форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (VPN, IPSec)
Изначальное сообщение		[ Отслеживать ]

"Вопрос по IPSEC / Racoon"	+/–
Сообщение от Bob (??) on 06-Апр-11, 12:21
Добрый день. Чисто в образовательных целях пытаюсь создать IPSEC туннель между машинами 172.18.18.102 и 172.18.18.206. Вот конфиги с машины 172.18.18.102. # file for pre-shared keys used for IKE authentication # format is:  'identifier' 'key' # For example: # #  10.1.1.1             flibbertigibbet #  www.example.com      12345 #  foo@www.example.com  micropachycephalosaurus 172.18.18.206 pass12345 # Racoon IKE daemon configuration file. # See 'man racoon.conf' for a description of the format and entries. path include "/etc/racoon"; path pre_shared_key "/etc/racoon/psk.txt"; #path certificate "/etc/racoon/certs"; log debug; remote  172.18.18.206 {         exchange_mode aggressive,main,base;         lifetime time 24 hour;         proposal {                 encryption_algorithm 3des;                 hash_algorithm sha1;                 authentication_method pre_shared_key;                 dh_group 2; } } sainfo address 172.18.18.102 any address 172.18.18.206 any {         pfs_group 2;         lifetime time 12 hour ;         encryption_algorithm 3des, blowfish 448l ;         authentication_algorithm hmac_sha1, hmac_md5 ;         compression_algorithm deflate ; } На машине 172.18.18.206 подобный конфиг, только адреса наоборот. Туннель не работает. Вот кусок лога. В  чем может быть дело? racoon: INFO: isakmp.c:1048:isakmp_ph2begin_r(): respond new phase 2 negotiation: 172.18.18.102[0]<=>172.18.18.206[0] racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey UPDATE failed: No buffer space available racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey ADD failed: No buffer space available racoon: INFO: pfkey.c:1389:pk_recvexpire(): IPsec-SA expired: ESP/Tunnel 172.18.18.206->172.18.18.102 spi=1043980(0xfee0c) racoon: WARNING: pfkey.c:1417:pk_recvexpire(): the expire message is received but the handler has not been established. racoon: ERROR: pfkey.c:740:pfkey_timeover(): 172.18.18.206 give up to get IPsec-SA due to time up to wait. racoon: INFO: isakmp.c:1048:isakmp_ph2begin_r(): respond new phase 2 negotiation: 172.18.18.102[0]<=>172.18.18.206[0] racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey UPDATE failed: No buffer space available racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey ADD failed: No buffer space available racoon: INFO: pfkey.c:1389:pk_recvexpire(): IPsec-SA expired: ESP/Tunnel 172.18.18.206->172.18.18.102 spi=211126392(0xc958878) racoon: WARNING: pfkey.c:1417:pk_recvexpire(): the expire message is received but the handler has not been established. racoon: ERROR: pfkey.c:740:pfkey_timeover(): 172.18.18.206 give up to get IPsec-SA due to time up to wait. racoon: INFO: isakmp.c:1048:isakmp_ph2begin_r(): respond new phase 2 negotiation: 172.18.18.102[0]<=>172.18.18.206[0] racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey UPDATE failed: No buffer space available racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey ADD failed: No buffer space available
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Вопрос по IPSEC / Racoon"	+/–
Сообщение от Zl0 (ok) on 06-Апр-11, 13:20
Вот это как то нехорошо выглядит >  racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey UPDATE failed: No buffer space available >  racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey ADD failed: No buffer space available Может чтото с ядром или модулями. Попробуйте другое ядро.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	2. "Вопрос по IPSEC / Racoon"	+/–
	Сообщение от Bob (??) on 06-Апр-11, 13:32
	> Вот это как то нехорошо выглядит >>  racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey UPDATE failed: No buffer space available >>  racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey ADD failed: No buffer space available > Может чтото с ядром или модулями. Попробуйте другое ядро. Спасибо за совет. А можно ли как-то посмотреть ядро собранно с поддержкой IPSEC или нет? Или толко самому собирать другое ядро.
	Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

	3. "Вопрос по IPSEC / Racoon"	+/–
	Сообщение от Zl0 (ok) on 06-Апр-11, 13:48
	> Спасибо за совет. > А можно ли как-то посмотреть ядро собранно с поддержкой IPSEC или нет? > Или толко самому собирать другое ядро. Ну было бы намного проще вам помочь если бы вы написали что у вас за ось и что за ядро
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	5. "Вопрос по IPSEC / Racoon"	+/–
	Сообщение от Bob (??) on 06-Апр-11, 15:00
	>> Спасибо за совет. >> А можно ли как-то посмотреть ядро собранно с поддержкой IPSEC или нет? >> Или толко самому собирать другое ядро. > Ну было бы намного проще вам помочь если бы вы написали что > у вас за ось и что за ядро Дистрибутив Mandrake Linux 10.0.3.3.2-6mdk ядро 2.6.3-4mdk
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	4. "Вопрос по IPSEC / Racoon"	+/–
	Сообщение от ImPressed (ok) on 06-Апр-11, 14:59
	>> Вот это как то нехорошо выглядит >>>  racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey UPDATE failed: No buffer space available >>>  racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey ADD failed: No buffer space available >> Может чтото с ядром или модулями. Попробуйте другое ядро. > Спасибо за совет. > А можно ли как-то посмотреть ядро собранно с поддержкой IPSEC или нет? > Или толко самому собирать другое ядро. В ядре судя по всему нет поддержки сокетов типа PF_KEY/AF_KEY. Сделайте modprobe -l |grep af_key или попробуйте modprobe af_key. А вообще, не плохо было знать версию ядра и дистрибутив
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

	6. "Вопрос по IPSEC / Racoon"	+/–
	Сообщение от Bob (??) on 06-Апр-11, 15:01
	>>> Вот это как то нехорошо выглядит >>>>  racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey UPDATE failed: No buffer space available >>>>  racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey ADD failed: No buffer space available >>> Может чтото с ядром или модулями. Попробуйте другое ядро. >> Спасибо за совет. >> А можно ли как-то посмотреть ядро собранно с поддержкой IPSEC или нет? >> Или толко самому собирать другое ядро. > В ядре судя по всему нет поддержки сокетов типа PF_KEY/AF_KEY. > Сделайте modprobe -l |grep af_key или попробуйте modprobe af_key. > А вообще, не плохо было знать версию ядра и дистрибутив Дистрибутив Mandrake Linux 10.0.3.3.2-6mdk ядро 2.6.3-4mdk
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Вопрос по IPSEC / Racoon"	+/–
	Сообщение от ImPressed (ok) on 06-Апр-11, 15:06
	>[оверквотинг удален] >>>>>  racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey ADD failed: No buffer space available >>>> Может чтото с ядром или модулями. Попробуйте другое ядро. >>> Спасибо за совет. >>> А можно ли как-то посмотреть ядро собранно с поддержкой IPSEC или нет? >>> Или толко самому собирать другое ядро. >> В ядре судя по всему нет поддержки сокетов типа PF_KEY/AF_KEY. >> Сделайте modprobe -l |grep af_key или попробуйте modprobe af_key. >> А вообще, не плохо было знать версию ядра и дистрибутив > Дистрибутив Mandrake Linux 10.0.3.3.2-6mdk > ядро 2.6.3-4mdk Гдеж вы его древний такой взяли-то? Возьмие посвежее дистрибутив, центось 5.5 например или что-нибудь еще там все из коробки работает. P.S: modprobe af_key что пишет? Если пишет что нет такого модуля ( а в новых ядрах он обычно есть, и лежит в /`uname-r`/kernel/net/key/af_key.ko), то ни чего иного как установить более новый дистрибутив вы на вряд ли сделаете.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Вопрос по IPSEC / Racoon"	+/–
	Сообщение от Bob (??) on 06-Апр-11, 15:31
	>[оверквотинг удален] >>> А вообще, не плохо было знать версию ядра и дистрибутив >> Дистрибутив Mandrake Linux 10.0.3.3.2-6mdk >> ядро 2.6.3-4mdk > Гдеж вы его древний такой взяли-то? > Возьмие посвежее дистрибутив, центось 5.5 например или что-нибудь еще там все из > коробки работает. > P.S: modprobe af_key что пишет? Если пишет что нет такого модуля ( > а в новых ядрах он обычно есть, и лежит в /`uname-r`/kernel/net/key/af_key.ko), > то ни чего иного как установить более новый дистрибутив вы на > вряд ли сделаете. Да дистрибутив давно покупался, тогда весь софт с лотков продовался. # modprobe -l|grep af_key /lib/modules/2.6.3-4mdk/kernel/net/key/af_key.ko.gz Есть такой модуль.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Вопрос по IPSEC / Racoon"	+/–
	Сообщение от Zl0 (ok) on 06-Апр-11, 15:45
	Вы используете esp протокол защиты проверте еще модули ядра esp & ah4
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	13. "Вопрос по IPSEC / Racoon"	+/–
	Сообщение от Bob (??) on 07-Апр-11, 08:18
	> Вы используете esp протокол защиты проверте еще модули ядра esp & ah4 Я их подгрузил. Все равно не работает. Придется наверно ядро пересобирать. [root@ekb-w-proxy-gtk log]# lsmod Module                  Size  Used by esp                    22328  0 ah4                     7680  0 deflate                 3616  0 zlib_deflate           22904  1 deflate zlib_inflate           22656  1 deflate twofish                41824  0 serpent                13920  0 aes                    33664  0 blowfish                9760  0 des                    11648  0 sha256                 12096  0 sha1                    7936  0 af_key                 31760  0 md5                     3872  1 ipv6                  232352  13 af_packet              20520  0 iptable_nat            23116  1 ipt_state               1728  12 ip_conntrack           31152  2 iptable_nat,ipt_state ipt_LOG                 5312  6 iptable_filter          2624  1 iptable_mangle          2624  0 ip_tables              16704  5 iptable_nat,ipt_state,ipt_LOG,iptable_filter,iptable_mangle eepro100               29740  0 mii                     4992  1 eepro100 supermount             37876  1 intel-agp              17372  1 agpgart                31016  1 intel-agp ppa                    12296  0 parport_pc             32832  0 imm                    12360  0 scsi_mod              114744  2 ppa,imm parport                38952  3 ppa,parport_pc,imm ehci-hcd               24196  0 uhci-hcd               29104  0 usbcore                99132  4 ehci-hcd,uhci-hcd rtc                    11576  0 ext3                  110376  2 jbd                    54328  1 ext3
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

	10. "Вопрос по IPSEC / Racoon"	+/–
	Сообщение от ImPressed (ok) on 06-Апр-11, 15:54
	>[оверквотинг удален] >> Возьмие посвежее дистрибутив, центось 5.5 например или что-нибудь еще там все из >> коробки работает. >> P.S: modprobe af_key что пишет? Если пишет что нет такого модуля ( >> а в новых ядрах он обычно есть, и лежит в /`uname-r`/kernel/net/key/af_key.ko), >> то ни чего иного как установить более новый дистрибутив вы на >> вряд ли сделаете. > Да дистрибутив давно покупался, тогда весь софт с лотков продовался. > # modprobe -l|grep af_key > /lib/modules/2.6.3-4mdk/kernel/net/key/af_key.ko.gz > Есть такой модуль. он загружен у вас?
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	11. "Вопрос по IPSEC / Racoon"	+/–
	Сообщение от Bob (??) on 07-Апр-11, 07:58
	>[оверквотинг удален] >>> коробки работает. >>> P.S: modprobe af_key что пишет? Если пишет что нет такого модуля ( >>> а в новых ядрах он обычно есть, и лежит в /`uname-r`/kernel/net/key/af_key.ko), >>> то ни чего иного как установить более новый дистрибутив вы на >>> вряд ли сделаете. >> Да дистрибутив давно покупался, тогда весь софт с лотков продовался. >> # modprobe -l|grep af_key >> /lib/modules/2.6.3-4mdk/kernel/net/key/af_key.ko.gz >> Есть такой модуль. > он загружен у вас? да [root@ekb-w-proxy-gtk etc]# lsmod |grep af_key af_key                 31760  0
	Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

	12. "Вопрос по IPSEC / Racoon"	+/–
	Сообщение от ImPressed (ok) on 07-Апр-11, 08:06
	>[оверквотинг удален] >>>> вряд ли сделаете. >>> Да дистрибутив давно покупался, тогда весь софт с лотков продовался. >>> # modprobe -l|grep af_key >>> /lib/modules/2.6.3-4mdk/kernel/net/key/af_key.ko.gz >>> Есть такой модуль. >> он загружен у вас? > да > [root@ekb-w-proxy-gtk etc]# lsmod |grep af_key > af_key             >      31760  0 lsmod|grep ah lsmod|grep esp что пишут? Если ничего, то надо подгрузить модули ah и esp в ядро. Попробуйте в /etc/modules.conf добавить: alias-something-ike af_key alias-something-cryptobasic-49 ah alias-something-cryptobasic-50 esp alias-something-crypto-modules-0 crypt_null pre-install esp modprobe ah и перезагрузите машину.
	Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

	14. "Вопрос по IPSEC / Racoon"	+/–
	Сообщение от ImPressed (ok) on 07-Апр-11, 08:20
	>[оверквотинг удален] > lsmod|grep esp > что пишут? > Если ничего, то надо подгрузить модули ah и esp в ядро. > Попробуйте в /etc/modules.conf добавить: > alias-something-ike af_key > alias-something-cryptobasic-49 ah > alias-something-cryptobasic-50 esp > alias-something-crypto-modules-0 crypt_null > pre-install esp modprobe ah > и перезагрузите машину. Попробуйте более новый дистрибутив, ваш очень уж древний. Любой на ваш выбор =)
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	15. "Вопрос по IPSEC / Racoon"	+/–
	Сообщение от Bob (??) on 07-Апр-11, 08:23
	>[оверквотинг удален] > lsmod|grep esp > что пишут? > Если ничего, то надо подгрузить модули ah и esp в ядро. > Попробуйте в /etc/modules.conf добавить: > alias-something-ike af_key > alias-something-cryptobasic-49 ah > alias-something-cryptobasic-50 esp > alias-something-crypto-modules-0 crypt_null > pre-install esp modprobe ah > и перезагрузите машину. Я их вручную подгрузил [root@ekb-w-proxy-gtk log]# lsmod|grep ah4 ah4                     7680  0 [root@ekb-w-proxy-gtk log]# lsmod|grep esp esp                    22328  0 попробую добавить в etc/modules.conf и перегружу.
	Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

	16. "Вопрос по IPSEC / Racoon"	+/–
	Сообщение от ImPressed (ok) on 07-Апр-11, 08:24
	>[оверквотинг удален] > [root@ekb-w-proxy-gtk log]# lsmod|grep ah4 > ah4             >          7680   > 0 > [root@ekb-w-proxy-gtk log]# lsmod|grep esp > esp             >         22328  0 > попробую добавить в > etc/modules.conf > и перегружу. Модули уже загружены, добавлять их в modprobe.conf нет смысла.
	Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема