The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"ipsec+racoon+bsd 6+сломаная голова"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Др. сетевые сервисы / FreeBSD)
Изначальное сообщение [ Отслеживать ]

"ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 08-Июн-07, 13:00 
люди, спасите, уже не пойму куда смотреть...
сделал:

на втором все тоже мамое, тольк с правльными адресами
cat /etc/ipsec.conf
flush;
spdflush;
spdadd 192.168.1.0/24 192.168.4.0/24 any -P out ipsec
esp/tunnel/aaa.aaa.aaa.aaa-bbb.bbb.bbb.bbb/require;
spdadd 192.168.4.0/24 192.168.1.0/24 any -P in ipsec
esp/tunnel/bbb.bbb.bbb.bbb-aaa.aaa.aaa.aaa/require;

cat /usr/local/etc/racoon/psk.txt
bbb.bbb.bbb.bbb   password

cat /usr/local/etc/racoon/racoon.conf
path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
#path certificate "/usr/local/etc/cert" ;

padding
{
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
}

listen
{
        #isakmp ::1 [7000];
        isakmp aaa.aaa.aaa.aaa [500];
        #admin [7002];          # administrative's port by kmpstat.
        #strict_address;        # required all addresses must be bound.
}

timer
{
        # These value can be changed per remote node.
        counter 5;              # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
        persend 1;              # the number of packets per a send.

        # timer for waiting to complete each phase.
        phase1 30 sec;
        phase2 15 sec;
}

remote bbb.bbb.bbb.bbb
{
        exchange_mode aggressive,main;
        doi ipsec_doi;
        situation identity_only;

        #my_identifier address;
        #my_identifier user_fqdn "sakane@kame.net";
        #peers_identifier user_fqdn "sakane@kame.net";
        #certificate_type x509 "mycert" "mypriv";

        nonce_size 16;
        lifetime time 24 hour;  # sec,min,hour
        initial_contact on;
#        support_mip6 on;
        proposal_check obey;    # obey, strict or claim

        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key ;
                dh_group 2 ;
        }
}

sainfo anonymous
{
        pfs_group 1;
        lifetime time 24 hour;
        encryption_algorithm 3des ;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate ;
}

rc.conf на тему:
cloned_interfaces="gif0"                                                                 gif_interfaces="gif0"
gifconfig_gif0="aaa.aaa.aaa.aaa bbb.bbb.bbb.bbb"
ifconfig_gif0="inet 192.168.1.149 192.168.4.1 netmask 255.255.255.0"
static_routes="vpn"
route_vpn="192.168.4.0/24 -interface gif0"
export route_vpn
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"

фаером ничего не рубится.

tail -f /var/log/security
Jun  8 12:47:54 gate racoon: INFO: IPsec-SA request for bbb.bbb.bbb.bbb queued due to no phase1 found.
Jun  8 12:47:54 gate racoon: INFO: initiate new phase 1 negotiation: bbb.bbb.bbb.bbb[500]<=>aaa.aaa.aaa.aaa[500]
Jun  8 12:47:54 gate racoon: INFO: begin Aggressive mode.
Jun  8 12:48:15 gate racoon: INFO: received Vendor ID: DPD
Jun  8 12:48:15 gate racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
Jun  8 12:48:15 gate racoon: INFO: ISAKMP-SA established bbb.bbb.bbb.bbb[500]-aaa.aaa.aaa.aaa[500] spi:ebba41affc50e370:142b457d6e053c09
Jun  8 12:48:15 gate racoon: INFO: initiate new phase 2 negotiation: bbb.bbb.bbb.bbb[0]<=>aaa.aaa.aaa.aaa[0]
Jun  8 12:48:15 gate racoon: INFO: IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa[0]->bbb.bbb.bbb.bbb[0] spi=114335346(0x6d09e72)
Jun  8 12:48:15 gate racoon: INFO: IPsec-SA established: ESP/Tunnel bbb.bbb.bbb.bbb[0]->aaa.aaa.aaa.aaa[0] spi=97772030(0x5d3e1fe)

tcpdump'ом видно, что трафик идет, но только вот до внутренних адресов не доходит...

куда еще копать?

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от pavel_simple (ok) on 08-Июн-07, 13:09 
#my_identifier address;
раскомментируй
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от pavel_simple (ok) on 08-Июн-07, 13:11 
>#my_identifier address;
>раскомментируй

pfs_group 1; -> pfs_group 2;

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 08-Июн-07, 13:17 
>>#my_identifier address;
>>раскомментируй
>
>pfs_group 1; -> pfs_group 2;

каскомментировал

pfs_group тоже сбацал.

не помогло


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от pavel_simple (ok) on 08-Июн-07, 13:20 
>каскомментировал
>
>pfs_group тоже сбацал.
>
>не помогло

чё говорит то -- ошибка та же???

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 08-Июн-07, 13:23 
>>каскомментировал
>>
>>pfs_group тоже сбацал.
>>
>>не помогло
>
>чё говорит то -- ошибка та же???

какая ошибка? ракун что ЕРРОРОВ не выдает. есть только NOTIFY: couldn't find the proper pskey, try to get one by the peer's address. но это, как я понял не мешает его работе..
или я не прав?

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от pavel_simple (ok) on 08-Июн-07, 13:23 
а это чё за фигня
path pre_shared_key "/usr/local/etc/racoon/ass.ass" ;
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

7. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 08-Июн-07, 13:26 
>а это чё за фигня
>path pre_shared_key "/usr/local/etc/racoon/ass.ass" ;

это ключ реальный. но там все ровно. не обращай внимание. когда постил сюда конфиг - не поправил

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от pavel_simple (ok) on 08-Июн-07, 13:29 
>>а это чё за фигня
>>path pre_shared_key "/usr/local/etc/racoon/ass.ass" ;
>
>это ключ реальный. но там все ровно. не обращай внимание. когда постил
>сюда конфиг постил - не поправил

setkey -DP ?? чё говорит
netstat -nr | grep gif0 ??

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 08-Июн-07, 13:32 
setkey -DP
192.168.4.0/24[any] 192.168.1.0/24[any] any
        in ipsec
        esp/tunnel/bbb.bbb.bbb.bbb-aaa.aaa.aaa.aaa/require
        created: Jun  8 09:47:46 2007  lastused: Jun  8 13:26:50 2007
        lifetime: 0(s) validtime: 0(s)
        spid=16388 seq=1 pid=46708
        refcnt=1
192.168.1.0/24[any] 192.168.4.0/24[any] any
        out ipsec
        esp/tunnel/aaa.aaa.aaa.aaa-bbb.bbb.bbb.bbb/require
        created: Jun  8 09:47:46 2007  lastused: Jun  8 13:14:55 2007
        lifetime: 0(s) validtime: 0(s)
        spid=16387 seq=0 pid=46708
        refcnt=1

netstat -nr | grep gif0
192.168.4          192.168.4.1        UGS         0        0   gif0
192.168.4.1        gif0               UHS       390      413   gif0


Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 08-Июн-07, 13:35 
и еще в догонку, когда с тазика ОДИН пингаю тазик ДВА то:
setkey -D
aaa.aaa.aaa.aaa bbb.bbb.bbb.bbb
        esp mode=tunnel spi=97309397(0x05ccd2d5) reqid=0(0x00000000)
        E: 3des-cbc  57d51802 3b9a565c c65b21e6 ae3a6df8 a90dbc1c 7bee3493
        A: hmac-sha1  9719438e 8faa31f1 ee6d9c4d 6e7d0527 3fbe6c61
        seq=0x00000010 replay=4 flags=0x00000000 state=mature
        created: Jun  8 13:18:09 2007   current: Jun  8 13:29:51 2007
        diff: 702(s)    hard: 86400(s)  soft: 69120(s)
        last: Jun  8 13:29:51 2007      hard: 0(s)      soft: 0(s)
        current: 2176(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 0   hard: 0 soft: 0
        sadb_seq=1 pid=46719 refcnt=2
bbb.bbb.bbb.bbb aaa.aaa.aaa.aaa
        esp mode=tunnel spi=27259685(0x019ff325) reqid=0(0x00000000)
        E: 3des-cbc  2dd12257 f10eb7ec dd9f2c8f e1846586 b13b4db0 027262eb
        A: hmac-sha1  e06e063b 2ef77dcc c462643c 529442b7 8434a9ea
        seq=0x000002be replay=4 flags=0x00000000 state=mature
        created: Jun  8 13:18:09 2007   current: Jun  8 13:29:51 2007
        diff: 702(s)    hard: 86400(s)  soft: 69120(s)
        last: Jun  8 13:29:51 2007      hard: 0(s)      soft: 0(s)
        current: 58968(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 702  hard: 0 soft: 0
^^^^^^^^^^^^^^^^^^^^^^^^^  -------------------------------РАСТУТ
        sadb_seq=0 pid=46719 refcnt=1
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 08-Июн-07, 13:36 
ну и естественно когда в обратеую сторону, то тоже allocated увеличивается токо сверху
Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от pavel_simple (ok) on 08-Июн-07, 13:42 
gif_interfaces="gif0"
gifconfig_gif0="aaa.aaa.aaa.aaa bbb.bbb.bbb.bbb"
ifconfig_gif0="inet 192.168.1.149 192.168.4.1 netmask 0xffffffff"
                                                       ^^^^^^^^^^^
static_routes="vpn"
route_vpn="192.168.1/24 192.168.4.1"

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

13. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 08-Июн-07, 13:46 
>gif_interfaces="gif0"
>gifconfig_gif0="aaa.aaa.aaa.aaa bbb.bbb.bbb.bbb"
>ifconfig_gif0="inet 192.168.1.149 192.168.4.1 netmask 0xffffffff"
>          
>          ^^^^^^^^^^^
>
>static_routes="vpn"
>route_vpn="192.168.1/24 192.168.4.1"

не догоняю. где лажа? в маске?

Ответить | Правка | ^ к родителю #12 | Наверх | Cообщить модератору

14. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от pavel_simple (ok) on 08-Июн-07, 13:53 
>не догоняю. где лажа?

netmask 0xffffffff"
он в данном случае робит как точка-точка, ну и роут соответственно поправь, сам ipsec у тебя насколько я понял поднимаеться (только незнаю как если он ключа не видел -- my_identifier).
далее
traceroute -s 192.168.1.149 192.168.4.1
на всякий пожарный проверь fw на пропуск протокола esp

Ответить | Правка | ^ к родителю #13 | Наверх | Cообщить модератору

15. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 08-Июн-07, 14:01 
>>не догоняю. где лажа?
>
>netmask 0xffffffff"
>он в данном случае робит как точка-точка, ну и роут соответственно поправь,
>сам ipsec у тебя насколько я понял поднимаеться (только незнаю как
>если он ключа не видел -- my_identifier).
>далее
>traceroute -s 192.168.1.149 192.168.4.1
>на всякий пожарный проверь fw на пропуск протокола esp


так. погоди. маску поправил. а с маршрутами-то что не так?
и про ipsec я что-то не понял

fw пускает. правила есть, в логах на эту тему тихо.

Ответить | Правка | ^ к родителю #14 | Наверх | Cообщить модератору

16. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от pavel_simple (ok) on 08-Июн-07, 14:09 
да нет -- это я лох
Jun  8 12:48:15 gate racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
вот сдесь он у тебя сам пытаеться найти клучик на основании "peer's address."
находит.
тунель у тебя робит -- это точно, а вот пакеты похоже куда-то не туда ломяться.
поэтому и говорю что поставь роут так как у меня -- это не лекарство, просто у меня именно так
Ответить | Правка | ^ к родителю #15 | Наверх | Cообщить модератору

17. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 08-Июн-07, 14:31 
роут как у тебя это так: route_vpn="192.168.1/24 192.168.4.1" ?
тада я не догоняю опять...
у меня тазик 1 имеет
внешний ип ааа.ааа.ааа.ааа
и внутренний 192,168,1,149
и если твой роут моему первому то, получается то в сеть один он должен хоить через 4?
Ответить | Правка | ^ к родителю #16 | Наверх | Cообщить модератору

18. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от pavel_simple (ok) on 08-Июн-07, 14:35 
>роут как у тебя это так: route_vpn="192.168.1/24 192.168.4.1" ?
>тада я не догоняю опять...
>у меня тазик 1 имеет
>внешний ип ааа.ааа.ааа.ааа
>и внутренний 192,168,1,149
>и если твой роут моему первому то, получается то в сеть один
>он должен хоить через 4?

да -- тут я уже накосячил пока для тебя "переводил"
route_vpn="192.168.4/24 192.168.4.1"
вот так конечно
я там выше про traceroute писал --- робил или нет

yну и на крайняк
log debug; и racoon_flags='-l /var/log/racoon.log'
покажи что там будет после перезапуску ракуна

Ответить | Правка | ^ к родителю #17 | Наверх | Cообщить модератору

19. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 08-Июн-07, 14:50 
>>роут как у тебя это так: route_vpn="192.168.1/24 192.168.4.1" ?
>>тада я не догоняю опять...
>>у меня тазик 1 имеет
>>внешний ип ааа.ааа.ааа.ааа
>>и внутренний 192,168,1,149
>>и если твой роут моему первому то, получается то в сеть один
>>он должен хоить через 4?
>
>да -- тут я уже накосячил пока для тебя "переводил"
>route_vpn="192.168.4/24 192.168.4.1"
>вот так конечно
>я там выше про traceroute писал --- робил или нет
>
>yну и на крайняк
>log debug; и racoon_flags='-l /var/log/racoon.log'
>покажи что там будет после перезапуску ракуна

лог ракуна:
2007-06-08 14:42:43: INFO: @(#)ipsec-tools 0.6.7 (http://ipsec-tools.sourceforge.net)                                                                      
2007-06-08 14:42:43: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)                                                  
2007-06-08 14:42:43: DEBUG: hmac(modp1024)                                                                                                                  
2007-06-08 14:42:43: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.                                              
2007-06-08 14:42:43: INFO: 85.21.189.162[500] used as isakmp port (fd=5)                                                                                    
2007-06-08 14:42:43: DEBUG: get pfkey X_SPDDUMP message                                                                                                    
2007-06-08 14:42:43: DEBUG: get pfkey X_SPDDUMP message                                                                                                    
2007-06-08 14:42:43: DEBUG: sub:0xbfbfe570: 192.168.1.0/24[0] 192.168.4.0/24[0] proto=any dir=out                                                          
2007-06-08 14:42:43: DEBUG: db :0x809ea08: 192.168.4.0/24[0] 192.168.1.0/24[0] proto=any dir=in                                                            
                                                                                        
прописал маршруты:
1й комп:
netstat -rn | grep gif
192.168.4          192.168.4.1        UGS         0        0   gif0
192.168.4.1        192.168.1.149      UH        336      368   gif0

2й комп:
netstat -rn | grep gif
192.168.1          192.168.1.149      UGS         0        0   gif0
192.168.1.149      192.168.4.1        UH       2185     2197   gif0

трэйс ваще не идёт :)))) не туда ни оттуда... рисует звездочки

Ответить | Правка | ^ к родителю #18 | Наверх | Cообщить модератору

20. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 08-Июн-07, 15:00 
еще кусочек, во время пингания:

2007-06-08 14:47:46: INFO: IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa[0]->bbb.bbb.bbb.bbb[0] spi=98403631(0x5dd852f)                                      
2007-06-08 14:47:46: DEBUG: ===                                                                                                                            
2007-06-08 14:50:14: DEBUG: msg 1 not interesting                                                                                                          
2007-06-08 14:51:27: DEBUG: caught rtm:2, need update interface address list                                                                                
2007-06-08 14:51:27: DEBUG: caught rtm:13, need update interface address list                                                                              
2007-06-08 14:51:27: DEBUG: caught rtm:14, need update interface address list                                                                              
2007-06-08 14:51:27: DEBUG: caught rtm:14, need update interface address list                                                                              
2007-06-08 14:51:27: DEBUG: caught rtm:14, need update interface address list                                                                              
2007-06-08 14:54:10: DEBUG: msg 1 not interesting                                                                                                          
2007-06-08 14:55:12: DEBUG: msg 1 not interesting        

Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

21. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от pavel_simple (ok) on 08-Июн-07, 15:04 
не покаже где такое -- если есть конечно
IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa->bbb.bbb.bbb.bbb
Ответить | Правка | ^ к родителю #19 | Наверх | Cообщить модератору

22. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 08-Июн-07, 15:08 
>не покаже где такое -- если есть конечно
> IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa->bbb.bbb.bbb.bbb

есть. и несколько штук
2007-06-08 14:47:46: INFO: IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa[0]->bbb.bbb.bbb.bbb[0] spi=98403631(0x5dd852f)    

Ответить | Правка | ^ к родителю #21 | Наверх | Cообщить модератору

23. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от pavel_simple (ok) on 08-Июн-07, 15:12 
итак -- выводы туннель поднимаеться и функциклирует праииильно
вопрос в том - почему не идут пакеты.
я скланяюсь в данном случае к тому , что проблему в fw--
выруби на пару сек -- если не страшно конечно -- правда ты выше один ip таки засветил -- ну может пока никто не обратил внимания -- да есть ещё время пост этот удалить


Ответить | Правка | ^ к родителю #22 | Наверх | Cообщить модератору

24. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от pavel_simple (ok) on 08-Июн-07, 15:19 
попробуй
ipfw add allow all from any to any via gif0
Ответить | Правка | ^ к родителю #23 | Наверх | Cообщить модератору

25. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 08-Июн-07, 15:36 
>попробуй
>ipfw add allow all from any to any via gif0

логи на фаер включены, там тишина на сей счет

Ответить | Правка | ^ к родителю #24 | Наверх | Cообщить модератору

26. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от pavel_simple (ok) on 08-Июн-07, 15:39 
чтож че мог ....
"а ты фары протирал - да , а по колесу пинал - да ---- ну тогда незнаю"

З.Ы.
я бы всё равно вырубил и проверил -- за десять секунд сломать врядли кто успеет -- а увереннось в том , что не FW будет 100%
удачи

Ответить | Правка | ^ к родителю #25 | Наверх | Cообщить модератору

27. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 08-Июн-07, 15:44 
>чтож че мог ....
>"а ты фары протирал - да , а по колесу пинал -
>да ---- ну тогда незнаю"
>
>З.Ы.
>я бы всё равно вырубил и проверил -- за десять секунд сломать
>врядли кто успеет -- а увереннось в том , что не
>FW будет 100%
>удачи

спасибо за помощь!!!
осталось пепельницу вытряхнуть... :)))

Ответить | Правка | ^ к родителю #26 | Наверх | Cообщить модератору

28. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 18-Июн-07, 15:35 
теперь такой вопрос, почему-то при поднятии канала эти два тазика перестают видеть друг-друга по внешним адресам. насколько я понимаю, такого быть не должно... или... ?
Ответить | Правка | ^ к родителю #27 | Наверх | Cообщить модератору

29. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от pavel_simple (ok) on 18-Июн-07, 15:37 
>теперь такой вопрос, почему-то при поднятии канала эти два тазика перестают видеть
>друг-друга по внешним адресам. насколько я понимаю, такого быть не должно...
>или... ?

недолжно

Ответить | Правка | ^ к родителю #28 | Наверх | Cообщить модератору

30. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 18-Июн-07, 16:56 
>>теперь такой вопрос, почему-то при поднятии канала эти два тазика перестают видеть
>>друг-друга по внешним адресам. насколько я понимаю, такого быть не должно...
>>или... ?
>
>недолжно


канал-то работает, трафик шифруется, всё ровно, но вот этот факт как-то расстаривает.
причем при пингании по внешнему ипу он эти пинги тоже в ESP засовывает.

Ответить | Правка | ^ к родителю #29 | Наверх | Cообщить модератору

31. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от seltsam email on 01-Авг-07, 15:25 
кхе... прошу прощения за вмешательство.. доброго дня... или ночи...
у меня вопрос - делаю похожую вещь, всё вроде настроил, НО в журнале security получаю:
ERROR: libipsec failed pfkey open (Protocol not supported)
настройку делаю согласно http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec....
т.е. в /etc/ipsec.conf имею
...
spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
я так понял, что типа протокол esp не поддерживается?? =(
Ответить | Правка | ^ к родителю #30 | Наверх | Cообщить модератору

32. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 01-Авг-07, 16:54 
>кхе... прошу прощения за вмешательство.. доброго дня... или ночи...
>у меня вопрос - делаю похожую вещь, всё вроде настроил, НО в
>журнале security получаю:
>ERROR: libipsec failed pfkey open (Protocol not supported)
>настройку делаю согласно http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec....
>т.е. в /etc/ipsec.conf имею
>...
>spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
>spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
> я так понял, что типа протокол esp не поддерживается?? =(

а в ядре-то точно все ровно? всех опций хватает?

Ответить | Правка | ^ к родителю #31 | Наверх | Cообщить модератору

33. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от seltsam email on 01-Авг-07, 17:36 
>[оверквотинг удален]
>>журнале security получаю:
>>ERROR: libipsec failed pfkey open (Protocol not supported)
>>настройку делаю согласно http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec....
>>т.е. в /etc/ipsec.conf имею
>>...
>>spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
>>spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
>> я так понял, что типа протокол esp не поддерживается?? =(
>
>а в ядре-то точно все ровно? всех опций хватает?

компилил ядро как полагается, с опциями IPSEC, IPSEC_ESP и плюс IPSEC_DEBUG.
на момент запуска racoon сервера должны видеть друг друга?

Ответить | Правка | ^ к родителю #32 | Наверх | Cообщить модератору

34. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 02-Авг-07, 09:38 
>[оверквотинг удален]
>>>т.е. в /etc/ipsec.conf имею
>>>...
>>>spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
>>>spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
>>> я так понял, что типа протокол esp не поддерживается?? =(
>>
>>а в ядре-то точно все ровно? всех опций хватает?
>
>компилил ядро как полагается, с опциями IPSEC, IPSEC_ESP и плюс IPSEC_DEBUG.
>на момент запуска racoon сервера должны видеть друг друга?

нет, не обязательно.
а сам ракун нормально собирался? без косяков? может его пересобрать?

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

35. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от seltsam email on 02-Авг-07, 12:39 

>>>а в ядре-то точно все ровно? всех опций хватает?
>>
>>компилил ядро как полагается, с опциями IPSEC, IPSEC_ESP и плюс IPSEC_DEBUG.
>>на момент запуска racoon сервера должны видеть друг друга?
>
>нет, не обязательно.
>а сам ракун нормально собирался? без косяков? может его пересобрать?

всё, нашёл косяк =)
УРА! =)))
когда ядро компилил одну буковку не ту написал... вот всё и стало по дефолту... с GENERIC...

терь поднялось всё =)

Ответить | Правка | ^ к родителю #34 | Наверх | Cообщить модератору

36. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 02-Авг-07, 14:13 
>[оверквотинг удален]
>>
>>нет, не обязательно.
>>а сам ракун нормально собирался? без косяков? может его пересобрать?
>
>всё, нашёл косяк =)
>УРА! =)))
>когда ядро компилил одну буковку не ту написал... вот всё и стало
>по дефолту... с GENERIC...
>
>терь поднялось всё =)

нууу...

а у тебя при работающем шифрованом канале по внешним адресам щлюзы доступны из серых сетей?

Ответить | Правка | ^ к родителю #35 | Наверх | Cообщить модератору

37. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от seltsam email on 02-Авг-07, 14:22 

>нууу...
>
>а у тебя при работающем шифрованом канале по внешним адресам щлюзы доступны
>из серых сетей?

пока ещё не сделал всё до конца...
щас поднимаю связь двух серверов, буд проверять что да как... да фаер нада донастроить с этим уклоном.. и ipnat...
если хочешь могу потом выслать результат....

Ответить | Правка | ^ к родителю #36 | Наверх | Cообщить модератору

38. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от linz email(ok) on 02-Авг-07, 15:03 
>
>>нууу...
>>
>>а у тебя при работающем шифрованом канале по внешним адресам щлюзы доступны
>>из серых сетей?
>
>пока ещё не сделал всё до конца...
>щас поднимаю связь двух серверов, буд проверять что да как... да фаер
>нада донастроить с этим уклоном.. и ipnat...
>если хочешь могу потом выслать результат....

не, спасибо. результат то у меня есть работающий. я вот только никак не могу понять почему оба тазика не видят друг друга по внешним адресам после поднятия шифрованного тунеля. тоесть если тунель юеза ipsec то все шикарно...

Ответить | Правка | ^ к родителю #37 | Наверх | Cообщить модератору

39. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от ailman (ok) on 25-Май-09, 16:37 
>не, спасибо. результат то у меня есть работающий...

to linz:

Хелп!!!!
Если можно, выложи плиз рабочие конфиги racoon.conf, ipsec.conf и соответствующий rc.conf.
Уже 2-й месяц бъюсь с этим айписецом... ((((

Ответить | Правка | ^ к родителю #38 | Наверх | Cообщить модератору

40. "ipsec+racoon+bsd 6+сломаная голова"  +/
Сообщение от eleven on 17-Май-12, 14:37 
>[оверквотинг удален]
>>>настройку делаю согласно http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec....
>>>т.е. в /etc/ipsec.conf имею
>>>...
>>>spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
>>>spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
>>> я так понял, что типа протокол esp не поддерживается?? =(
>>
>>а в ядре-то точно все ровно? всех опций хватает?
> компилил ядро как полагается, с опциями IPSEC, IPSEC_ESP и плюс IPSEC_DEBUG.
> на момент запуска racoon сервера должны видеть друг друга?

опция в ядре PF_KEY sockets.
p.s. ответ уже скорей не для автора, а для гуглящих и натыкающихся на данный пост

Ответить | Правка | ^ к родителю #33 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру