10.141.43.2/require;
|
- Странность с Raccon, Roman, 01:41 , 08-Июл-16 (1)
зачем мучится? настрой gre over ipsec и будет тебе счастье. (вместо gre можно и ipip)
- Странность с Raccon, Doc, 07:25 , 08-Июл-16 (2)
> зачем мучится? настрой gre over ipsec и будет тебе счастье. (вместо gre
> можно и ipip)
> зачем мучится? настрой gre over ipsec и будет тебе счастье. (вместо gre
> можно и ipip) дело в том что с другой стороны циска (банка) которой я не рулю , а у них все очень строго - шаг вправо шаг в лева - попытка к бегству - расстрел на месте
- Странность с Raccon, Roman, 12:24 , 08-Июл-16 (3)
тогда дело усложняется.
может скинешь что выдает setkey -DPp
- Странность с Raccon, Doc, 12:27 , 08-Июл-16 (4)
> тогда дело усложняется.
> может скинешь что выдает setkey -DPp router:/etc/racoon # setkey -DPp
(per-socket policy)
Policy:[Invalid direciton]
created: Jul 8 10:09:03 2016 lastused: Jul 8 12:50:55 2016
lifetime: 0(s) validtime: 0(s)
spid=1180 seq=1 pid=8900
refcnt=1
(per-socket policy)
Policy:[Invalid direciton]
created: Jul 8 10:09:03 2016 lastused: Jul 8 12:52:17 2016
lifetime: 0(s) validtime: 0(s)
spid=1171 seq=2 pid=8900
refcnt=1
192.0.0.0/14[any] 192.10.2.0/24[any] any
fwd prio def ipsec
esp/tunnel/10.136.104.126[0]-10.141.43.2[0]/require
created: Jul 8 10:09:02 2016 lastused: Jul 8 13:13:50 2016
lifetime: 0(s) validtime: 0(s)
spid=1162 seq=3 pid=8900
refcnt=3
192.0.0.0/14[any] 192.10.2.0/24[any] any
in prio def ipsec
esp/tunnel/10.136.104.126[0]-10.141.43.2[0]/require
created: Jul 8 10:09:02 2016 lastused: Jul 8 13:13:39 2016
lifetime: 0(s) validtime: 0(s)
spid=1152 seq=4 pid=8900
refcnt=3
192.10.2.0/24[any] 192.0.0.16/14[any] any
out prio def ipsec
esp/tunnel/10.141.43.2[0]-10.136.104.126[0]/require
created: Jul 8 10:09:02 2016 lastused: Jul 8 13:13:39 2016
lifetime: 0(s) validtime: 0(s)
spid=1145 seq=5 pid=8900
refcnt=8
192.0.0.0/14[any] 192.10.10.0/24[any] any
fwd prio def ipsec
esp/tunnel/10.136.104.126[0]-10.141.43.2[0]/require
created: Jul 8 10:09:02 2016 lastused:
lifetime: 0(s) validtime: 0(s)
spid=1138 seq=6 pid=8900
refcnt=1
192.0.0.0/14[any] 192.10.10.0/24[any] any
in prio def ipsec
esp/tunnel/10.136.104.126[0]-10.141.43.2[0]/require
created: Jul 8 10:09:02 2016 lastused: Jul 8 13:13:36 2016
lifetime: 0(s) validtime: 0(s)
spid=1128 seq=7 pid=8900
refcnt=2
192.10.10.0/24[any] 192.0.0.16/14[any] any
out prio def ipsec
esp/tunnel/10.141.43.2[0]-10.136.104.126[0]/require
created: Jul 8 10:09:02 2016 lastused: Jul 8 13:13:36 2016
lifetime: 0(s) validtime: 0(s)
spid=1121 seq=0 pid=8900
refcnt=2
Причем это точно косяк с sуеkey так как я поменял местами правила для 10 и 2 посети и теперь 2 работает а 10 нет :), тесть работает только так которая последняя прописана
p.s. задумываюсь поднять два тоннеля :)
- Странность с Raccon, Roman, 13:42 , 08-Июл-16 (5) –1
как понимать вот такую сеть 192.0.0.16/14 или хост ???
- Странность с Raccon, Doc, 15:27 , 08-Июл-16 (6)
> как понимать вот такую сеть 192.0.0.16/14 или хост ???как сеть - , и опечатку
- Странность с Raccon, Roman, 19:09 , 08-Июл-16 (7)
а если без опечаток? и что в racoon.conf ?
- Странность с Raccon, Doc, 22:19 , 08-Июл-16 (8)
> а если без опечаток? и что в racoon.conf ?setkey.conf
flush;
spdflush;
spdadd 192.10.10.0/24 192.0.0.0/14 any -P out ipsec esp/tunnel/10.141.43.2-10.136.104.126/require;
spdadd 192.0.0.0/14 192.10.10.0/24 any -P in ipsec esp/tunnel/10.136.104.126-10.141.43.2/require;
spdadd 192.10.2.0/24 192.0.0.0/14 any -P out ipsec esp/tunnel/10.141.43.2-10.136.104.126/require;
spdadd 192.0.0.0/14 192.10.2.0/24 any -P in ipsec esp/tunnel/10.136.104.126-10.141.43.2/require; racoon.conf
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
log debug;
log notify;
padding
{
maximum_length 20;# maximum padding length.
randomize off;# enable randomize length.
strict_check off;# enable strict check.
exclusive_tail off;# extract last one octet.
} listen
{
#isakmp ::1 [7000];
isakmp 10.141.43.2 [500]; #admin [7002];# administrative port for racoonctl.
#strict_address; # requires that all addresses must be bound.
} # Specify various default timers.
timer
{
# These value can be changed per remote node.
counter 5;# maximum trying count to send.
interval 20 sec;# maximum interval to resend.
persend 1;# the number of packets per send. # maximum time to wait for completing each phase.
phase1 20 sec;
phase2 20 sec;
} #remote 10.136.104.126
remote anonymous
{
exchange_mode aggressive,main;
doi ipsec_doi;
my_identifier address 10.141.43.2;
peers_identifier address 10.136.104.126;
initial_contact off;
lifetime time 8 hour;
passive off;
proposal_check obey;
generate_policy off;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
lifetime time 28800 sec;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 3600 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
- Странность с Raccon, Doc, 13:26 , 09-Июл-16 (9)
пока ответа не нашел -поднял второй тоннель с саб интерфейса
но так и не могу объяснить причину почем не работает а в рамках одного тоннеля
- Странность с Raccon, Doc, 13:26 , 09-Июл-16 (10)
> пока ответа не нашел:) поднял второй тоннель с саб интерфейса , все заработало
> но так и не могу объяснить причину почем не работает в
> рамках одного тоннеля
- Странность с Raccon, PavelR, 08:06 , 10-Июл-16 (11)
>> пока ответа не нашел:) поднял второй тоннель с саб интерфейса , все заработало
>> но так и не могу объяснить причину почем не работает в
>> рамках одного тоннеля Ответ в том, что у вас слишком много опечаток.
Это показатель вашей внимательности.
- Странность с Raccon, Doc, 19:01 , 11-Июл-16 (12)
>>> пока ответа не нашел:) поднял второй тоннель с саб интерфейса , все заработало
>>> но так и не могу объяснить причину почем не работает в
>>> рамках одного тоннеля
> Ответ в том, что у вас слишком много опечаток.
> Это показатель вашей внимательности.если приглядитесь то данные опечатки ни на что в данном случаи не влияют , тоже доказывает и тот факт что при их исправлении все равно также не работает
|
Версия для распечатки
