Добрый день. Нужно поднять VPN IPSec tunnel между CISCO 2821 и Linux чтобы пробросит сетку удаленную 192.168.0.0/24 и 10.0.1.0/24Первая фаза проходит успешно, а вот на втором этапе циска предлагает
Jul 22 16:13:44 10.1.1.1 135367: local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
Jul 22 16:13:44 10.1.1.1 135368: remote_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),то есть вместо нужных адресов сетей подставляет 0.0.0.0, на что ракун с другой стороны соответственно ругается, потому что с стороны ракуна описаны правила на определенные сети.
Jul 22 16:12:37 mon racoon: ERROR: no policy found: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
Jul 22 16:12:37 mon racoon: ERROR: failed to get proposal for responder.
Jul 22 16:12:37 mon racoon: ERROR: failed to pre-process packet.Конфиг циски (на ней параллельно живут и работают ВПН для виндовых клиентов):
X.X.X.X - внешний адрес Linux
Y.Y.Y.Y - внешний адрес Cisco
выкладываю часть, которая относится к ВПНам.vpdn enable
vpdn logging
!
vpdn-group VPDN-L2TP
! Default L2TP VPDN group
accept-dialin
protocol l2tp
virtual-template 1
lcp renegotiation on-mismatch
no l2tp tunnel authentication
!
vpdn-group VPDN-PPTP
! Default PPTP VPDN group
accept-dialin
protocol pptp
virtual-template 2
pptp tunnel echo 10
ip pmtu
ip mtu adjust
!crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 20
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 30
encr 3des
hash md5
authentication pre-share
group 2crypto isakmp key SECRETKEY address X.X.X.X
crypto isakmp key SECRETKEY address 0.0.0.0 0.0.0.0crypto ipsec transform-set L2TP esp-3des esp-md5-hmac
mode transport
crypto ipsec transform-set L2TP_V ah-sha-hmac esp-3des esp-sha-hmac
mode transport
crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac
!
crypto ipsec profile SITE_TO_SITE
set transform-set SITE_TO_SITE
set pfs group2
!
!
crypto dynamic-map L2TP_D 10
set transform-set L2TP L2TP_V
!
crypto dynamic-map SITE_TO_SITE 20
set peer X.X.X.X
set pfs group2
match address CRYPTO_ACL_IPSec
!
!
crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
crypto map L2TP 30 ipsec-isakmp dynamic SITE_TO_SITE
!
crypto map S_T_S 1 ipsec-isakmp dynamic SITE_TO_SITE!
!
interface Tunnel0
description VPN tunnel - not work(((
bandwidth 128
ip address 10.0.1.1 255.255.255.0
ip access-group sdm_tunnel0_in in
ip mtu 1476
shutdown
tunnel source GigabitEthernet0/0
tunnel destination X.X.X.X
tunnel mode ipsec ipv4
tunnel path-mtu-discovery
tunnel protection ipsec profile SITE_TO_SITE
!
interface Loopback0
description Virtual interface for remote Windows VPN connect
ip address 10.1.5.1 255.255.255.0
ip access-group sdm_loopback0_in in
ip inspect SDM_LOW in
!
interface GigabitEthernet0/0
description $ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$$ES_WAN$$FW_OUTSIDE$$ETH-WAN$
ip address Y.Y.Y.Y 255.255.255.240
ip access-group 101 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect DEFAULT100 out
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
crypto map L2TP
!
!
interface Virtual-Template1
ip unnumbered Loopback0
ip access-group VPN_L2TP in
peer default ip address pool vpnpool2
ppp mtu adaptive
ppp authentication ms-chap-v2
ppp ipcp dns 10.1.1.10
!
interface Virtual-Template2
description $FW_OUTSIDE$
ip unnumbered Loopback0
ip access-group VPN_PPTP in
autodetect encapsulation ppp
peer default ip address pool vpnpool2
ppp encrypt mppe auto
ppp authentication ms-chap-v2
ppp ipcp dns 10.1.1.10
!
ip nat inside source route-map SDM_RMAP_2 interface GigabitEthernet0/0 overload
Конфиг Линукса[root@mon]~# cat /etc/setkey.conf
#!/sbin/setkey -fflush;
spdflush;#out
spdadd 192.168.0.0/24[any] 10.0.1.0/24[any] any -P out ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/require;
spdadd 10.0.1.0/24[any] 192.168.0.0/24[any] any -P in ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X/require;remote Y.Y.Y.Y
{
exchange_mode main, aggressive;
doi ipsec_doi;
situation identity_only;
my_identifier address X.X.X.X;
nonce_size 16;
initial_contact off;
proposal_check obey;
support_proxy on;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}sainfo address 192.168.0.0/24 any address 10.0.1.0/24 any {
pfs_group modp1024; # pfs_group modp768;
encryption_algorithm 3des, des;
authentication_algorithm hmac_md5, hmac_sha1;
compression_algorithm deflate;
}
Лог ракунаJul 22 16:52:18 mon racoon: INFO: respond new phase 1 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
Jul 22 16:52:18 mon racoon: INFO: begin Identity Protection mode.
Jul 22 16:52:18 mon racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-07
Jul 22 16:52:18 mon racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
Jul 22 16:52:18 mon racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Jul 22 16:52:18 mon racoon: INFO: received Vendor ID: CISCO-UNITY
Jul 22 16:52:18 mon racoon: INFO: received Vendor ID: DPD
Jul 22 16:52:18 mon racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Jul 22 16:52:18 mon racoon: WARNING: ignore INITIAL-CONTACT notification, because it is only accepted after phase1.
Jul 22 16:52:18 mon racoon: INFO: ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:1f36d2df755b22ad:4d20d3f57f82697a
Jul 22 16:52:18 mon racoon: INFO: respond new phase 2 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
Jul 22 16:52:18 mon racoon: ERROR: no policy found: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
Jul 22 16:52:18 mon racoon: ERROR: failed to get proposal for responder.
Jul 22 16:52:18 mon racoon: ERROR: failed to pre-process packet.
Лог цискиJul 22 16:52:09 10.1.1.1 138156: 093970: Jul 22 15:52:09.764 PCTime: CRYPTO_SS(TUNNEL SEC): Application started listening
Jul 22 16:52:09 10.1.1.1 138157: 093971: Jul 22 15:52:09.764 PCTime: insert of map into mapdb AVL failed, map + ace pair already exists on the mapd
b
Jul 22 16:52:09 10.1.1.1 138158: 093972: Jul 22 15:52:09.768 PCTime: is_up: 0 state: 4 sub state: 1 line: 0 has_route: False
Jul 22 16:52:09 10.1.1.1 138159: 093973: Jul 22 15:52:09.768 PCTime: CRYPTO_SS(TUNNEL SEC): Active open, socket info: local Y.Y.Y.Y 0.0.0.0/
0.0.0.0/0, remote X.X.X.X 0.0.0.0/0.0.0.0/0, prot 0, ifc Tu0
Jul 22 16:52:09 10.1.1.1 138160: 093974: Jul 22 15:52:09.768 PCTime: IPSEC(sa_request): ,
Jul 22 16:52:09 10.1.1.1 138161: (key eng. msg.) OUTBOUND
Jul 22 16:52:09 10.1.1.1 138162: local= Y.Y.Y.Y, remote= X.X.X.X,
Jul 22 16:52:09 10.1.1.1 138163: local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
Jul 22 16:52:09 10.1.1.1 138164: remote_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
Jul 22 16:52:09 10.1.1.1 138165: protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
Jul 22 16:52:09 10.1.1.1 138166: lifedur= 3600s and 4608000kb,
Jul 22 16:52:09 10.1.1.1 138167: spi= 0xA67AC3A6(2793063334), conn_id= 0, keysize= 0, flags= 0x400B
Jul 22 16:52:09 10.1.1.1 138168: 093975: Jul 22 15:52:09.768 PCTime: ISAKMP: received ke message (1/1)
Jul 22 16:52:09 10.1.1.1 138169: 093976: Jul 22 15:52:09.768 PCTime: ISAKMP:(0:0:N/A:0): SA request profile is (NULL)
Jul 22 16:52:09 10.1.1.1 138170: 093977: Jul 22 15:52:09.768 PCTime: ISAKMP: Created a peer struct for X.X.X.X, peer port 500
Jul 22 16:52:09 10.1.1.1 138171: 093978: Jul 22 15:52:09.768 PCTime: ISAKMP: New peer created peer = 0x44571EB4 peer_handle = 0x800003B2
Jul 22 16:52:09 10.1.1.1 138172: 093979: Jul 22 15:52:09.768 PCTime: ISAKMP: Locking peer struct 0x44571EB4, IKE refcount 1 for isakmp_initiator
Jul 22 16:52:10 10.1.1.1 138173: 093980: Jul 22 15:52:09.768 PCTime: ISAKMP: local port 500, remote port 500
Jul 22 16:52:10 10.1.1.1 138174: 093981: Jul 22 15:52:09.768 PCTime: ISAKMP: set new node 0 to QM_IDLE
Jul 22 16:52:10 10.1.1.1 138175: 093982: Jul 22 15:52:09.768 PCTime: ISAKMP: Find a dup sa in the avl tree during calling isadb_insert sa = 4474CDB
0
Jul 22 16:52:10 10.1.1.1 138176: 093983: Jul 22 15:52:09.768 PCTime: ISAKMP:(0:0:N/A:0):Can not start Aggressive mode, trying Main mode.
Jul 22 16:52:10 10.1.1.1 138177: 093984: Jul 22 15:52:09.768 PCTime: ISAKMP:(0:0:N/A:0):Looking for a matching key for X.X.X.X in default
Jul 22 16:52:10 10.1.1.1 138178: 093985: Jul 22 15:52:09.768 PCTime: ISAKMP:(0:0:N/A:0): : success
Jul 22 16:52:10 10.1.1.1 138179: 093986: Jul 22 15:52:09.768 PCTime: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching X.X.X.X
Jul 22 16:52:10 10.1.1.1 138180: 093987: Jul 22 15:52:09.772 PCTime: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-07 ID
Jul 22 16:52:10 10.1.1.1 138181: 093988: Jul 22 15:52:09.772 PCTime: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-03 ID
Jul 22 16:52:10 10.1.1.1 138182: 093989: Jul 22 15:52:09.772 PCTime: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-02 ID
Jul 22 16:52:10 10.1.1.1 138183: 093990: Jul 22 15:52:09.772 PCTime: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
Jul 22 16:52:10 10.1.1.1 138184: 093991: Jul 22 15:52:09.772 PCTime: ISAKMP:(0:0:N/A:0):Old State = IKE_READY New State = IKE_I_MM1
Jul 22 16:52:10 10.1.1.1 138185:
Jul 22 16:52:10 10.1.1.1 138186: 093992: Jul 22 15:52:09.772 PCTime: ISAKMP:(0:0:N/A:0): beginning Main Mode exchange
Jul 22 16:52:10 10.1.1.1 138187: 093993: Jul 22 15:52:09.772 PCTime: ISAKMP:(0:0:N/A:0): sending packet to X.X.X.X my_port 500 peer_port 500
(I) MM_NO_STATE
Jul 22 16:52:10 10.1.1.1 138188: 093994: Jul 22 15:52:09.832 PCTime: ISAKMP (0:0): received packet from X.X.X.X dport 500 sport 500 Global (
I) MM_NO_STATE
Jul 22 16:52:10 10.1.1.1 138189: 093995: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jul 22 16:52:10 10.1.1.1 138190: 093996: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0):Old State = IKE_I_MM1 New State = IKE_I_MM2
Jul 22 16:52:10 10.1.1.1 138191:
Jul 22 16:52:10 10.1.1.1 138192: 093997: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0
Jul 22 16:52:10 10.1.1.1 138193: 093998: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0): processing vendor id payload
Jul 22 16:52:10 10.1.1.1 138194: 093999: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0): vendor ID is DPD
Jul 22 16:52:10 10.1.1.1 138195: 094000: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0):Looking for a matching key for X.X.X.X in default
Jul 22 16:52:10 10.1.1.1 138196: 094001: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0): : success
Jul 22 16:52:10 10.1.1.1 138197: 094002: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching X.X.X.X
Jul 22 16:52:10 10.1.1.1 138198: 094003: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0): local preshared key found
Jul 22 16:52:10 10.1.1.1 138199: 094004: Jul 22 15:52:09.832 PCTime: ISAKMP : Scanning profiles for xauth ... S_T_S
Jul 22 16:52:10 10.1.1.1 138200: 094005: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against priority 10 policy
Jul 22 16:52:10 10.1.1.1 138201: 094006: Jul 22 15:52:09.832 PCTime: ISAKMP: encryption 3DES-CBC
Jul 22 16:52:10 10.1.1.1 138202: 094007: Jul 22 15:52:09.832 PCTime: ISAKMP: hash MD5
Jul 22 16:52:10 10.1.1.1 138203: 094008: Jul 22 15:52:09.832 PCTime: ISAKMP: default group 2
Jul 22 16:52:10 10.1.1.1 138204: 094009: Jul 22 15:52:09.832 PCTime: ISAKMP: auth pre-share
Jul 22 16:52:10 10.1.1.1 138205: 094010: Jul 22 15:52:09.832 PCTime: ISAKMP: life type in seconds
Jul 22 16:52:10 10.1.1.1 138206: 094011: Jul 22 15:52:09.832 PCTime: ISAKMP: life duration (VPI) of 0x0 0x1 0x51 0x80
Jul 22 16:52:10 10.1.1.1 138207: 094012: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0
Jul 22 16:52:10 10.1.1.1 138208: 094013: Jul 22 15:52:09.832 PCTime: CryptoEngine0: generating alg parameter for connid 28
Jul 22 16:52:10 10.1.1.1 138209: 094014: Jul 22 15:52:09.860 PCTime: CRYPTO_ENGINE: Dh phase 1 status: 0
Jul 22 16:52:10 10.1.1.1 138210: 094015: Jul 22 15:52:09.860 PCTime: CRYPTO_ENGINE: Dh phase 1 status: OK
Jul 22 16:52:10 10.1.1.1 138211: 094016: Jul 22 15:52:09.860 PCTime: ISAKMP:(0:28:SW:1): processing vendor id payload
Jul 22 16:52:10 10.1.1.1 138212: 094017: Jul 22 15:52:09.860 PCTime: ISAKMP:(0:28:SW:1): vendor ID is DPD
Jul 22 16:52:10 10.1.1.1 138213: 094018: Jul 22 15:52:09.860 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jul 22 16:52:10 10.1.1.1 138214: 094019: Jul 22 15:52:09.860 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_I_MM2 New State = IKE_I_MM2
Jul 22 16:52:10 10.1.1.1 138215:
Jul 22 16:52:10 10.1.1.1 138216: 094020: Jul 22 15:52:09.860 PCTime: ISAKMP:(0:28:SW:1): sending packet to X.X.X.X my_port 500 peer_port 500
(I) MM_SA_SETUP
Jul 22 16:52:10 10.1.1.1 138217: 094021: Jul 22 15:52:09.860 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jul 22 16:52:10 10.1.1.1 138218: 094022: Jul 22 15:52:09.860 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_I_MM2 New State = IKE_I_MM3
Jul 22 16:52:10 10.1.1.1 138219:
Jul 22 16:52:10 10.1.1.1 138220: 094023: Jul 22 15:52:09.896 PCTime: ISAKMP (0:134217756): received packet from X.X.X.X dport 500 sport 500
Global (I) MM_SA_SETUP
Jul 22 16:52:10 10.1.1.1 138221: 094024: Jul 22 15:52:09.896 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jul 22 16:52:10 10.1.1.1 138222: 094025: Jul 22 15:52:09.896 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_I_MM3 New State = IKE_I_MM4
Jul 22 16:52:10 10.1.1.1 138223:
Jul 22 16:52:10 10.1.1.1 138224: 094026: Jul 22 15:52:09.896 PCTime: ISAKMP:(0:28:SW:1): processing KE payload. message ID = 0
Jul 22 16:52:10 10.1.1.1 138225: 094027: Jul 22 15:52:09.896 PCTime: CryptoEngine0: generating alg parameter for connid 0
Jul 22 16:52:10 10.1.1.1 138226: 094028: Jul 22 15:52:09.924 PCTime: ISAKMP:(0:28:SW:1): processing NONCE payload. message ID = 0
Jul 22 16:52:10 10.1.1.1 138227: 094029: Jul 22 15:52:09.924 PCTime: ISAKMP:(0:0:N/A:0):Looking for a matching key for X.X.X.X in default
Jul 22 16:52:10 10.1.1.1 138228: 094030: Jul 22 15:52:09.924 PCTime: ISAKMP:(0:0:N/A:0): : success
Jul 22 16:52:10 10.1.1.1 138229: 094031: Jul 22 15:52:09.924 PCTime: ISAKMP:(0:28:SW:1):found peer pre-shared key matching X.X.X.X
Jul 22 16:52:10 10.1.1.1 138230: 094032: Jul 22 15:52:09.924 PCTime: CryptoEngine0: create ISAKMP SKEYID for conn id 28
Jul 22 16:52:10 10.1.1.1 138231: 094033: Jul 22 15:52:09.924 PCTime: ISAKMP:(0:28:SW:1):SKEYID state generated
Jul 22 16:52:10 10.1.1.1 138232: 094034: Jul 22 15:52:09.924 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jul 22 16:52:10 10.1.1.1 138233: 094035: Jul 22 15:52:09.928 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_I_MM4 New State = IKE_I_MM4
Jul 22 16:52:10 10.1.1.1 138234:
Jul 22 16:52:10 10.1.1.1 138235: 094036: Jul 22 15:52:09.928 PCTime: ISAKMP:(0:28:SW:1):Send initial contact
Jul 22 16:52:10 10.1.1.1 138236: 094037: Jul 22 15:52:09.928 PCTime: ISAKMP:(0:28:SW:1):SA is doing pre-shared key authentication using id type ID_
IPV4_ADDR
Jul 22 16:52:10 10.1.1.1 138237: 094038: Jul 22 15:52:09.928 PCTime: ISAKMP (0:134217756): ID payload
Jul 22 16:52:10 10.1.1.1 138238: next-payload : 8
Jul 22 16:52:10 10.1.1.1 138239: type : 1
Jul 22 16:52:10 10.1.1.1 138240: address : Y.Y.Y.Y
Jul 22 16:52:10 10.1.1.1 138241: protocol : 17
Jul 22 16:52:10 10.1.1.1 138242: port : 500
Jul 22 16:52:10 10.1.1.1 138243: length : 12
Jul 22 16:52:10 10.1.1.1 138244: 094039: Jul 22 15:52:09.928 PCTime: ISAKMP:(0:28:SW:1):Total payload length: 12
Jul 22 16:52:10 10.1.1.1 138245: 094040: Jul 22 15:52:09.928 PCTime: CryptoEngine0: generate hmac context for conn id 28
Jul 22 16:52:10 10.1.1.1 138246: 094041: Jul 22 15:52:09.928 PCTime: ISAKMP:(0:28:SW:1): sending packet to X.X.X.X my_port 500 peer_port 500
(I) MM_KEY_EXCH
Jul 22 16:52:10 10.1.1.1 138247: 094042: Jul 22 15:52:09.928 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jul 22 16:52:10 10.1.1.1 138248: 094043: Jul 22 15:52:09.928 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_I_MM4 New State = IKE_I_MM5
Jul 22 16:52:10 10.1.1.1 138249:
Jul 22 16:52:10 10.1.1.1 138250: 094044: Jul 22 15:52:09.940 PCTime: ISAKMP (0:134217756): received packet from X.X.X.X dport 500 sport 500
Global (I) MM_KEY_EXCH
Jul 22 16:52:10 10.1.1.1 138251: 094045: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1): processing ID payload. message ID = 0
Jul 22 16:52:10 10.1.1.1 138252: 094046: Jul 22 15:52:09.940 PCTime: ISAKMP (0:134217756): ID payload
Jul 22 16:52:11 10.1.1.1 138253: next-payload : 8
Jul 22 16:52:11 10.1.1.1 138254: type : 1
Jul 22 16:52:11 10.1.1.1 138255:
Jul 22 16:52:11 10.1.1.1 138256: address : X.X.X.X
Jul 22 16:52:11 10.1.1.1 138257: protocol : 17
Jul 22 16:52:11 10.1.1.1 138258: port : 500
Jul 22 16:52:11 10.1.1.1 138259: length : 12
Jul 22 16:52:11 10.1.1.1 138260: 094047: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1):: peer matches *none* of the profiles
Jul 22 16:52:11 10.1.1.1 138261: 094048: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1): processing HASH payload. message ID = 0
Jul 22 16:52:11 10.1.1.1 138262: 094049: Jul 22 15:52:09.940 PCTime: CryptoEngine0: generate hmac context for conn id 28
Jul 22 16:52:11 10.1.1.1 138263: 094050: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1):SA authentication status:
Jul 22 16:52:11 10.1.1.1 138264: authenticated
Jul 22 16:52:11 10.1.1.1 138265: 094051: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1):SA has been authenticated with X.X.X.X
Jul 22 16:52:11 10.1.1.1 138266: 094052: Jul 22 15:52:09.940 PCTime: ISAKMP: Trying to insert a peer Y.Y.Y.Y/X.X.X.X/500/,
Jul 22 16:52:11 10.1.1.1 138267: and inserted successfully 44571EB4.
Jul 22 16:52:11 10.1.1.1 138268: 094053: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jul 22 16:52:11 10.1.1.1 138269: 094054: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_I_MM5 New State = IKE_I_MM6
Jul 22 16:52:11 10.1.1.1 138270:
Jul 22 16:52:11 10.1.1.1 138271: 094055: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jul 22 16:52:11 10.1.1.1 138272: 094056: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_I_MM6 New State = IKE_I_MM6
Jul 22 16:52:11 10.1.1.1 138273:
Jul 22 16:52:11 10.1.1.1 138274: 094057: Jul 22 15:52:09.944 PCTime: CryptoEngine0: clear dh number for conn id 19
Jul 22 16:52:11 10.1.1.1 138275: 094058: Jul 22 15:52:09.944 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jul 22 16:52:11 10.1.1.1 138276: 094059: Jul 22 15:52:09.944 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_I_MM6 New State = IKE_P1_COMPLETE
Jul 22 16:52:11 10.1.1.1 138277:
Jul 22 16:52:11 10.1.1.1 138278: 094060: Jul 22 15:52:09.944 PCTime: ISAKMP:(0:28:SW:1):beginning Quick Mode exchange, M-ID of -625100548
Jul 22 16:52:11 10.1.1.1 138279: 094061: Jul 22 15:52:09.944 PCTime: CryptoEngine0: generating alg parameter for connid 28
Jul 22 16:52:11 10.1.1.1 138280: 094062: Jul 22 15:52:09.968 PCTime: CRYPTO_ENGINE: Dh phase 1 status: 0
Jul 22 16:52:11 10.1.1.1 138281: 094063: Jul 22 15:52:09.968 PCTime: CRYPTO_ENGINE: Dh phase 1 status: OK
Jul 22 16:52:11 10.1.1.1 138282: 094064: Jul 22 15:52:09.968 PCTime: CryptoEngine0: generate hmac context for conn id 28
Jul 22 16:52:11 10.1.1.1 138283: 094065: Jul 22 15:52:09.968 PCTime: ISAKMP:(0:28:SW:1): sending packet to X.X.X.X my_port 500 peer_port 500
(I) QM_IDLE
Jul 22 16:52:11 10.1.1.1 138284: 094066: Jul 22 15:52:09.968 PCTime: ISAKMP:(0:28:SW:1):Node -625100548, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
Jul 22 16:52:11 10.1.1.1 138285: 094067: Jul 22 15:52:09.968 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_QM_READY New State = IKE_QM_I_QM1
Jul 22 16:52:11 10.1.1.1 138286: 094068: Jul 22 15:52:09.968 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
Jul 22 16:52:11 10.1.1.1 138287: 094069: Jul 22 15:52:09.968 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE
Jul 22 16:52:11 10.1.1.1 138288:
Jul 22 16:52:11 10.1.1.1 138289: 094070: Jul 22 15:52:11.764 PCTime: %LINK-3-UPDOWN: Interface Tunnel0, changed state to up
Jul 22 16:52:12 10.1.1.1 138290: 094071: Jul 22 15:52:11.764 PCTime: is_up: 0 state: 4 sub state: 1 line: 0 has_route: False
видимо проблема здесь:
crypto isakmp key SECRETKEY address X.X.X.X
crypto isakmp key SECRETKEY address 0.0.0.0 0.0.0.0
наверняка key одинаковые, поменяй кей для 0.0.0.0
если нет, то хотяб пиши SECRETKEY1, SECRETKEY2 и в местах с IP тож, хотяб конечную цифру оставляй.... а то мля, путаница.
>видимо проблема здесь:
>
>crypto isakmp key SECRETKEY address X.X.X.X
>crypto isakmp key SECRETKEY address 0.0.0.0 0.0.0.0
>
>наверняка key одинаковые, поменяй кей для 0.0.0.0
>если нет, то хотяб пиши SECRETKEY1, SECRETKEY2 и в местах с IP
>тож, хотяб конечную цифру оставляй.... а то мля, путаница.Извиняюсь. Забыл при переименовывание указать что они разные. Ключи там разные, и ключ берется правильный, фаза 1 проходит успешно.
второй ключ для address 0.0.0.0 0.0.0.0 - это для виндовых машин, которые с разных IP подключаются.
пробывал менять?
crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
crypto map L2TP 30 ipsec-isakmp dynamic SITE_TO_SITE
20 - 30
из 30 сделать 10 скажем.а это зачем?
crypto map S_T_S 1 ipsec-isakmp dynamic SITE_TO_SITE
и где
CRYPTO_ACL_IPSecменя смущает все-таки твоя динамика для 0.0.0.0
попробуй без неё, или пробывал уже.
>пробывал менять?
>crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
>crypto map L2TP 30 ipsec-isakmp dynamic SITE_TO_SITE
>20 - 30
>из 30 сделать 10 скажем.Ето не поможет и в данном примере оно вообще не используется
Скажем так. Пробывал просто 2 способами:
1) Без интерфейса Тунель0, а на внешнем интерфейсе с помощью crypto map. Но так как как 1 интерфейсе только 1 crypto map, поетому на существующем L2TP (мап для виндовых) создал сиквенс (или как там его - с большим номером) для того, чтобы паралельно поднят ВПН между сетками. Но такой способ даже этих успехов не давал. поэтому и создал туннель2) Как в данном примере отдельным интерфейсом туннелем. А конфиге тунеля напрямую указывается какой профиль использовать tunnel protection ipsec profile SITE_TO_SITE . И как я понимаю до динамики и не доходит.
>
>а это зачем?
>crypto map S_T_S 1 ipsec-isakmp dynamic SITE_TO_SITEЕто для тест аделалса отделный map и вешался на интерфесе interface Tunnel0 crypto map S_T_S. Но тоде не помогло - затык в таком же месте
>
>
>и где
>CRYPTO_ACL_IPSecip access-list extended CRYPTO_ACL_IPSec
remark SDM_ACL Category=20
permit ip 10.0.1.0 0.0.0.255 192.168.0.0 0.0.0.255
permit icmp 10.0.1.0 0.0.0.255 192.168.0.0 0.0.0.255
>
>меня смущает все-таки твоя динамика для 0.0.0.0
>попробуй без неё, или пробывал уже.А что значит динамика для 0.0.0.0? Причем динамика мап"ов к 0.0.0.0
Динамика мне нужна, потому что у меня виндовые клиенты с разными настройками (Виста и ХР имеют разные алгоритмы.)
убери ка
crypto dynamic-map SITE_TO_SITE 20
set peer X.X.X.X
set pfs group2
match address CRYPTO_ACL_IPSeccrypto map L2TP 30 ipsec-isakmp dynamic SITE_TO_SITE
crypto ipsec profile SITE_TO_SITE
set transform-set SITE_TO_SITE
set pfs group2
и поставь
crypto map SITE_TO_SITE 1 ipsec-isakmp
set peer X.X.X.X
set transform-set SITE_TO_SITE
match address CRYPTO_ACL_IPSec
>[оверквотинг удален]
>set pfs group2
>
>и поставь
>
>crypto map SITE_TO_SITE 1 ipsec-isakmp
> set peer X.X.X.X
> set transform-set SITE_TO_SITE
> match address CRYPTO_ACL_IPSec
>
>Так так не покатить. Если так, то тогда нада в настройках тунеля убрать использовать tunnel protection ipsec profile SITE_TO_SITE
И соотвественно поставить использоват crypto map SITE_TO_SITE
Попробую.....
>[оверквотинг удален]
>> match address CRYPTO_ACL_IPSec
>>
>>
>
>Так так не покатить. Если так, то тогда нада в настройках тунеля
>убрать использовать tunnel protection ipsec profile SITE_TO_SITE
>
>И соотвественно поставить использоват crypto map SITE_TO_SITE
>
>Попробую.....Поставил на тунель crypto map SITE_TO_SITE - не помогло, все те же симптомы.
убрал tunnel protection ipsec profile SITE_TO_SITE - вообще даже нету попыткиподнять тунель. Даже не пробует приконектится к линуксу.
тебя не поймешь, у тя в конфиге, вообще-то твоя туннель была в shutdown
если создаешь GRE-туннель, то тогда надо и маршруты прописывать
но всё должно прекрасно работать и без туннеля.
криптомап вешай на одном интерфейсе - исходящем.не надо туннели вообще.
>тебя не поймешь, у тя в конфиге, вообще-то твоя туннель была в
>shutdownНа моент списывания конфигов туенль был выключен. Что ж тут не понятного. Я его включаю, смотрю в логах почему не поднимается тунель, пытаюсь исправить и снова включаю... что не так?)))
>если создаешь GRE-туннель, то тогда надо и маршруты прописывать
А вот тут поподробнее. Сто где прописывать? Насколько я понимаю я создаю тунель таки IPSec что четко написанов строках
tunnel source GigabitEthernet0/0
tunnel destination X.X.X.X
tunnel mode ipsec ipv4
tunnel path-mtu-discovery
tunnel protection ipsec profile SITE_TO_SITE>но всё должно прекрасно работать и без туннеля.
>криптомап вешай на одном интерфейсе - исходящем.
>
>не надо туннели вообще.Так пробывал. На исходящем интерфесе висит крипт мап L2TP.
Я на крипт мап L2TP в сивкенсах дописал настройку для моего случая, но как я понимаю что Циску что Линукс ожидали конекта одновременно, поетому ничего и не просиходило.
вот тебе 100% рабочий пример на твой лад:crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600crypto isakmp key MyKey address X.X.X.X
crypto ipsec transform-set SITE_TO_SITE-set esp-3des esp-md5-hmac
mode transportcrypto map SITE_TO_SITE-map 2 ipsec-isakmp
set peer X.X.X.X
set transform-set SITE_TO_SITE-set
match address CRYPTO_ACL_IPSecip access-list extended CRYPTO_ACL_IPSec
permit ip 192.168.0.0 0.0.0.255 10.0.1.0 0.0.0.255
permit icmp 192.168.0.0 0.0.0.255 10.0.1.0 0.0.0.255
permit ip 10.0.1.0 0.0.0.255 192.168.0.0 0.0.0.255
permit icmp 10.0.1.0 0.0.0.255 192.168.0.0 0.0.0.255
если хочешь с GRE-тунелью, то читай это - http://wiki.dodex.org/?p=431
>если хочешь с GRE-тунелью, то читай это - http://wiki.dodex.org/?p=431Не хочу и не могу, требуется только IPSec tunnel
>вот тебе 100% рабочий пример на твой лад:Ну вопервых у меня есть виндовые клиенты, котроые ка кработали так и долждны продолжать рабоать!! И конфиг для них я не могу сносить.
>[оверквотинг удален]
> encr 3des
> hash md5
> authentication pre-share
> group 2
> lifetime 3600
>
>crypto isakmp key MyKey address X.X.X.X
>
>crypto ipsec transform-set SITE_TO_SITE-set esp-3des esp-md5-hmac
> mode transportА почему трансопрт? ведь мы тунель то строим в режиме тунеля а не транспорта? Ето даже со стороны Линукса прописано!
>[оверквотинг удален]
>crypto map SITE_TO_SITE-map 2 ipsec-isakmp
> set peer X.X.X.X
> set transform-set SITE_TO_SITE-set
> match address CRYPTO_ACL_IPSec
>
>ip access-list extended CRYPTO_ACL_IPSec
> permit ip 192.168.0.0 0.0.0.255 10.0.1.0 0.0.0.255
> permit icmp 192.168.0.0 0.0.0.255 10.0.1.0 0.0.0.255
> permit ip 10.0.1.0 0.0.0.255 192.168.0.0 0.0.0.255
> permit icmp 10.0.1.0 0.0.0.255 192.168.0.0 0.0.0.255
в том то и дело что мы туннель не строим.... поэтому и транспорт
тебе нужна всего-лишь шифрация траффика между сетями, без туннеля.
никто и не говорит о сносе настроек для виндовых клиентов, пусть себе работают.
>в том то и дело что мы туннель не строим.... поэтому и
>транспортокончательно запутался.. а что же мы тогда строим? Нужен именно тунель, что ВЕСЬ локальный пакетик который бежитиз одной сети в другую, полностю "завернулся", прошол через тунель в завернутом виде, и развернулса с другой стороны.. или я тчо-то не понимаю?
>тебе нужна всего-лишь шифрация траффика между сетями, без туннеля.
Ито как?
и какие тогда натсройки с Линуксовой стороны?
там же вроде чьотоко описано тунель
spdadd 192.168.0.0/24[any] 10.0.1.0/24[any] any -P out ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/require;
spdadd 10.0.1.0/24[any] 192.168.0.0/24[any] any -P in ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X/require;
и даже такой интерфес поднимаю
/etc/sysconfig/network-scripts/ifcfg-ipsec0
TYPE=IPSEC
ONBOOT=no
IKE_METHOD=PSK
SRCGW=192.168.0.12
DSTGW=10.0.1.1
SRCNET=192.168.0.0/24
DSTNET=10.0.1.0/24
DST=Y.Y.Y.Y>никто и не говорит о сносе настроек для виндовых клиентов, пусть себе
>работают.
Не обижайся, но ты помоему действительно не понимаешь как всё должно работать.если это туннель, то тогда на линуксе тебе надо поднять интерфейс tun0 (скажем)
ip tunn add etc.
и такой же на циске, сделать маршрутизацию между сетями и завернуть всё это в ipsecв данном же случае, на линуксе нет ничего - просто транспорт
соответственно и на циске интерфейс не нужен.
>Не обижайся, но ты помоему действительно не понимаешь как всё должно работать.Ну я не отрицаю того, что я не до конца понимаю)) Для этого я тут и спрашиваю))
>
>
>если это туннель, то тогда на линуксе тебе надо поднять интерфейс tun0
>(скажем)
>ip tunn add etc.
>и такой же на циске, сделать маршрутизацию между сетями и завернуть всё
>это в ipsec
>
>в данном же случае, на линуксе нет ничего - просто транспорт
>соответственно и на циске интерфейс не нужен.Угу. Смотри . Сначала так и пробывал:
Создал на внешнем интерфесйе криптомап, он один что для виндовых что для сетка-сетка(ибо 2 мапа нельна повесить на 1 интерыейс). Настроил так чтобы для сетка-сетка были свои ипсек настрйки. Ето кстате видно в конфиге что я кидал
crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac
!
crypto dynamic-map L2TP_D 10
set transform-set L2TP L2TP_V
!
crypto dynamic-map SITE_TO_SITE 20
set peer X.X.X.X
set pfs group2
match address CRYPTO_ACL_IPSec
!
!
crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
crypto map L2TP 30 ipsec-isakmp dynamic SITE_TO_SITEНо как я понял никто не выступал инициатором соеденения. В логах циски и линукса было 0. Как я понимаю, оба сервера сидели и ждали конектов. Как заставить тогда линукс\ракун выступить инициатором соеденения? Или как при таком варианте заставить циску быть инициатором соеденения?
И есть есче один момент, которые мены заставил сделат отделный интерфес: етот канал должен бытьограниченной пропускной способностю. А ограничевать весь внешний интерфесь, через корый за натом офис сидит - нелогично!
вот тебе еще одна ссылочка, почитай, особенно внизу
http://wiki.dodex.org/?p=546
>вот тебе еще одна ссылочка, почитай, особенно внизу
>http://wiki.dodex.org/?p=546А что там такого, что я не сделал?
>>вот тебе еще одна ссылочка, почитай, особенно внизу
>>http://wiki.dodex.org/?p=546
>
>А что там такого, что я не сделал?там внятно объясняется разница между туннелью и транспортом. а ты пытаешься с одной стороны сделать одно, а с другой другое.
>вот тебе еще одна ссылочка, почитай, особенно внизу
>http://wiki.dodex.org/?p=546по поводу ограничения, кто тебе мешает включить шейпинг на IP обратной стороны?
соединение будет инициированной, если скажем ты пошлешь пинг с одной сети в другую.
>>вот тебе еще одна ссылочка, почитай, особенно внизу
>>http://wiki.dodex.org/?p=546
>
>по поводу ограничения, кто тебе мешает включить шейпинг на IP обратной стороны?А как ето сделать?
>
>соединение будет инициированной, если скажем ты пошлешь пинг с одной сети в
>другую.Вот я идиот. Я все делал, но не пинговал, то есть не создавал трафик, и ничего не получалось. Щас вроде что то пропинговуется. Все убираю нафиг тунель. Делаю через внешний интерфейс. Покамесь не выходит, но дело сдвинулось . Если что. то я сдесь отпишусь. Надеюсь на помощь. Огромное спасибо)))
>[оверквотинг удален]
>А как ето сделать?
>>
>>соединение будет инициированной, если скажем ты пошлешь пинг с одной сети в
>>другую.
>
>Вот я идиот. Я все делал, но не пинговал, то есть не
>создавал трафик, и ничего не получалось. Щас вроде что то пропинговуется.
>Все убираю нафиг тунель. Делаю через внешний интерфейс. Покамесь не выходит,
>но дело сдвинулось . Если что. то я сдесь отпишусь. Надеюсь
>на помощь. Огромное спасибо)))ТакПокаместь на таком моменте остановилса
Jul 22 20:14:24 10.1.1.1 143461: 098050: Jul 22 19:14:24.422 PCTime: ISAKMP:(0:20:SW:1):atts are acceptable.
Jul 22 20:14:24 10.1.1.1 143462: 098051: Jul 22 19:14:24.422 PCTime: IPSEC(validate_proposal_request): proposal part #1
Jul 22 20:14:24 10.1.1.1 143463: ,
Jul 22 20:14:24 10.1.1.1 143464: (key eng. msg.) INBOUND local= Y.Y.Y.Y, remote= X.X.X.X,
Jul 22 20:14:24 10.1.1.1 143465: local_proxy= 10.1.1.0/255.255.255.0/0/0 (type=4),
Jul 22 20:14:24 10.1.1.1 143466: remote_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4),
Jul 22 20:14:24 10.1.1.1 143467: protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
Jul 22 20:14:24 10.1.1.1 143468: lifedur= 0s and 0kb,
Jul 22 20:14:24 10.1.1.1 143469: spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x22
Jul 22 20:14:24 10.1.1.1 143470: 098052: Jul 22 19:14:24.422 PCTime: CryptoEngine0: validate proposal request
Jul 22 20:14:24 10.1.1.1 143471: 098053: Jul 22 19:14:24.422 PCTime: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local addres
s Y.Y.Y.Y
Jul 22 20:14:24 10.1.1.1 143472: 098054: Jul 22 19:14:24.422 PCTime: ISAKMP:(0:20:SW:1): IPSec policy invalidated proposal
Jul 22 20:14:24 10.1.1.1 143473: 098055: Jul 22 19:14:24.422 PCTime: ISAKMP:(0:20:SW:1): phase 2 SA policy not acceptable! (local Y.Y.Y.Y re
mote X.X.X.X)конфиг такой
crypto ipsec transform-set L2TP esp-3des esp-md5-hmac
mode transport
crypto ipsec transform-set L2TP_V ah-sha-hmac esp-3des esp-sha-hmac
mode transport
crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac!
crypto dynamic-map L2TP_D 10
set transform-set L2TP L2TP_V
crypto dynamic-map L2TP_D 20
set peer X.X.X.X
set transform-set SITE_TO_SITE
match address CRYPTO_ACL_IPSec
!
!
!
crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
а почему опять dynamic-map?
я ж дал пример.
>а почему опять dynamic-map?
>я ж дал пример.А как я туда впихну своих виндовых? Там пример без них. А они то все на одном внешнем интерфейсе живут.
>>а почему опять dynamic-map?
>>я ж дал пример.
>
>А как я туда впихну своих виндовых? Там пример без них. А
>они то все на одном внешнем интерфейсе живут.ну что ты за странный человек....
ты хоть попробовал, один и тот же мап, с разными приоритетами, но второй без dynamic
ты хоть пробуй чтоль.
>>>а почему опять dynamic-map?
>>>я ж дал пример.
>>
>>А как я туда впихну своих виндовых? Там пример без них. А
>>они то все на одном внешнем интерфейсе живут.
>
>ну что ты за странный человек....
>ты хоть попробовал, один и тот же мап, с разными приоритетами, но
>второй без dynamic
>ты хоть пробуй чтоль.Башка ужо не варит, завтра попробую на свежую голову и отпишусь. Главное чтобы ты завтра был сдесь)) Весьма тебе благодарен за все))
>>>а почему опять dynamic-map?
>>>я ж дал пример.
>>
>>А как я туда впихну своих виндовых? Там пример без них. А
>>они то все на одном внешнем интерфейсе живут.
>
>ну что ты за странный человек....
>ты хоть попробовал, один и тот же мап, с разными приоритетами, но
>второй без dynamic
>ты хоть пробуй чтоль.Кроме того, dinamic map должен быть последним в списке.
>>>а почему опять dynamic-map?
>>>я ж дал пример.
>>
>>А как я туда впихну своих виндовых? Там пример без них. А
>>они то все на одном внешнем интерфейсе живут.
>
>ну что ты за странный человек....
>ты хоть попробовал, один и тот же мап, с разными приоритетами, но
>второй без dynamic
>ты хоть пробуй чтоль.Попробовал.
Не работает. Описую все симптомы.Конфиг циски:
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp policy 20
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 30
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp key SECRETKEY1 address X.X.X.X
crypto isakmp key SECRETKEY2 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set L2TP esp-3des esp-md5-hmac
mode transport
crypto ipsec transform-set L2TP_V ah-sha-hmac esp-3des esp-sha-hmac
mode transport
crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac
mode transport
!
crypto dynamic-map L2TP_D 10
set transform-set L2TP L2TP_V
!
!
!
crypto map L2TP 1 ipsec-isakmp
set peer X.X.X.X
set transform-set SITE_TO_SITE
set pfs group2
match address CRYPTO_ACL_IPSec
crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
!
ip access-list extended CRYPTO_ACL_IPSec
remark SDM_ACL Category=20
permit ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255
permit icmp 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255
permit ip 192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255
permit icmp 192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255router_2800#sh crypto ipsec sa interface GigabitEthernet0/0
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
current_peer X.X.X.X port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0local crypto endpt.: Y.Y.Y.Y, remote crypto endpt.: X.X.X.X
path mtu 1480, ip mtu 1480
current outbound spi: 0x0(0)inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
protected vrf: (none)
local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
remote ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
current_peer X.X.X.X port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 12, #recv errors 0local crypto endpt.: Y.Y.Y.Y, remote crypto endpt.: X.X.X.X
path mtu 1480, ip mtu 1480
current outbound spi: 0x0(0)inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
protected vrf: (none)
local ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/1/0)
remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/1/0)
current_peer X.X.X.X port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0local crypto endpt.: Y.Y.Y.Y, remote crypto endpt.: X.X.X.X
path mtu 1480, ip mtu 1480
current outbound spi: 0x0(0)inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
protected vrf: (none)
local ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/1/0)
remote ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/1/0)
current_peer X.X.X.X port 500
PERMIT, flags={origin_is_acl,}
#pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
#pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
#pkts compressed: 0, #pkts decompressed: 0
#pkts not compressed: 0, #pkts compr. failed: 0
#pkts not decompressed: 0, #pkts decompress failed: 0
#send errors 0, #recv errors 0local crypto endpt.: Y.Y.Y.Y, remote crypto endpt.: X.X.X.X
path mtu 1480, ip mtu 1480
current outbound spi: 0x0(0)inbound esp sas:
inbound ah sas:
inbound pcp sas:
outbound esp sas:
outbound ah sas:
outbound pcp sas:
конфиг линукса
remote Y.Y.Y.Y
{
exchange_mode main, aggressive;
doi ipsec_doi;
situation identity_only;
my_identifier address X.X.X.X;
initial_contact on;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}sainfo address 192.168.0.0/24 any address 10.0.1.0/24 any {
pfs_group 2; # pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}[root@mon]~# setkey -DP
10.1.1.0/24[any] 192.168.0.0/24[any] any
in prio def ipsec
esp/tunnel/Y.Y.Y.Y-X.X.X.X/require
ah/tunnel/Y.Y.Y.Y-X.X.X.X/require
created: Jul 23 10:12:44 2009 lastused:
lifetime: 0(s) validtime: 0(s)
spid=5512 seq=4 pid=5302
refcnt=1
192.168.0.0/24[any] 10.1.1.0/24[any] any
out prio def ipsec
esp/tunnel/X.X.X.X-Y.Y.Y.Y/require
ah/tunnel/X.X.X.X-Y.Y.Y.Y/require
created: Jul 23 10:12:44 2009 lastused: Jul 23 10:12:53 2009
lifetime: 0(s) validtime: 0(s)
spid=5505 seq=3 pid=5302
refcnt=2
10.1.1.0/24[any] 192.168.0.0/24[any] any
fwd prio def ipsec
esp/tunnel/Y.Y.Y.Y-X.X.X.X/require
ah/tunnel/Y.Y.Y.Y-X.X.X.X/require
created: Jul 23 10:12:44 2009 lastused:
lifetime: 0(s) validtime: 0(s)
spid=5522 seq=2 pid=5302
refcnt=1
(per-socket policy)
in none
created: Jul 23 10:12:44 2009 lastused: Jul 23 10:12:53 2009
lifetime: 0(s) validtime: 0(s)
spid=5531 seq=1 pid=5302
refcnt=1
(per-socket policy)
out none
created: Jul 23 10:12:44 2009 lastused: Jul 23 10:12:53 2009
lifetime: 0(s) validtime: 0(s)
spid=5540 seq=0 pid=5302
refcnt=1При пинег со стороны циски
Jul 23 10:22:39 mon racoon: INFO: respond new phase 1 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
Jul 23 10:22:39 mon racoon: INFO: begin Identity Protection mode.
Jul 23 10:22:39 mon racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-07
Jul 23 10:22:39 mon racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
Jul 23 10:22:39 mon racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Jul 23 10:22:39 mon racoon: INFO: received Vendor ID: CISCO-UNITY
Jul 23 10:22:39 mon racoon: INFO: received Vendor ID: DPD
Jul 23 10:22:39 mon racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Jul 23 10:22:39 mon racoon: WARNING: ignore INITIAL-CONTACT notification, because it is only accepted after phase1.
Jul 23 10:22:39 mon racoon: INFO: ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:1f36d2df0946dd2f:3ede2786fed9cd
2e
Jul 23 10:22:39 mon racoon: INFO: respond new phase 2 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
Jul 23 10:22:39 mon racoon: ERROR: not matched
Jul 23 10:22:39 mon racoon: ERROR: no suitable policy found.
Jul 23 10:22:39 mon racoon: ERROR: failed to pre-process packet.
Jul 23 10:22:39 mon racoon: INFO: purging ISAKMP-SA spi=1f36d2df0946dd2f:3ede2786fed9cd2e.
Jul 23 10:22:39 mon racoon: INFO: purged ISAKMP-SA spi=1f36d2df0946dd2f:3ede2786fed9cd2e.
Jul 23 10:22:40 mon racoon: INFO: ISAKMP-SA deleted X.X.X.X[500]-Y.Y.Y.Y[500] spi:1f36d2df0946dd2f:3ede2786fed9cd2eJul 23 10:24:49 10.1.1.1 157159: 108854: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):: peer matches *none* of the profiles
Jul 23 10:24:49 10.1.1.1 157160: 108855: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1): processing HASH payload. message ID = 0
Jul 23 10:24:49 10.1.1.1 157161: 108856: Jul 23 09:24:48.239 PCTime: CryptoEngine0: generate hmac context for conn id 10
Jul 23 10:24:49 10.1.1.1 157162: 108857: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):SA authentication status:
Jul 23 10:24:49 10.1.1.1 157163: authenticated
Jul 23 10:24:49 10.1.1.1 157164: 108858: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):SA has been authenticated with X.X.X.X
Jul 23 10:24:49 10.1.1.1 157165: 108859: Jul 23 09:24:48.239 PCTime: ISAKMP: Trying to insert a peer Y.Y.Y.Y/X.X.X.X/500/, and inser
ted successfully 4468F960.
Jul 23 10:24:49 10.1.1.1 157166: 108860: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jul 23 10:24:49 10.1.1.1 157167: 108861: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):Old State = IKE_I_MM5 New State = IKE_I_MM6
Jul 23 10:24:49 10.1.1.1 157168:
Jul 23 10:24:49 10.1.1.1 157169: 108862: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jul 23 10:24:49 10.1.1.1 157170: 108863: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):Old State = IKE_I_MM6 New State = IKE_I_MM6
Jul 23 10:24:49 10.1.1.1 157171:
Jul 23 10:24:49 10.1.1.1 157172: 108864: Jul 23 09:24:48.239 PCTime: CryptoEngine0: clear dh number for conn id 3
Jul 23 10:24:49 10.1.1.1 157173: 108865: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jul 23 10:24:49 10.1.1.1 157174: 108866: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):Old State = IKE_I_MM6 New State = IKE_P1_COMPLETE
Jul 23 10:24:49 10.1.1.1 157175:
Jul 23 10:24:49 10.1.1.1 157176: 108867: Jul 23 09:24:48.243 PCTime: ISAKMP:(0:10:SW:1):beginning Quick Mode exchange, M-ID of -818982025
Jul 23 10:24:49 10.1.1.1 157177: 108868: Jul 23 09:24:48.243 PCTime: CryptoEngine0: generating alg parameter for connid 10
Jul 23 10:24:49 10.1.1.1 157178: 108869: Jul 23 09:24:48.263 PCTime: CRYPTO_ENGINE: Dh phase 1 status: 0
Jul 23 10:24:49 10.1.1.1 157179: 108870: Jul 23 09:24:48.263 PCTime: CRYPTO_ENGINE: Dh phase 1 status: OK
Jul 23 10:24:49 10.1.1.1 157180: 108871: Jul 23 09:24:48.267 PCTime: CryptoEngine0: generate hmac context for conn id 10
Jul 23 10:24:49 10.1.1.1 157181: 108872: Jul 23 09:24:48.267 PCTime: ISAKMP:(0:10:SW:1): sending packet to X.X.X.X my_port 500 peer_port 500
(I) QM_IDLE
Jul 23 10:24:49 10.1.1.1 157182: 108873: Jul 23 09:24:48.267 PCTime: ISAKMP:(0:10:SW:1):Node -818982025, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
Jul 23 10:24:49 10.1.1.1 157183: 108874: Jul 23 09:24:48.267 PCTime: ISAKMP:(0:10:SW:1):Old State = IKE_QM_READY New State = IKE_QM_I_QM1
Jul 23 10:24:49 10.1.1.1 157184: 108875: Jul 23 09:24:48.267 PCTime: ISAKMP:(0:10:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
Jul 23 10:24:49 10.1.1.1 157185: 108876: Jul 23 09:24:48.267 PCTime: ISAKMP:(0:10:SW:1):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE
Jul 23 10:24:49 10.1.1.1 157186:
Jul 23 10:24:49 10.1.1.1 157187: 108877: Jul 23 09:24:48.315 PCTime: ISAKMP (0:134217738): received packet from X.X.X.X dport 500 sport 500
Global (I) QM_IDLE
Jul 23 10:24:49 10.1.1.1 157188: 108878: Jul 23 09:24:48.315 PCTime: ISAKMP: set new node -587284616 to QM_IDLE
Jul 23 10:24:49 10.1.1.1 157189: 108879: Jul 23 09:24:48.315 PCTime: CryptoEngine0: generate hmac context for conn id 10
Jul 23 10:24:49 10.1.1.1 157190: 108880: Jul 23 09:24:48.315 PCTime: ISAKMP:(0:10:SW:1): processing HASH payload. message ID = -587284616
Jul 23 10:24:49 10.1.1.1 157191: 108881: Jul 23 09:24:48.315 PCTime: ISAKMP:(0:10:SW:1): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 1
Jul 23 10:24:49 10.1.1.1 157192: spi 0, message ID = -587284616, sa = 4463B944
Jul 23 10:24:49 10.1.1.1 157193: 108882: Jul 23 09:24:48.315 PCTime: ISAKMP:(0:10:SW:1):peer does not do paranoid keepalives.
Jul 23 10:24:49 10.1.1.1 157194:
Jul 23 10:24:49 10.1.1.1 157195: 108883: Jul 23 09:24:48.315 PCTime: ISAKMP:(0:10:SW:1):deleting SA reason "Recevied fatal informational" state (I)
QM_IDLE (peer X.X.X.X)
Jul 23 10:24:49 10.1.1.1 157196: 108884: Jul 23 09:24:48.315 PCTime: ISAKMP:(0:10:SW:1):deleting node -587284616 error FALSE reason "Informational
(in) state 1"
Jul 23 10:24:49 10.1.1.1 157197: 108885: Jul 23 09:24:48.315 PCTime: ISAKMP:(0:10:SW:1):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
Jul 23 10:24:49 10.1.1.1 157198: 108886: Jul 23 09:24:48.315 PCTime: ISAKMP:(0:10:SW:1):Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE
Jul 23 10:24:49 10.1.1.1 157199:
Jul 23 10:24:49 10.1.1.1 157200: 108887: Jul 23 09:24:48.315 PCTime: ISAKMP: set new node -1051703389 to QM_IDLE
Jul 23 10:24:49 10.1.1.1 157201: 108888: Jul 23 09:24:48.315 PCTime: CryptoEngine0: generate hmac context for conn id 10
Jul 23 10:24:49 10.1.1.1 157202: 108889: Jul 23 09:24:48.315 PCTime: ISAKMP:(0:10:SW:1): sending packet to X.X.X.X my_port 500 peer_port 500
(I) QM_IDLE
Jul 23 10:24:49 10.1.1.1 157203: 108890: Jul 23 09:24:48.319 PCTime: ISAKMP:(0:10:SW:1):purging node -1051703389
Jul 23 10:24:49 10.1.1.1 157204: 108891: Jul 23 09:24:48.319 PCTime: ISAKMP:(0:10:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
Jul 23 10:24:49 10.1.1.1 157205: 108892: Jul 23 09:24:48.319 PCTime: ISAKMP:(0:10:SW:1):Old State = IKE_P1_COMPLETE New State = IKE_DEST_SA
Jul 23 10:24:49 10.1.1.1 157206:
Jul 23 10:24:49 10.1.1.1 157207: 108893: Jul 23 09:24:48.319 PCTime: ISAKMP:(0:10:SW:1):deleting SA reason "No reason" state (I) QM_IDLE (pee
r X.X.X.X)
Jul 23 10:24:49 10.1.1.1 157208: 108894: Jul 23 09:24:48.319 PCTime: ISAKMP: Unlocking IKE struct 0x4468F960 for isadb_mark_sa_deleted(), count 0
Jul 23 10:24:49 10.1.1.1 157209: 108895: Jul 23 09:24:48.319 PCTime: ISAKMP: Deleting peer node by peer_reap for X.X.X.X: 4468F960
Jul 23 10:24:49 10.1.1.1 157210: 108896: Jul 23 09:24:48.319 PCTime: ISAKMP:(0:10:SW:1):deleting node -818982025 error FALSE reason "IKE deleted"
Jul 23 10:24:49 10.1.1.1 157211: 108897: Jul 23 09:24:48.319 PCTime: ISAKMP:(0:10:SW:1):deleting node -587284616 error FALSE reason "IKE deleted"
Jul 23 10:24:49 10.1.1.1 157212: 108898: Jul 23 09:24:48.319 PCTime: ISAKMP:(0:10:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jul 23 10:24:49 10.1.1.1 157213: 108899: Jul 23 09:24:48.319 PCTime: ISAKMP:(0:10:SW:1):Old State = IKE_DEST_SA New State = IKE_DEST_SA
Jul 23 10:24:49 10.1.1.1 157214:
Jul 23 10:24:49 10.1.1.1 157215: 108900: Jul 23 09:24:48.319 PCTime: IPSEC(key_engine): got a queue event with 1 kei messages
при пинга со стороний линукса
лог циско
Jul 23 10:26:51 10.1.1.1 157796: 109341: Jul 23 09:26:50.817 PCTime: ISAKMP:(0:13:SW:1):Checking IPSec proposal 1
Jul 23 10:26:51 10.1.1.1 157797: 109342: Jul 23 09:26:50.817 PCTime: ISAKMP: transform 1, ESP_3DES
Jul 23 10:26:51 10.1.1.1 157798: 109343: Jul 23 09:26:50.817 PCTime: ISAKMP: attributes in transform:
Jul 23 10:26:51 10.1.1.1 157799: 109344: Jul 23 09:26:50.817 PCTime: ISAKMP: SA life type in seconds
Jul 23 10:26:51 10.1.1.1 157800: 109345: Jul 23 09:26:50.817 PCTime: ISAKMP: SA life duration (basic) of 28800
Jul 23 10:26:51 10.1.1.1 157801: 109346: Jul 23 09:26:50.817 PCTime: ISAKMP: encaps is 1 (Tunnel)
Jul 23 10:26:51 10.1.1.1 157802: 109347: Jul 23 09:26:50.817 PCTime: ISAKMP: authenticator is HMAC-MD5
Jul 23 10:26:51 10.1.1.1 157803: 109348: Jul 23 09:26:50.817 PCTime: ISAKMP: group is 2
Jul 23 10:26:51 10.1.1.1 157804: 109349: Jul 23 09:26:50.817 PCTime: CryptoEngine0: validate proposal
Jul 23 10:26:51 10.1.1.1 157805: 109350: Jul 23 09:26:50.817 PCTime: ISAKMP:(0:13:SW:1):atts are acceptable.
Jul 23 10:26:51 10.1.1.1 157806: 109351: Jul 23 09:26:50.817 PCTime: IPSEC(validate_proposal_request): proposal part #1,
Jul 23 10:26:51 10.1.1.1 157807: (key eng. msg.) INBOUND local= Y.Y.Y.Y, remote= X.X.X.X,
Jul 23 10:26:51 10.1.1.1 157808: local_proxy= 10.1.1.0/255.255.255.0/0/0 (type=4),
Jul 23 10:26:51 10.1.1.1 157809: remote_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4),
Jul 23 10:26:51 10.1.1.1 157810: protocol= AH, transform= ah-md5-hmac (Tunnel),
Jul 23 10:26:51 10.1.1.1 157811: lifedur= 0s and 0kb,
Jul 23 10:26:51 10.1.1.1 157812: spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x22
Jul 23 10:26:51 10.1.1.1 157813: 109352: Jul 23 09:26:50.817 PCTime: IPSEC(validate_proposal_request): proposal part #2,
Jul 23 10:26:51 10.1.1.1 157814: (key eng. msg.) INBOUND local= Y.Y.Y.Y, remote= X.X.X.X,
Jul 23 10:26:51 10.1.1.1 157815: local_proxy= 10.1.1.0/255.255.255.0/0/0 (type=4),
Jul 23 10:26:51 10.1.1.1 157816: remote_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4)
Jul 23 10:26:51 10.1.1.1 157817: ,
Jul 23 10:26:51 10.1.1.1 157818: protocol= ESP, transform= esp-3des esp-md5-hmac (Tunnel),
Jul 23 10:26:51 10.1.1.1 157819: lifedur= 0s and 0kb,
Jul 23 10:26:51 10.1.1.1 157820: spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x22
Jul 23 10:26:51 10.1.1.1 157821: 109353: Jul 23 09:26:50.817 PCTime: CryptoEngine0: validate proposal request
Jul 23 10:26:51 10.1.1.1 157822: 109354: Jul 23 09:26:50.817 PCTime: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local addres
s Y.Y.Y.Y
Jul 23 10:26:51 10.1.1.1 157823: 109355: Jul 23 09:26:50.817 PCTime: ISAKMP:(0:13:SW:1): IPSec policy invalidated proposal
Jul 23 10:26:51 10.1.1.1 157824: 109356: Jul 23 09:26:50.817 PCTime: ISAKMP:(0:13:SW:1): phase 2 SA policy not acceptable! (local Y.Y.Y.Y re
mote X.X.X.X)
Jul 23 10:26:51 10.1.1.1 157825: 109357: Jul 23 09:26:50.817 PCTime: ISAKMP: set new node -1192811471 to QM_IDLE
Jul 23 10:26:51 10.1.1.1 157826: 109358: Jul 23 09:26:50.817 PCTime: CryptoEngine0: generate hmac context for conn id 13
Jul 23 10:26:52 10.1.1.1 157827: 109359: Jul 23 09:26:50.821 PCTime: ISAKMP:(0:13:SW:1):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 2
Jul 23 10:26:52 10.1.1.1 157828: spi 1142015312, message ID = -1192811471
Jul 23 10:26:52 10.1.1.1 157829: 109360: Jul 23 09:26:50.821 PCTime: ISAKMP:(0:13:SW:1): sending packet to X.X.X.X my_port 500 peer_port 500
(R) QM_IDLE
Jul 23 10:26:52 10.1.1.1 157830: 109361: Jul 23 09:26:50.821 PCTime: ISAKMP:(0:13:SW:1):purging node -1192811471
Jul 23 10:26:52 10.1.1.1 157831: 109362: Jul 23 09:26:50.821 PCTime: ISAKMP:(0:13:SW:1):deleting node -1410154997 error TRUE reason "QM rejected"
Jul 23 10:26:52 10.1.1.1 157832: 109363: Jul 23 09:26:50.821 PCTime: ISAKMP (0:134217741): Unknown Input IKE_MESG_FROM_PEER, IKE_QM_EXCH:
Jul 23 10:26:52 10.1.1.1 157833: for node -1410154997: state = IKE_QM_READY
Jul 23 10:26:52 10.1.1.1 157834: 109364: Jul 23 09:26:50.821 PCTime: ISAKMP:(0:13:SW:1):Node -1410154997, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
Jul 23 10:26:52 10.1.1.1 157835: 109365: Jul 23 09:26:50.821 PCTime: ISAKMP:(0:13:SW:1):Old State = IKE_QM_READY New State = IKE_QM_READYлог ракуна
Jul 23 10:25:42 mon racoon: INFO: IPsec-SA request for Y.Y.Y.Y queued due to no phase1 found.
Jul 23 10:25:42 mon racoon: INFO: initiate new phase 1 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
Jul 23 10:25:42 mon racoon: INFO: begin Identity Protection mode.
Jul 23 10:25:42 mon racoon: INFO: received Vendor ID: CISCO-UNITY
Jul 23 10:25:42 mon racoon: INFO: received Vendor ID: DPD
Jul 23 10:25:42 mon racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Jul 23 10:25:42 mon racoon: INFO: ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:e7ccebec074add40:66341efea9e314
0a
Jul 23 10:25:42 mon racoon: ERROR: unknown Informational exchange received.
Jul 23 10:25:43 mon racoon: INFO: initiate new phase 2 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
Jul 23 10:25:43 mon racoon: ERROR: unknown notify message, no phase2 handle found.
Jul 23 10:25:58 mon racoon: ERROR: Y.Y.Y.Y give up to get IPsec-SA due to time up to wait.
>[оверквотинг удален]
>Jul 23 10:25:42 mon racoon: INFO: received Vendor ID: DPD
>Jul 23 10:25:42 mon racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
>Jul 23 10:25:42 mon racoon: INFO: ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:e7ccebec074add40:66341efea9e314
>0a
>Jul 23 10:25:42 mon racoon: ERROR: unknown Informational exchange received.
>Jul 23 10:25:43 mon racoon: INFO: initiate new phase 2 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
>Jul 23 10:25:43 mon racoon: ERROR: unknown notify message, no phase2 handle
>found.
>Jul 23 10:25:58 mon racoon: ERROR: Y.Y.Y.Y give up to get IPsec-SA
>due to time up to wait.Может дело в Linux-е, попробуйте может openswan заработает?
>[оверквотинг удален]
>>Jul 23 10:25:42 mon racoon: INFO: ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:e7ccebec074add40:66341efea9e314
>>0a
>>Jul 23 10:25:42 mon racoon: ERROR: unknown Informational exchange received.
>>Jul 23 10:25:43 mon racoon: INFO: initiate new phase 2 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
>>Jul 23 10:25:43 mon racoon: ERROR: unknown notify message, no phase2 handle
>>found.
>>Jul 23 10:25:58 mon racoon: ERROR: Y.Y.Y.Y give up to get IPsec-SA
>>due to time up to wait.
>
> Может дело в Linux-е, попробуйте может openswan заработает?Вторая машина не моя. Я просто у себя поднял тестовый линукс и пробую завязать. А реальная машина с которой я буду завязывать работает на Линукс + Ракун + ИПСекТулс и никто там не будет менять нечего, только пропишут необходимые настройки.
>[оверквотинг удален]
>>>found.
>>>Jul 23 10:25:58 mon racoon: ERROR: Y.Y.Y.Y give up to get IPsec-SA
>>>due to time up to wait.
>>
>> Может дело в Linux-е, попробуйте может openswan заработает?
>
>Вторая машина не моя. Я просто у себя поднял тестовый линукс и
>пробую завязать. А реальная машина с которой я буду завязывать работает
>на Линукс + Ракун + ИПСекТулс и никто там не будет
>менять нечего, только пропишут необходимые настройки.Что то у меня подрозрение на то, что CISCO router 2800 не поддерживают сжатие compression_algorithm deflate;
А Ракун только с ним и может работать. Отключить в ракуне не можна. А циске либо никакого сжатия, либо IP_COMPRESSION (COMP-LZS)
>[оверквотинг удален]
>>Вторая машина не моя. Я просто у себя поднял тестовый линукс и
>>пробую завязать. А реальная машина с которой я буду завязывать работает
>>на Линукс + Ракун + ИПСекТулс и никто там не будет
>>менять нечего, только пропишут необходимые настройки.
>
>Что то у меня подрозрение на то, что CISCO router 2800 не
>поддерживают сжатие compression_algorithm deflate;
>
>А Ракун только с ним и может работать. Отключить в ракуне не
>можна. А циске либо никакого сжатия, либо IP_COMPRESSION (COMP-LZS)Таки нет.То что он описан в ракун не означает что он используеться.
Использование описывается в setkey
Вот пример когда включена компресия
spdadd 172.16.2.0/24 172.16.1.0/24 any -P out ipsec
ipcomp/transport//use
esp/tunnel/1.2.3.5-1.2.3.4/require;В моем случае ее нету.
Помогите разобраться почему не работает((((
>[оверквотинг удален]
>
>Использование описывается в setkey
>Вот пример когда включена компресия
>spdadd 172.16.2.0/24 172.16.1.0/24 any -P out ipsec
> ipcomp/transport//use
> esp/tunnel/1.2.3.5-1.2.3.4/require;
>
>В моем случае ее нету.
>
>Помогите разобраться почему не работает((((В общем со стороны линукса пингуется(и приходять ответы). а от с стороны линукса не пингуется
Jul 23 15:41:30 10.1.1.1 174239: 122293: Jul 23 14:41:29.881 PCTime: CryptoEngine0: validate proposal request
Jul 23 15:41:30 10.1.1.1 174240: 122294: Jul 23 14:41:29.881 PCTime: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local addres
s Y.Y.Y.Y
Jul 23 15:41:30 10.1.1.1 174241: 122295: Jul 23 14:41:29.881 PCTime: ISAKMP:(0:7:SW:1): IPSec policy invalidated proposal
Jul 23 15:41:30 10.1.1.1 174242: 122296: Jul 23 14:41:29.881 PCTime: ISAKMP:(0:7:SW:1): phase 2 SA policy not acceptable! (local Y.Y.Y.Y rem
ote X.X.X.X)
>[оверквотинг удален]
>Jul 23 15:41:30 10.1.1.1 174239: 122293: Jul 23 14:41:29.881 PCTime: CryptoEngine0: validate
>proposal request
>Jul 23 15:41:30 10.1.1.1 174240: 122294: Jul 23 14:41:29.881 PCTime: IPSEC(validate_transform_proposal): no
>IPSEC cryptomap exists for local addres
>s Y.Y.Y.Y
>Jul 23 15:41:30 10.1.1.1 174241: 122295: Jul 23 14:41:29.881 PCTime: ISAKMP:(0:7:SW:1): IPSec
>policy invalidated proposal
>Jul 23 15:41:30 10.1.1.1 174242: 122296: Jul 23 14:41:29.881 PCTime: ISAKMP:(0:7:SW:1): phase
>2 SA policy not acceptable! (local Y.Y.Y.Y rem
>ote X.X.X.X)ПАБЕДА!!
В общем у меня оставались два инетрефейса тенль0 и тунель1 . Они были выключены, но по ходу как то путались криптомапы. В первомт енль0 тоже было прописано destinaton X.X.X.X , вот оно и путалось. Удалил два виртуальных интерфейса - и все заработало)))
>[оверквотинг удален]
>>Jul 23 15:41:30 10.1.1.1 174242: 122296: Jul 23 14:41:29.881 PCTime: ISAKMP:(0:7:SW:1): phase
>>2 SA policy not acceptable! (local Y.Y.Y.Y rem
>>ote X.X.X.X)
>
>ПАБЕДА!!
>
>В общем у меня оставались два инетрефейса тенль0 и тунель1 . Они
>были выключены, но по ходу как то путались криптомапы. В первомт
>енль0 тоже было прописано destinaton X.X.X.X , вот оно и путалось.
>Удалил два виртуальных интерфейса - и все заработало)))ТАКИ не победа. Меня ужо глючит. После сноса интерфейса при попытке пингонуть с линукса
[root@mon]~# ping 10.1.1.1
PING 10.1.1.1 (10.1.1.1) 56(84) bytes of data.
64 bytes from X.X.X.X: icmp_seq=1 ttl=255 time=1.21 ms
64 bytes from X.X.X.X: icmp_seq=2 ttl=255 time=0.897 ms
64 bytes from X.X.X.X: icmp_seq=3 ttl=255 time=0.899 ms
64 bytes from X.X.X.X: icmp_seq=4 ttl=255 time=0.853 ms
64 bytes from X.X.X.X: icmp_seq=5 ttl=255 time=0.859 ms
64 bytes from X.X.X.X: icmp_seq=6 ttl=255 time=0.965 ms
64 bytes from X.X.X.X: icmp_seq=7 ttl=255 time=0.868 ms
64 bytes from X.X.X.X: icmp_seq=8 ttl=255 time=0.821 ms
64 bytes from X.X.X.X: icmp_seq=9 ttl=255 time=0.926 msтоесть отвечает внешний интерфейс а не тот адрес который я пингую
Я на линуксе ввобще выключил ракун, но циска пингует этот адрес - у меня уже крыша едет...
>[оверквотинг удален]
>64 bytes from X.X.X.X: icmp_seq=5 ttl=255 time=0.859 ms
>64 bytes from X.X.X.X: icmp_seq=6 ttl=255 time=0.965 ms
>64 bytes from X.X.X.X: icmp_seq=7 ttl=255 time=0.868 ms
>64 bytes from X.X.X.X: icmp_seq=8 ttl=255 time=0.821 ms
>64 bytes from X.X.X.X: icmp_seq=9 ttl=255 time=0.926 ms
>
>тоесть отвечает внешний интерфейс а не тот адрес который я пингую
>
>Я на линуксе ввобще выключил ракун, но циска пингует этот адрес -
>у меня уже крыша едет...Подправил файрволи и аксес листы - все заработало))). То есть основной момент был таки в тех тунелях... отак вот...
Долго гуглил и нашел похожую ситуацию
amkbailey:
AT&T finally got the DSL up and running. Turns out the problem was caused by another tunnel's ACL that I added before this one. That tunnel wasn't needed anymore so I deleted the tunnel and applicable ACL's for it and the new tunnel started working.
>>по поводу ограничения, кто тебе мешает включить шейпинг на IP обратной стороны?
>
>А как ето сделать?создаешь ACL
потом вешаешь его на интерфейс
traffic-shape group ACL etc.