forum.opennet.ru - "ipsec+racoon+bsd 6+сломаная голова" (40)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ipsec+racoon+bsd 6+сломаная голова"

Форум Открытые системы на сервере (Др. сетевые сервисы / FreeBSD)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ipsec+racoon+bsd 6+сломаная голова"	+/–
Сообщение от linz (ok) on 08-Июн-07, 13:00
люди, спасите, уже не пойму куда смотреть... сделал: на втором все тоже мамое, тольк с правльными адресами cat /etc/ipsec.conf flush; spdflush; spdadd 192.168.1.0/24 192.168.4.0/24 any -P out ipsec esp/tunnel/aaa.aaa.aaa.aaa-bbb.bbb.bbb.bbb/require; spdadd 192.168.4.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/bbb.bbb.bbb.bbb-aaa.aaa.aaa.aaa/require; cat /usr/local/etc/racoon/psk.txt bbb.bbb.bbb.bbb password cat /usr/local/etc/racoon/racoon.conf path include "/usr/local/etc/racoon" ; path pre_shared_key "/usr/local/etc/racoon/psk.txt" ; #path certificate "/usr/local/etc/cert" ; padding { maximum_length 20; # maximum padding length. randomize off; # enable randomize length. strict_check off; # enable strict check. exclusive_tail off; # extract last one octet. } listen { #isakmp ::1 [7000]; isakmp aaa.aaa.aaa.aaa [500]; #admin [7002]; # administrative's port by kmpstat. #strict_address; # required all addresses must be bound. } timer { # These value can be changed per remote node. counter 5; # maximum trying count to send. interval 20 sec; # maximum interval to resend. persend 1; # the number of packets per a send. # timer for waiting to complete each phase. phase1 30 sec; phase2 15 sec; } remote bbb.bbb.bbb.bbb { exchange_mode aggressive,main; doi ipsec_doi; situation identity_only; #my_identifier address; #my_identifier user_fqdn "sakane@kame.net"; #peers_identifier user_fqdn "sakane@kame.net"; #certificate_type x509 "mycert" "mypriv"; nonce_size 16; lifetime time 24 hour; # sec,min,hour initial_contact on; # support_mip6 on; proposal_check obey; # obey, strict or claim proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key ; dh_group 2 ; } } sainfo anonymous { pfs_group 1; lifetime time 24 hour; encryption_algorithm 3des ; authentication_algorithm hmac_sha1; compression_algorithm deflate ; } rc.conf на тему: cloned_interfaces="gif0" gif_interfaces="gif0" gifconfig_gif0="aaa.aaa.aaa.aaa bbb.bbb.bbb.bbb" ifconfig_gif0="inet 192.168.1.149 192.168.4.1 netmask 255.255.255.0" static_routes="vpn" route_vpn="192.168.4.0/24 -interface gif0" export route_vpn ipsec_enable="YES" ipsec_file="/etc/ipsec.conf" racoon_enable="YES" фаером ничего не рубится. tail -f /var/log/security Jun 8 12:47:54 gate racoon: INFO: IPsec-SA request for bbb.bbb.bbb.bbb queued due to no phase1 found. Jun 8 12:47:54 gate racoon: INFO: initiate new phase 1 negotiation: bbb.bbb.bbb.bbb[500]<=>aaa.aaa.aaa.aaa[500] Jun 8 12:47:54 gate racoon: INFO: begin Aggressive mode. Jun 8 12:48:15 gate racoon: INFO: received Vendor ID: DPD Jun 8 12:48:15 gate racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address. Jun 8 12:48:15 gate racoon: INFO: ISAKMP-SA established bbb.bbb.bbb.bbb[500]-aaa.aaa.aaa.aaa[500] spi:ebba41affc50e370:142b457d6e053c09 Jun 8 12:48:15 gate racoon: INFO: initiate new phase 2 negotiation: bbb.bbb.bbb.bbb[0]<=>aaa.aaa.aaa.aaa[0] Jun 8 12:48:15 gate racoon: INFO: IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa[0]->bbb.bbb.bbb.bbb[0] spi=114335346(0x6d09e72) Jun 8 12:48:15 gate racoon: INFO: IPsec-SA established: ESP/Tunnel bbb.bbb.bbb.bbb[0]->aaa.aaa.aaa.aaa[0] spi=97772030(0x5d3e1fe) tcpdump'ом видно, что трафик идет, но только вот до внутренних адресов не доходит... куда еще копать?
Ответить \| Правка \| Cообщить модератору

Оглавление

ipsec+racoon+bsd 6+сломаная голова, pavel_simple, 13:09 , 08-Июн-07, (1)

ipsec+racoon+bsd 6+сломаная голова, pavel_simple, 13:11 , 08-Июн-07, (2)

ipsec+racoon+bsd 6+сломаная голова, linz, 13:17 , 08-Июн-07, (3)

ipsec+racoon+bsd 6+сломаная голова, pavel_simple, 13:20 , 08-Июн-07, (4)

ipsec+racoon+bsd 6+сломаная голова, linz, 13:23 , 08-Июн-07, (5)
ipsec+racoon+bsd 6+сломаная голова, pavel_simple, 13:23 , 08-Июн-07, (6)

ipsec+racoon+bsd 6+сломаная голова, linz, 13:26 , 08-Июн-07, (7)

ipsec+racoon+bsd 6+сломаная голова, pavel_simple, 13:29 , 08-Июн-07, (8)

ipsec+racoon+bsd 6+сломаная голова, linz, 13:32 , 08-Июн-07, (9)

ipsec+racoon+bsd 6+сломаная голова, linz, 13:35 , 08-Июн-07, (10)

ipsec+racoon+bsd 6+сломаная голова, linz, 13:36 , 08-Июн-07, (11)

ipsec+racoon+bsd 6+сломаная голова, pavel_simple, 13:42 , 08-Июн-07, (12)

ipsec+racoon+bsd 6+сломаная голова, linz, 13:46 , 08-Июн-07, (13)
ipsec+racoon+bsd 6+сломаная голова, pavel_simple, 13:53 , 08-Июн-07, (14)
ipsec+racoon+bsd 6+сломаная голова, linz, 14:01 , 08-Июн-07, (15)
ipsec+racoon+bsd 6+сломаная голова, pavel_simple, 14:09 , 08-Июн-07, (16)
ipsec+racoon+bsd 6+сломаная голова, linz, 14:31 , 08-Июн-07, (17)
ipsec+racoon+bsd 6+сломаная голова, pavel_simple, 14:35 , 08-Июн-07, (18)
ipsec+racoon+bsd 6+сломаная голова, linz, 14:50 , 08-Июн-07, (19)
ipsec+racoon+bsd 6+сломаная голова, linz, 15:00 , 08-Июн-07, (20)
ipsec+racoon+bsd 6+сломаная голова, pavel_simple, 15:04 , 08-Июн-07, (21)
ipsec+racoon+bsd 6+сломаная голова, linz, 15:08 , 08-Июн-07, (22)
ipsec+racoon+bsd 6+сломаная голова, pavel_simple, 15:12 , 08-Июн-07, (23)
ipsec+racoon+bsd 6+сломаная голова, pavel_simple, 15:19 , 08-Июн-07, (24)
ipsec+racoon+bsd 6+сломаная голова, linz, 15:36 , 08-Июн-07, (25)
ipsec+racoon+bsd 6+сломаная голова, pavel_simple, 15:39 , 08-Июн-07, (26)
ipsec+racoon+bsd 6+сломаная голова, linz, 15:44 , 08-Июн-07, (27)
ipsec+racoon+bsd 6+сломаная голова, linz, 15:35 , 18-Июн-07, (28)
ipsec+racoon+bsd 6+сломаная голова, pavel_simple, 15:37 , 18-Июн-07, (29)
ipsec+racoon+bsd 6+сломаная голова, linz, 16:56 , 18-Июн-07, (30)
ipsec+racoon+bsd 6+сломаная голова, seltsam, 15:25 , 01-Авг-07, (31)
ipsec+racoon+bsd 6+сломаная голова, linz, 16:54 , 01-Авг-07, (32)
ipsec+racoon+bsd 6+сломаная голова, seltsam, 17:36 , 01-Авг-07, (33)
ipsec+racoon+bsd 6+сломаная голова, linz, 09:38 , 02-Авг-07, (34)
ipsec+racoon+bsd 6+сломаная голова, seltsam, 12:39 , 02-Авг-07, (35)
ipsec+racoon+bsd 6+сломаная голова, linz, 14:13 , 02-Авг-07, (36)
ipsec+racoon+bsd 6+сломаная голова, seltsam, 14:22 , 02-Авг-07, (37)
ipsec+racoon+bsd 6+сломаная голова, linz, 15:03 , 02-Авг-07, (38)
ipsec+racoon+bsd 6+сломаная голова, ailman, 16:37 , 25-Май-09, (39)
ipsec+racoon+bsd 6+сломаная голова, eleven, 14:37 , 17-Май-12, (40)

Сообщения по теме [Сортировка по времени | RSS]

1. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от pavel_simple (ok) on 08-Июн-07, 13:09

#my_identifier address;
раскомментируй

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от pavel_simple (ok) on 08-Июн-07, 13:11

>#my_identifier address;
>раскомментируй
pfs_group 1; -> pfs_group 2;

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 08-Июн-07, 13:17

>>#my_identifier address;
>>раскомментируй
>
>pfs_group 1; -> pfs_group 2;
каскомментировал
pfs_group тоже сбацал.
не помогло

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от pavel_simple (ok) on 08-Июн-07, 13:20

>каскомментировал
>
>pfs_group тоже сбацал.
>
>не помогло
чё говорит то -- ошибка та же???

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 08-Июн-07, 13:23

>>каскомментировал
>>
>>pfs_group тоже сбацал.
>>
>>не помогло
>
>чё говорит то -- ошибка та же???
какая ошибка? ракун что ЕРРОРОВ не выдает. есть только NOTIFY: couldn't find the proper pskey, try to get one by the peer's address. но это, как я понял не мешает его работе..
или я не прав?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от pavel_simple (ok) on 08-Июн-07, 13:23

а это чё за фигня
path pre_shared_key "/usr/local/etc/racoon/ass.ass" ;

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 08-Июн-07, 13:26

>а это чё за фигня
>path pre_shared_key "/usr/local/etc/racoon/ass.ass" ;
это ключ реальный. но там все ровно. не обращай внимание. когда постил сюда конфиг - не поправил

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от pavel_simple (ok) on 08-Июн-07, 13:29

>>а это чё за фигня
>>path pre_shared_key "/usr/local/etc/racoon/ass.ass" ;
>
>это ключ реальный. но там все ровно. не обращай внимание. когда постил
>сюда конфиг постил - не поправил
setkey -DP ?? чё говорит
netstat -nr | grep gif0 ??

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 08-Июн-07, 13:32

setkey -DP
192.168.4.0/24[any] 192.168.1.0/24[any] any
        in ipsec
        esp/tunnel/bbb.bbb.bbb.bbb-aaa.aaa.aaa.aaa/require
        created: Jun  8 09:47:46 2007  lastused: Jun  8 13:26:50 2007
        lifetime: 0(s) validtime: 0(s)
        spid=16388 seq=1 pid=46708
        refcnt=1
192.168.1.0/24[any] 192.168.4.0/24[any] any
        out ipsec
        esp/tunnel/aaa.aaa.aaa.aaa-bbb.bbb.bbb.bbb/require
        created: Jun  8 09:47:46 2007  lastused: Jun  8 13:14:55 2007
        lifetime: 0(s) validtime: 0(s)
        spid=16387 seq=0 pid=46708
        refcnt=1
netstat -nr | grep gif0
192.168.4          192.168.4.1        UGS         0        0   gif0
192.168.4.1        gif0               UHS       390      413   gif0

Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 08-Июн-07, 13:35

и еще в догонку, когда с тазика ОДИН пингаю тазик ДВА то:
setkey -D
aaa.aaa.aaa.aaa bbb.bbb.bbb.bbb
        esp mode=tunnel spi=97309397(0x05ccd2d5) reqid=0(0x00000000)
        E: 3des-cbc  57d51802 3b9a565c c65b21e6 ae3a6df8 a90dbc1c 7bee3493
        A: hmac-sha1  9719438e 8faa31f1 ee6d9c4d 6e7d0527 3fbe6c61
        seq=0x00000010 replay=4 flags=0x00000000 state=mature
        created: Jun  8 13:18:09 2007   current: Jun  8 13:29:51 2007
        diff: 702(s)    hard: 86400(s)  soft: 69120(s)
        last: Jun  8 13:29:51 2007      hard: 0(s)      soft: 0(s)
        current: 2176(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 0   hard: 0 soft: 0
        sadb_seq=1 pid=46719 refcnt=2
bbb.bbb.bbb.bbb aaa.aaa.aaa.aaa
        esp mode=tunnel spi=27259685(0x019ff325) reqid=0(0x00000000)
        E: 3des-cbc  2dd12257 f10eb7ec dd9f2c8f e1846586 b13b4db0 027262eb
        A: hmac-sha1  e06e063b 2ef77dcc c462643c 529442b7 8434a9ea
        seq=0x000002be replay=4 flags=0x00000000 state=mature
        created: Jun  8 13:18:09 2007   current: Jun  8 13:29:51 2007
        diff: 702(s)    hard: 86400(s)  soft: 69120(s)
        last: Jun  8 13:29:51 2007      hard: 0(s)      soft: 0(s)
        current: 58968(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 702  hard: 0 soft: 0
^^^^^^^^^^^^^^^^^^^^^^^^^  -------------------------------РАСТУТ
        sadb_seq=0 pid=46719 refcnt=1

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 08-Июн-07, 13:36

ну и естественно когда в обратеую сторону, то тоже allocated увеличивается токо сверху

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от pavel_simple (ok) on 08-Июн-07, 13:42

gif_interfaces="gif0"
gifconfig_gif0="aaa.aaa.aaa.aaa bbb.bbb.bbb.bbb"
ifconfig_gif0="inet 192.168.1.149 192.168.4.1 netmask 0xffffffff"
                                                       ^^^^^^^^^^^
static_routes="vpn"
route_vpn="192.168.1/24 192.168.4.1"

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 08-Июн-07, 13:46

>gif_interfaces="gif0"
>gifconfig_gif0="aaa.aaa.aaa.aaa bbb.bbb.bbb.bbb"
>ifconfig_gif0="inet 192.168.1.149 192.168.4.1 netmask 0xffffffff"
>
>          ^^^^^^^^^^^
>
>static_routes="vpn"
>route_vpn="192.168.1/24 192.168.4.1"
не догоняю. где лажа? в маске?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от pavel_simple (ok) on 08-Июн-07, 13:53

>не догоняю. где лажа?
netmask 0xffffffff"
он в данном случае робит как точка-точка, ну и роут соответственно поправь, сам ipsec у тебя насколько я понял поднимаеться (только незнаю как если он ключа не видел -- my_identifier).
далее
traceroute -s 192.168.1.149 192.168.4.1
на всякий пожарный проверь fw на пропуск протокола esp

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 08-Июн-07, 14:01

>>не догоняю. где лажа?
>
>netmask 0xffffffff"
>он в данном случае робит как точка-точка, ну и роут соответственно поправь,
>сам ipsec у тебя насколько я понял поднимаеться (только незнаю как
>если он ключа не видел -- my_identifier).
>далее
>traceroute -s 192.168.1.149 192.168.4.1
>на всякий пожарный проверь fw на пропуск протокола esp

так. погоди. маску поправил. а с маршрутами-то что не так?
и про ipsec я что-то не понял
fw пускает. правила есть, в логах на эту тему тихо.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от pavel_simple (ok) on 08-Июн-07, 14:09

да нет -- это я лох
Jun  8 12:48:15 gate racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
вот сдесь он у тебя сам пытаеться найти клучик на основании "peer's address."
находит.
тунель у тебя робит -- это точно, а вот пакеты похоже куда-то не туда ломяться.
поэтому и говорю что поставь роут так как у меня -- это не лекарство, просто у меня именно так

Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 08-Июн-07, 14:31

роут как у тебя это так: route_vpn="192.168.1/24 192.168.4.1" ?
тада я не догоняю опять...
у меня тазик 1 имеет
внешний ип ааа.ааа.ааа.ааа
и внутренний 192,168,1,149
и если твой роут моему первому то, получается то в сеть один он должен хоить через 4?

Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от pavel_simple (ok) on 08-Июн-07, 14:35

>роут как у тебя это так: route_vpn="192.168.1/24 192.168.4.1" ?
>тада я не догоняю опять...
>у меня тазик 1 имеет
>внешний ип ааа.ааа.ааа.ааа
>и внутренний 192,168,1,149
>и если твой роут моему первому то, получается то в сеть один
>он должен хоить через 4?
да -- тут я уже накосячил пока для тебя "переводил"
route_vpn="192.168.4/24 192.168.4.1"
вот так конечно
я там выше про traceroute писал --- робил или нет
yну и на крайняк
log debug; и racoon_flags='-l /var/log/racoon.log'
покажи что там будет после перезапуску ракуна

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 08-Июн-07, 14:50

>>роут как у тебя это так: route_vpn="192.168.1/24 192.168.4.1" ?
>>тада я не догоняю опять...
>>у меня тазик 1 имеет
>>внешний ип ааа.ааа.ааа.ааа
>>и внутренний 192,168,1,149
>>и если твой роут моему первому то, получается то в сеть один
>>он должен хоить через 4?
>
>да -- тут я уже накосячил пока для тебя "переводил"
>route_vpn="192.168.4/24 192.168.4.1"
>вот так конечно
>я там выше про traceroute писал --- робил или нет
>
>yну и на крайняк
>log debug; и racoon_flags='-l /var/log/racoon.log'
>покажи что там будет после перезапуску ракуна
лог ракуна:
2007-06-08 14:42:43: INFO: @(#)ipsec-tools 0.6.7 (http://ipsec-tools.sourceforge.net)
2007-06-08 14:42:43: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2007-06-08 14:42:43: DEBUG: hmac(modp1024)
2007-06-08 14:42:43: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.
2007-06-08 14:42:43: INFO: 85.21.189.162[500] used as isakmp port (fd=5)
2007-06-08 14:42:43: DEBUG: get pfkey X_SPDDUMP message
2007-06-08 14:42:43: DEBUG: get pfkey X_SPDDUMP message
2007-06-08 14:42:43: DEBUG: sub:0xbfbfe570: 192.168.1.0/24[0] 192.168.4.0/24[0] proto=any dir=out
2007-06-08 14:42:43: DEBUG: db :0x809ea08: 192.168.4.0/24[0] 192.168.1.0/24[0] proto=any dir=in

прописал маршруты:
1й комп:
netstat -rn | grep gif
192.168.4          192.168.4.1        UGS         0        0   gif0
192.168.4.1        192.168.1.149      UH        336      368   gif0
2й комп:
netstat -rn | grep gif
192.168.1          192.168.1.149      UGS         0        0   gif0
192.168.1.149      192.168.4.1        UH       2185     2197   gif0
трэйс ваще не идёт :)))) не туда ни оттуда... рисует звездочки

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 08-Июн-07, 15:00

еще кусочек, во время пингания:
2007-06-08 14:47:46: INFO: IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa[0]->bbb.bbb.bbb.bbb[0] spi=98403631(0x5dd852f)
2007-06-08 14:47:46: DEBUG: ===
2007-06-08 14:50:14: DEBUG: msg 1 not interesting
2007-06-08 14:51:27: DEBUG: caught rtm:2, need update interface address list
2007-06-08 14:51:27: DEBUG: caught rtm:13, need update interface address list
2007-06-08 14:51:27: DEBUG: caught rtm:14, need update interface address list
2007-06-08 14:51:27: DEBUG: caught rtm:14, need update interface address list
2007-06-08 14:51:27: DEBUG: caught rtm:14, need update interface address list
2007-06-08 14:54:10: DEBUG: msg 1 not interesting
2007-06-08 14:55:12: DEBUG: msg 1 not interesting

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от pavel_simple (ok) on 08-Июн-07, 15:04

не покаже где такое -- если есть конечно
IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa->bbb.bbb.bbb.bbb

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 08-Июн-07, 15:08

>не покаже где такое -- если есть конечно
> IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa->bbb.bbb.bbb.bbb
есть. и несколько штук
2007-06-08 14:47:46: INFO: IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa[0]->bbb.bbb.bbb.bbb[0] spi=98403631(0x5dd852f)

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от pavel_simple (ok) on 08-Июн-07, 15:12

итак -- выводы туннель поднимаеться и функциклирует праииильно
вопрос в том - почему не идут пакеты.
я скланяюсь в данном случае к тому , что проблему в fw--
выруби на пару сек -- если не страшно конечно -- правда ты выше один ip таки засветил -- ну может пока никто не обратил внимания -- да есть ещё время пост этот удалить

Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от pavel_simple (ok) on 08-Июн-07, 15:19

попробуй
ipfw add allow all from any to any via gif0

Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 08-Июн-07, 15:36

>попробуй
>ipfw add allow all from any to any via gif0
логи на фаер включены, там тишина на сей счет

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от pavel_simple (ok) on 08-Июн-07, 15:39

чтож че мог ....
"а ты фары протирал - да , а по колесу пинал - да ---- ну тогда незнаю"
З.Ы.
я бы всё равно вырубил и проверил -- за десять секунд сломать врядли кто успеет -- а увереннось в том , что не FW будет 100%
удачи

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 08-Июн-07, 15:44

>чтож че мог ....
>"а ты фары протирал - да , а по колесу пинал -
>да ---- ну тогда незнаю"
>
>З.Ы.
>я бы всё равно вырубил и проверил -- за десять секунд сломать
>врядли кто успеет -- а увереннось в том , что не
>FW будет 100%
>удачи
спасибо за помощь!!!
осталось пепельницу вытряхнуть... :)))

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 18-Июн-07, 15:35

теперь такой вопрос, почему-то при поднятии канала эти два тазика перестают видеть друг-друга по внешним адресам. насколько я понимаю, такого быть не должно... или... ?

Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от pavel_simple (ok) on 18-Июн-07, 15:37

>теперь такой вопрос, почему-то при поднятии канала эти два тазика перестают видеть
>друг-друга по внешним адресам. насколько я понимаю, такого быть не должно...
>или... ?
недолжно

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 18-Июн-07, 16:56

>>теперь такой вопрос, почему-то при поднятии канала эти два тазика перестают видеть
>>друг-друга по внешним адресам. насколько я понимаю, такого быть не должно...
>>или... ?
>
>недолжно

канал-то работает, трафик шифруется, всё ровно, но вот этот факт как-то расстаривает.
причем при пингании по внешнему ипу он эти пинги тоже в ESP засовывает.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от seltsam on 01-Авг-07, 15:25

кхе... прошу прощения за вмешательство.. доброго дня... или ночи...
у меня вопрос - делаю похожую вещь, всё вроде настроил, НО в журнале security получаю:
ERROR: libipsec failed pfkey open (Protocol not supported)
настройку делаю согласно http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec....
т.е. в /etc/ipsec.conf имею
...
spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
я так понял, что типа протокол esp не поддерживается?? =(

Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 01-Авг-07, 16:54

>кхе... прошу прощения за вмешательство.. доброго дня... или ночи...
>у меня вопрос - делаю похожую вещь, всё вроде настроил, НО в
>журнале security получаю:
>ERROR: libipsec failed pfkey open (Protocol not supported)
>настройку делаю согласно http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec....
>т.е. в /etc/ipsec.conf имею
>...
>spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
>spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
> я так понял, что типа протокол esp не поддерживается?? =(
а в ядре-то точно все ровно? всех опций хватает?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от seltsam on 01-Авг-07, 17:36

>[оверквотинг удален]
>>журнале security получаю:
>>ERROR: libipsec failed pfkey open (Protocol not supported)
>>настройку делаю согласно http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec....
>>т.е. в /etc/ipsec.conf имею
>>...
>>spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
>>spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
>> я так понял, что типа протокол esp не поддерживается?? =(
>
>а в ядре-то точно все ровно? всех опций хватает?
компилил ядро как полагается, с опциями IPSEC, IPSEC_ESP и плюс IPSEC_DEBUG.
на момент запуска racoon сервера должны видеть друг друга?

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 02-Авг-07, 09:38

>[оверквотинг удален]
>>>т.е. в /etc/ipsec.conf имею
>>>...
>>>spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
>>>spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
>>> я так понял, что типа протокол esp не поддерживается?? =(
>>
>>а в ядре-то точно все ровно? всех опций хватает?
>
>компилил ядро как полагается, с опциями IPSEC, IPSEC_ESP и плюс IPSEC_DEBUG.
>на момент запуска racoon сервера должны видеть друг друга?
нет, не обязательно.
а сам ракун нормально собирался? без косяков? может его пересобрать?

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от seltsam on 02-Авг-07, 12:39

>>>а в ядре-то точно все ровно? всех опций хватает?
>>
>>компилил ядро как полагается, с опциями IPSEC, IPSEC_ESP и плюс IPSEC_DEBUG.
>>на момент запуска racoon сервера должны видеть друг друга?
>
>нет, не обязательно.
>а сам ракун нормально собирался? без косяков? может его пересобрать?
всё, нашёл косяк =)
УРА! =)))
когда ядро компилил одну буковку не ту написал... вот всё и стало по дефолту... с GENERIC...
терь поднялось всё =)

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

36. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 02-Авг-07, 14:13

>[оверквотинг удален]
>>
>>нет, не обязательно.
>>а сам ракун нормально собирался? без косяков? может его пересобрать?
>
>всё, нашёл косяк =)
>УРА! =)))
>когда ядро компилил одну буковку не ту написал... вот всё и стало
>по дефолту... с GENERIC...
>
>терь поднялось всё =)
нууу...
а у тебя при работающем шифрованом канале по внешним адресам щлюзы доступны из серых сетей?

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от seltsam on 02-Авг-07, 14:22

>нууу...
>
>а у тебя при работающем шифрованом канале по внешним адресам щлюзы доступны
>из серых сетей?
пока ещё не сделал всё до конца...
щас поднимаю связь двух серверов, буд проверять что да как... да фаер нада донастроить с этим уклоном.. и ipnat...
если хочешь могу потом выслать результат....

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

38. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от linz (ok) on 02-Авг-07, 15:03

>
>>нууу...
>>
>>а у тебя при работающем шифрованом канале по внешним адресам щлюзы доступны
>>из серых сетей?
>
>пока ещё не сделал всё до конца...
>щас поднимаю связь двух серверов, буд проверять что да как... да фаер
>нада донастроить с этим уклоном.. и ipnat...
>если хочешь могу потом выслать результат....
не, спасибо. результат то у меня есть работающий. я вот только никак не могу понять почему оба тазика не видят друг друга по внешним адресам после поднятия шифрованного тунеля. тоесть если тунель юеза ipsec то все шикарно...

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от ailman (ok) on 25-Май-09, 16:37

>не, спасибо. результат то у меня есть работающий...
to linz:
Хелп!!!!
Если можно, выложи плиз рабочие конфиги racoon.conf, ipsec.conf и соответствующий rc.conf.
Уже 2-й месяц бъюсь с этим айписецом... ((((

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "ipsec+racoon+bsd 6+сломаная голова" +/–

Сообщение от eleven on 17-Май-12, 14:37

>[оверквотинг удален]
>>>настройку делаю согласно http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec....
>>>т.е. в /etc/ipsec.conf имею
>>>...
>>>spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
>>>spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
>>> я так понял, что типа протокол esp не поддерживается?? =(
>>
>>а в ядре-то точно все ровно? всех опций хватает?
> компилил ядро как полагается, с опциями IPSEC, IPSEC_ESP и плюс IPSEC_DEBUG.
> на момент запуска racoon сервера должны видеть друг друга?
опция в ядре PF_KEY sockets.
p.s. ответ уже скорей не для автора, а для гуглящих и натыкающихся на данный пост

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ipsec+racoon+bsd 6+сломаная голова"	+/–
Сообщение от pavel_simple (ok) on 08-Июн-07, 13:09
#my_identifier address; раскомментируй
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от pavel_simple (ok) on 08-Июн-07, 13:11
	>#my_identifier address; >раскомментируй pfs_group 1; -> pfs_group 2;
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от linz (ok) on 08-Июн-07, 13:17
	>>#my_identifier address; >>раскомментируй > >pfs_group 1; -> pfs_group 2; каскомментировал pfs_group тоже сбацал. не помогло
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от pavel_simple (ok) on 08-Июн-07, 13:20
	>каскомментировал > >pfs_group тоже сбацал. > >не помогло чё говорит то -- ошибка та же???
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору


	5. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от linz (ok) on 08-Июн-07, 13:23
	>>каскомментировал >> >>pfs_group тоже сбацал. >> >>не помогло > >чё говорит то -- ошибка та же??? какая ошибка? ракун что ЕРРОРОВ не выдает. есть только NOTIFY: couldn't find the proper pskey, try to get one by the peer's address. но это, как я понял не мешает его работе.. или я не прав?
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	6. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от pavel_simple (ok) on 08-Июн-07, 13:23
	а это чё за фигня path pre_shared_key "/usr/local/etc/racoon/ass.ass" ;
	Ответить \| Правка \| ^ к родителю #4 \| Наверх \| Cообщить модератору


	7. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от linz (ok) on 08-Июн-07, 13:26
	>а это чё за фигня >path pre_shared_key "/usr/local/etc/racoon/ass.ass" ; это ключ реальный. но там все ровно. не обращай внимание. когда постил сюда конфиг - не поправил
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от pavel_simple (ok) on 08-Июн-07, 13:29
	>>а это чё за фигня >>path pre_shared_key "/usr/local/etc/racoon/ass.ass" ; > >это ключ реальный. но там все ровно. не обращай внимание. когда постил >сюда конфиг постил - не поправил setkey -DP ?? чё говорит netstat -nr \| grep gif0 ??
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от linz (ok) on 08-Июн-07, 13:32
	setkey -DP 192.168.4.0/24[any] 192.168.1.0/24[any] any in ipsec esp/tunnel/bbb.bbb.bbb.bbb-aaa.aaa.aaa.aaa/require created: Jun 8 09:47:46 2007 lastused: Jun 8 13:26:50 2007 lifetime: 0(s) validtime: 0(s) spid=16388 seq=1 pid=46708 refcnt=1 192.168.1.0/24[any] 192.168.4.0/24[any] any out ipsec esp/tunnel/aaa.aaa.aaa.aaa-bbb.bbb.bbb.bbb/require created: Jun 8 09:47:46 2007 lastused: Jun 8 13:14:55 2007 lifetime: 0(s) validtime: 0(s) spid=16387 seq=0 pid=46708 refcnt=1 netstat -nr \| grep gif0 192.168.4 192.168.4.1 UGS 0 0 gif0 192.168.4.1 gif0 UHS 390 413 gif0
	Ответить \| Правка \| ^ к родителю #8 \| Наверх \| Cообщить модератору


	10. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от linz (ok) on 08-Июн-07, 13:35
	и еще в догонку, когда с тазика ОДИН пингаю тазик ДВА то: setkey -D aaa.aaa.aaa.aaa bbb.bbb.bbb.bbb esp mode=tunnel spi=97309397(0x05ccd2d5) reqid=0(0x00000000) E: 3des-cbc 57d51802 3b9a565c c65b21e6 ae3a6df8 a90dbc1c 7bee3493 A: hmac-sha1 9719438e 8faa31f1 ee6d9c4d 6e7d0527 3fbe6c61 seq=0x00000010 replay=4 flags=0x00000000 state=mature created: Jun 8 13:18:09 2007 current: Jun 8 13:29:51 2007 diff: 702(s) hard: 86400(s) soft: 69120(s) last: Jun 8 13:29:51 2007 hard: 0(s) soft: 0(s) current: 2176(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 0 hard: 0 soft: 0 sadb_seq=1 pid=46719 refcnt=2 bbb.bbb.bbb.bbb aaa.aaa.aaa.aaa esp mode=tunnel spi=27259685(0x019ff325) reqid=0(0x00000000) E: 3des-cbc 2dd12257 f10eb7ec dd9f2c8f e1846586 b13b4db0 027262eb A: hmac-sha1 e06e063b 2ef77dcc c462643c 529442b7 8434a9ea seq=0x000002be replay=4 flags=0x00000000 state=mature created: Jun 8 13:18:09 2007 current: Jun 8 13:29:51 2007 diff: 702(s) hard: 86400(s) soft: 69120(s) last: Jun 8 13:29:51 2007 hard: 0(s) soft: 0(s) current: 58968(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 702 hard: 0 soft: 0 ^^^^^^^^^^^^^^^^^^^^^^^^^ -------------------------------РАСТУТ sadb_seq=0 pid=46719 refcnt=1
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору


	11. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от linz (ok) on 08-Июн-07, 13:36
	ну и естественно когда в обратеую сторону, то тоже allocated увеличивается токо сверху
	Ответить \| Правка \| ^ к родителю #10 \| Наверх \| Cообщить модератору


	12. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от pavel_simple (ok) on 08-Июн-07, 13:42
	gif_interfaces="gif0" gifconfig_gif0="aaa.aaa.aaa.aaa bbb.bbb.bbb.bbb" ifconfig_gif0="inet 192.168.1.149 192.168.4.1 netmask 0xffffffff" ^^^^^^^^^^^ static_routes="vpn" route_vpn="192.168.1/24 192.168.4.1"
	Ответить \| Правка \| ^ к родителю #11 \| Наверх \| Cообщить модератору


	13. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от linz (ok) on 08-Июн-07, 13:46
	>gif_interfaces="gif0" >gifconfig_gif0="aaa.aaa.aaa.aaa bbb.bbb.bbb.bbb" >ifconfig_gif0="inet 192.168.1.149 192.168.4.1 netmask 0xffffffff" > > ^^^^^^^^^^^ > >static_routes="vpn" >route_vpn="192.168.1/24 192.168.4.1" не догоняю. где лажа? в маске?
	Ответить \| Правка \| ^ к родителю #12 \| Наверх \| Cообщить модератору


	14. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от pavel_simple (ok) on 08-Июн-07, 13:53
	>не догоняю. где лажа? netmask 0xffffffff" он в данном случае робит как точка-точка, ну и роут соответственно поправь, сам ipsec у тебя насколько я понял поднимаеться (только незнаю как если он ключа не видел -- my_identifier). далее traceroute -s 192.168.1.149 192.168.4.1 на всякий пожарный проверь fw на пропуск протокола esp
	Ответить \| Правка \| ^ к родителю #13 \| Наверх \| Cообщить модератору


	15. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от linz (ok) on 08-Июн-07, 14:01
	>>не догоняю. где лажа? > >netmask 0xffffffff" >он в данном случае робит как точка-точка, ну и роут соответственно поправь, >сам ipsec у тебя насколько я понял поднимаеться (только незнаю как >если он ключа не видел -- my_identifier). >далее >traceroute -s 192.168.1.149 192.168.4.1 >на всякий пожарный проверь fw на пропуск протокола esp так. погоди. маску поправил. а с маршрутами-то что не так? и про ipsec я что-то не понял fw пускает. правила есть, в логах на эту тему тихо.
	Ответить \| Правка \| ^ к родителю #14 \| Наверх \| Cообщить модератору


	16. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от pavel_simple (ok) on 08-Июн-07, 14:09
	да нет -- это я лох Jun 8 12:48:15 gate racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address. вот сдесь он у тебя сам пытаеться найти клучик на основании "peer's address." находит. тунель у тебя робит -- это точно, а вот пакеты похоже куда-то не туда ломяться. поэтому и говорю что поставь роут так как у меня -- это не лекарство, просто у меня именно так
	Ответить \| Правка \| ^ к родителю #15 \| Наверх \| Cообщить модератору


	17. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от linz (ok) on 08-Июн-07, 14:31
	роут как у тебя это так: route_vpn="192.168.1/24 192.168.4.1" ? тада я не догоняю опять... у меня тазик 1 имеет внешний ип ааа.ааа.ааа.ааа и внутренний 192,168,1,149 и если твой роут моему первому то, получается то в сеть один он должен хоить через 4?
	Ответить \| Правка \| ^ к родителю #16 \| Наверх \| Cообщить модератору


	18. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от pavel_simple (ok) on 08-Июн-07, 14:35
	>роут как у тебя это так: route_vpn="192.168.1/24 192.168.4.1" ? >тада я не догоняю опять... >у меня тазик 1 имеет >внешний ип ааа.ааа.ааа.ааа >и внутренний 192,168,1,149 >и если твой роут моему первому то, получается то в сеть один >он должен хоить через 4? да -- тут я уже накосячил пока для тебя "переводил" route_vpn="192.168.4/24 192.168.4.1" вот так конечно я там выше про traceroute писал --- робил или нет yну и на крайняк log debug; и racoon_flags='-l /var/log/racoon.log' покажи что там будет после перезапуску ракуна
	Ответить \| Правка \| ^ к родителю #17 \| Наверх \| Cообщить модератору


	19. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от linz (ok) on 08-Июн-07, 14:50
	>>роут как у тебя это так: route_vpn="192.168.1/24 192.168.4.1" ? >>тада я не догоняю опять... >>у меня тазик 1 имеет >>внешний ип ааа.ааа.ааа.ааа >>и внутренний 192,168,1,149 >>и если твой роут моему первому то, получается то в сеть один >>он должен хоить через 4? > >да -- тут я уже накосячил пока для тебя "переводил" >route_vpn="192.168.4/24 192.168.4.1" >вот так конечно >я там выше про traceroute писал --- робил или нет > >yну и на крайняк >log debug; и racoon_flags='-l /var/log/racoon.log' >покажи что там будет после перезапуску ракуна лог ракуна: 2007-06-08 14:42:43: INFO: @(#)ipsec-tools 0.6.7 (http://ipsec-tools.sourceforge.net) 2007-06-08 14:42:43: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/) 2007-06-08 14:42:43: DEBUG: hmac(modp1024) 2007-06-08 14:42:43: DEBUG: compression algorithm can not be checked because sadb message doesn't support it. 2007-06-08 14:42:43: INFO: 85.21.189.162[500] used as isakmp port (fd=5) 2007-06-08 14:42:43: DEBUG: get pfkey X_SPDDUMP message 2007-06-08 14:42:43: DEBUG: get pfkey X_SPDDUMP message 2007-06-08 14:42:43: DEBUG: sub:0xbfbfe570: 192.168.1.0/24[0] 192.168.4.0/24[0] proto=any dir=out 2007-06-08 14:42:43: DEBUG: db :0x809ea08: 192.168.4.0/24[0] 192.168.1.0/24[0] proto=any dir=in прописал маршруты: 1й комп: netstat -rn \| grep gif 192.168.4 192.168.4.1 UGS 0 0 gif0 192.168.4.1 192.168.1.149 UH 336 368 gif0 2й комп: netstat -rn \| grep gif 192.168.1 192.168.1.149 UGS 0 0 gif0 192.168.1.149 192.168.4.1 UH 2185 2197 gif0 трэйс ваще не идёт :)))) не туда ни оттуда... рисует звездочки
	Ответить \| Правка \| ^ к родителю #18 \| Наверх \| Cообщить модератору


	20. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от linz (ok) on 08-Июн-07, 15:00
	еще кусочек, во время пингания: 2007-06-08 14:47:46: INFO: IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa[0]->bbb.bbb.bbb.bbb[0] spi=98403631(0x5dd852f) 2007-06-08 14:47:46: DEBUG: === 2007-06-08 14:50:14: DEBUG: msg 1 not interesting 2007-06-08 14:51:27: DEBUG: caught rtm:2, need update interface address list 2007-06-08 14:51:27: DEBUG: caught rtm:13, need update interface address list 2007-06-08 14:51:27: DEBUG: caught rtm:14, need update interface address list 2007-06-08 14:51:27: DEBUG: caught rtm:14, need update interface address list 2007-06-08 14:51:27: DEBUG: caught rtm:14, need update interface address list 2007-06-08 14:54:10: DEBUG: msg 1 not interesting 2007-06-08 14:55:12: DEBUG: msg 1 not interesting
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	21. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от pavel_simple (ok) on 08-Июн-07, 15:04
	не покаже где такое -- если есть конечно IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa->bbb.bbb.bbb.bbb
	Ответить \| Правка \| ^ к родителю #19 \| Наверх \| Cообщить модератору


	22. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от linz (ok) on 08-Июн-07, 15:08
	>не покаже где такое -- если есть конечно > IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa->bbb.bbb.bbb.bbb есть. и несколько штук 2007-06-08 14:47:46: INFO: IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa[0]->bbb.bbb.bbb.bbb[0] spi=98403631(0x5dd852f)
	Ответить \| Правка \| ^ к родителю #21 \| Наверх \| Cообщить модератору


	23. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от pavel_simple (ok) on 08-Июн-07, 15:12
	итак -- выводы туннель поднимаеться и функциклирует праииильно вопрос в том - почему не идут пакеты. я скланяюсь в данном случае к тому , что проблему в fw-- выруби на пару сек -- если не страшно конечно -- правда ты выше один ip таки засветил -- ну может пока никто не обратил внимания -- да есть ещё время пост этот удалить
	Ответить \| Правка \| ^ к родителю #22 \| Наверх \| Cообщить модератору


	24. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от pavel_simple (ok) on 08-Июн-07, 15:19
	попробуй ipfw add allow all from any to any via gif0
	Ответить \| Правка \| ^ к родителю #23 \| Наверх \| Cообщить модератору


	25. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от linz (ok) on 08-Июн-07, 15:36
	>попробуй >ipfw add allow all from any to any via gif0 логи на фаер включены, там тишина на сей счет
	Ответить \| Правка \| ^ к родителю #24 \| Наверх \| Cообщить модератору


	26. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от pavel_simple (ok) on 08-Июн-07, 15:39
	чтож че мог .... "а ты фары протирал - да , а по колесу пинал - да ---- ну тогда незнаю" З.Ы. я бы всё равно вырубил и проверил -- за десять секунд сломать врядли кто успеет -- а увереннось в том , что не FW будет 100% удачи
	Ответить \| Правка \| ^ к родителю #25 \| Наверх \| Cообщить модератору


	27. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от linz (ok) on 08-Июн-07, 15:44
	>чтож че мог .... >"а ты фары протирал - да , а по колесу пинал - >да ---- ну тогда незнаю" > >З.Ы. >я бы всё равно вырубил и проверил -- за десять секунд сломать >врядли кто успеет -- а увереннось в том , что не >FW будет 100% >удачи спасибо за помощь!!! осталось пепельницу вытряхнуть... :)))
	Ответить \| Правка \| ^ к родителю #26 \| Наверх \| Cообщить модератору


	28. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от linz (ok) on 18-Июн-07, 15:35
	теперь такой вопрос, почему-то при поднятии канала эти два тазика перестают видеть друг-друга по внешним адресам. насколько я понимаю, такого быть не должно... или... ?
	Ответить \| Правка \| ^ к родителю #27 \| Наверх \| Cообщить модератору


	29. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от pavel_simple (ok) on 18-Июн-07, 15:37
	>теперь такой вопрос, почему-то при поднятии канала эти два тазика перестают видеть >друг-друга по внешним адресам. насколько я понимаю, такого быть не должно... >или... ? недолжно
	Ответить \| Правка \| ^ к родителю #28 \| Наверх \| Cообщить модератору


	30. "ipsec+racoon+bsd 6+сломаная голова"	+/–
	Сообщение от linz (ok) on 18-Июн-07, 16:56
	>>теперь такой вопрос, почему-то при поднятии канала эти два тазика перестают видеть >>друг-друга по внешним адресам. насколько я понимаю, такого быть не должно... >>или... ? > >недолжно канал-то работает, трафик шифруется, всё ровно, но вот этот факт как-то расстаривает. причем при пингании по внешнему ипу он эти пинги тоже в ESP засовывает.
	Ответить \| Правка \| ^ к родителю #29 \| Наверх \| Cообщить модератору