forum.opennet.ru - "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!" (36)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"

Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Сообщение от Юлия (??) on 15-Дек-05, 20:36 (MSK)
Не могу найти в чем проблема, буду очень признательна за любые подсказки... ПОМОГИТЕ! Есть: Linux Suse 8(2.4.21-138-smp) c ipsec (freeswan-1.98_0.9.14-341) и Сisco 2651. Нужен VpN+IPSec. Проблема - все время реконнект фазы 2... Впечатление, что Линукс отвечает на предыдущий пакет, а циска СА уже сбросила и сделала новый... md5 и группу 2 ставила, но (может из-за того что ipsec в ядре) несмотря на то что они прописаны в конфиге, линукс все равно предлагает ah-sha-hmac и группу 5. cisco- crypto isakmp policy 1 encr 3des authentication pre-share group 2 lifetime 3600 crypto isakmp key 12345 address 192.168.100.2 ! crypto ipsec transform-set Samara08 ah-sha-hmac esp-3des mode tunnel ! crypto map Sam08 1 ipsec-isakmp set peer 192.168.100.2 set transform-set Samara08 set pfs group2 match address tun8 ! interface Tunnel8 ip address 192.168.180.1 255.255.255.252 keepalive 300 50 tunnel source 192.168.100.1 tunnel destination 192.168.100.2 tunnel mode ipip crypto map Sam08 ! interface FastEthernet0/0 ip address 172.36.1.1 255.255.255.0 ! interface FastEthernet0/1 ip address 192.168.100.1 255.255.255.252 keepalive 300 crypto map Sam08 ---------------------- ip route 172.38.2.0 255.255.255.0 192.168.180.2 ---------------------- ip access-list extended tun8 permit ip host 192.168.100.1 host 192.168.100.2 permit ip host 192.168.100.2 host 192.168.100.1 permit ip 172.36.1.0 0.0.0.255 172.38.2.0 0.0.0.255 permit ip 172.38.2.0 0.0.0.255 172.36.1.0 0.0.0.255 =========================== Linux Ipsec.conf config setup interfaces="ipsec0=eth0" klipsdebug=all plutodebug=all plutoload=%search plutostart=%search uniqueids=yes # ESP conn conn_GU type=tunnel auth=ah authby=secret keyexchange=ike auto=start left=192.168.100.2 leftsubnet=172.38.2.0/24 leftnexthop=192.168.100.1 right=192.168.100.1 rightsubnet=172.36.1.0/24 rightnexthop= pfs=yes lifetime=3600 esp=3des-md5-96 ah=hmac-sha-1-96 -------- Ipsec.secrets 192.168.100.2 192.168.100.1 “12345” ================================================ # ipsec look cat: /proc/net/ipsec_spigrp: No such file or directory cat: /proc/net/ipsec_eroute: No such file or directory grep: /proc/net/ipsec_tncfg: No such file or directory sort: open failed: /proc/net/ipsec_spi: No such file or directory Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 192.168.100.2 0.0.0.0 UG 40 0 0 ipsec0 172.36.1.0 192.168.100.1 255.255.255.0 UG 40 0 0 ipsec0 192.168.100.0 0.0.0.0 255.255.255.252 U 40 0 0 eth0 192.168.100.0 0.0.0.0 255.255.255.252 U 40 0 0 ipsec0 ====================== Linux - messages Dec 15 11:22:22 ers_herm pluto[1176]: "conn_GU" #1: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xeb9b46ad (perhaps this is a duplicated packet) ====================== 41w0d: ISAKMP (0:3): Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE 41w0d: ISAKMP (0:3): Old State = IKE_R_MM5 New State = IKE_P1_COMPLETE scmIkeTunnelCreate ikeidx:1202 41w0d: ISAKMP (0:3): Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE 41w0d: ISAKMP (0:3): Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE 41w0d: ISAKMP (0:3): received packet from 192.168.100.2 dport 500 sport 500 Global (R) QM_IDLE 41w0d: ISAKMP: set new node -1451715169 to QM_IDLE 41w0d: CryptoEngine0: generate hmac context for conn id 3 41w0d: ISAKMP (0:3): processing HASH payload. message ID = -1451715169 41w0d: ISAKMP (0:3): processing SA payload. message ID = -1451715169 41w0d: ISAKMP (0:3): Checking IPSec proposal 0 41w0d: ISAKMP: transform 0, AH_SHA 41w0d: ISAKMP: attributes in transform: 41w0d: ISAKMP: group is 2 41w0d: ISAKMP: encaps is 1 (Tunnel) 41w0d: ISAKMP: SA life type in seconds 41w0d: ISAKMP: SA life duration (basic) of 3600 41w0d: ISAKMP: authenticator is HMAC-SHA 41w0d: CryptoEngine0: validate proposal 41w0d: ISAKMP (0:3): atts are acceptable. 41w0d: ISAKMP (0:3): Checking IPSec proposal 0 41w0d: ISAKMP: transform 0, ESP_3DES 41w0d: ISAKMP: attributes in transform: 41w0d: ISAKMP: group is 2 41w0d: ISAKMP: encaps is 1 (Tunnel) 41w0d: ISAKMP: SA life type in seconds 41w0d: ISAKMP: SA life duration (basic) of 3600 41w0d: CryptoEngine0: validate proposal 41w0d: ISAKMP (0:3): atts are acceptable. 41w0d: IPSEC(validate_proposal_request): proposal part #1, (key eng. msg.) INBOUND local= 192.168.100.1, remote= 192.168.100.2, local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4), remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4), protocol= AH, transform= ah-sha-hmac (Tunnel), lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x22 41w0d: IPSEC(validate_proposal_request): proposal part #2, (key eng. msg.) INBOUND local= 192.168.100.1, remote= 192.168.100.2, local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4), remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des (Tunnel), lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x22 41w0d: CryptoEngine0: validate proposal request 41w0d: IPSEC(kei_proxy): head = Sam08, map->ivrf = , kei->ivrf = 41w0d: CryptoEngine0: generate alg parameter 41w0d: CRYPTO_ENGINE: Dh phase 1 status: 0 41w0d: CRYPTO_ENGINE: Dh phase 1 status: 0 41w0d: ISAKMP (0:3): processing NONCE payload. message ID = -1451715169 41w0d: ISAKMP (0:3): processing KE payload. message ID = -1451715169 41w0d: CryptoEngine0: generate alg parameter Dec 15 12:22:28: %SEC-6-IPACCESSLOGP: list s0.1-in denied tcp 172.200.1.59(1790) (Serial0/0.100 ) -> 172.40.207.65(445), 1 packet 41w0d: ISAKMP (0:3): processing ID payload. message ID = -1451715169 41w0d: ISAKMP (0:3): processing ID payload. message ID = -1451715169 41w0d: ISAKMP (0:3): asking for 2 spis from ipsec 41w0d: ISAKMP (0:3): Node -1451715169, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH 41w0d: ISAKMP (0:3): Old State = IKE_QM_READY New State = IKE_QM_SPI_STARVE 41w0d: IPSEC(key_engine): got a queue event... 41w0d: IPSEC(spi_response): getting spi 2097673135 for SA from 192.168.100.1 to 192.168.100.2 for prot 2 41w0d: IPSEC(spi_response): getting spi 86976991 for SA from 192.168.100.1 to 192.168.100.2 for prot 3 41w0d: ISAKMP: received ke message (2/2) 41w0d: CryptoEngine0: generate hmac context for conn id 3 41w0d: CryptoEngine0: ipsec allocate flow 41w0d: CryptoEngine0: ipsec allocate flow 41w0d: CryptoEngine0: clear dh number for conn id 1 41w0d: ISAKMP (0:3): Creating IPSec SAs 41w0d: inbound SA from 192.168.100.2 to 192.168.100.1 (f/i) 0/ 0 (proxy 172.38.2.0 to 172.36.1.0) 41w0d: has spi 0x7D07F3AF and conn_id 2016 and flags 23 41w0d: lifetime of 3600 seconds 41w0d: has client flags 0x0 41w0d: outbound SA from 192.168.100.1 to 192.168.100.2 (f/i) 0/ 0 (proxy 172.36.1.0 to 172.38.2.0 ) 41w0d: has spi -195858819 and conn_id 2017 and flags 2B 41w0d: lifetime of 3600 seconds 41w0d: has client flags 0x0 41w0d: ISAKMP (0:3): Creating IPSec SAs 41w0d: inbound SA from 192.168.100.2 to 192.168.100.1 (f/i) 0/ 0 (proxy 172.38.2.0 to 172.36.1.0) 41w0d: has spi 0x52F29DF and conn_id 2018 and flags 23 41w0d: lifetime of 3600 seconds 41w0d: has client flags 0x0 41w0d: outbound SA from 192.168.100.1 to 192.168.100.2 (f/i) 0/ 0 (proxy 172.36.1.0 to 172.38.2.0 ) 41w0d: has spi -195858818 and conn_id 2019 and flags 2B 41w0d: lifetime of 3600 seconds 41w0d: has client flags 0x0 41w0d: ISAKMP (0:3): sending packet to 192.168.100.2 my_port 500 peer_port 500 (R) QM_IDLE 41w0d: ISAKMP (0:3): Node -1451715169, Input = IKE_MESG_FROM_IPSEC, IKE_SPI_REPLY 41w0d: ISAKMP (0:3): Old State = IKE_QM_SPI_STARVE New State = IKE_QM_R_QM2 41w0d: IPSEC(key_engine): got a queue event... 41w0d: IPSEC(initialize_sas): , (key eng. msg.) INBOUND local= 192.168.100.1, remote= 192.168.100.2, local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4), remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4), protocol= AH, transform= ah-sha-hmac (Tunnel), lifedur= 3600s and 0kb, spi= 0x7D07F3AF(2097673135), conn_id= 2016, keysize= 0, flags= 0x23 41w0d: IPSEC(initialize_sas): , (key eng. msg.) OUTBOUND local= 192.168.100.1, remote= 192.168.100.2, local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4), remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4), protocol= AH, transform= ah-sha-hmac (Tunnel), lifedur= 3600s and 0kb, spi= 0xF4536E7D(4099108477), conn_id= 2017, keysize= 0, flags= 0x2B 41w0d: IPSEC(initialize_sas): , (key eng. msg.) INBOUND local= 192.168.100.1, remote= 192.168.100.2, local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4), remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des (Tunnel), lifedur= 3600s and 0kb, spi= 0x52F29DF(86976991), conn_id= 2018, keysize= 0, flags= 0x23 41w0d: IPSEC(initialize_sas): , (key eng. msg.) OUTBOUND local= 192.168.100.1, remote= 192.168.100.2, local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4), remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des (Tunnel), lifedur= 3600s and 0kb, spi= 0xF4536E7E(4099108478), conn_id= 2019, keysize= 0, flags= 0x2B 41w0d: IPSEC(kei_proxy): head = Sam08, map->ivrf = , kei->ivrf = ……………………………….. 41w0d: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with the same proxies and 192.168.100.2 41w0d: IPSEC(create_sa): sa created, (sa) sa_dest= 192.168.100.1, sa_prot= 51, sa_spi= 0x7D07F3AF(2097673135), sa_trans= ah-sha-hmac , sa_conn_id= 2016 41w0d: IPSEC(create_sa): sa created, (sa) sa_dest= 192.168.100.2, sa_prot= 51, sa_spi= 0xF4536E7D(4099108477), sa_trans= ah-sha-hmac , sa_conn_id= 2017 41w0d: IPSEC(create_sa): sa created, (sa) sa_dest= 192.168.100.1, sa_prot= 50, sa_spi= 0x52F29DF(86976991), sa_trans= esp-3des , sa_conn_id= 2018 41w0d: IPSEC(create_sa): sa created, (sa) sa_dest= 192.168.100.2, sa_prot= 50, sa_spi= 0xF4536E7E(4099108478), sa_trans= esp-3des , sa_conn_id= 2019 41w0d: ISAKMP (0:3): received packet from 192.168.100.2 dport 500 sport 500 Global (R) QM_IDLE 41w0d: CryptoEngine0: generate hmac context for conn id 3 41w0d: ISAKMP (0:3): deleting node -1451715169 error FALSE reason "quick mode done (await)" 41w0d: ISAKMP (0:3): Node -1451715169, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH 41w0d: ISAKMP (0:3): Old State = IKE_QM_R_QM2 New State = IKE_QM_PHASE2_COMPLETE 41w0d: IPSEC(key_engine): got a queue event... 41w0d: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP 41w0d: IPSEC(key_engine_enable_outbound): enable SA with spi 4099108477/51 for 192.168.100.2 41w0d: IPSEC(add_sa): have new SAs -- expire existing in 30 sec., (sa) sa_dest= 192.168.100.1, sa_prot= 51, sa_spi= 0x6101A0A(101718538), sa_trans= ah-sha-hmac , sa_conn_id= 2012, (identity) local= 192.168.100.1, remote= 192.168.100.2, local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4), remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4) (sa) sa_dest= 192.168.100.1, sa_prot= 51, sa_spi= 0x6101A0A(101718538), sa_trans= ah-sha-hmac , sa_conn_id= 2012 41w0d: IPSEC(delete_sa): deleting SA, (sa) sa_dest= 192.168.100.2, sa_prot= 51, sa_spi= 0xF4536E7B(4099108475), sa_trans= ah-sha-hmac , sa_conn_id= 2013 41w0d: IPSEC(delete_sa): deleting SA, (sa) sa_dest= 192.168.100.1, sa_prot= 50, sa_spi= 0x8A8C6E0C(2324459020), sa_trans= esp-3des , sa_conn_id= 2014 41w0d: IPSEC(delete_sa): deleting SA, (sa) sa_dest= 192.168.100.2, sa_prot= 50, sa_spi= 0xF4536E7C(4099108476), sa_trans= esp-3des , sa_conn_id= 2015 41w0d: ISAKMP: received ke message (3/2) 41w0d: ISAKMP: set new node 1458435346 to QM_IDLE 41w0d: CryptoEngine0: generate hmac context for conn id 3 41w0d: ISAKMP (0:3): sending packet to 192.168.100.2 my_port 500 peer_port 500 (R) QM_IDLE 41w0d: ISAKMP (0:3): Input = IKE_MESG_FROM_IPSEC, IKE_PHASE2_DEL 41w0d: ISAKMP (0:3): Old State = IKE_P1_COMPLETE New State = IKE_P1_COMPLETE 41w0d: ISAKMP (0:3): retransmitting phase 2 QM_IDLE 1458435346 ... 41w0d: ISAKMP (0:3): incrementing error counter on node: retransmit phase 2 41w0d: ISAKMP (0:3): incrementing error counter on sa: retransmit phase 2 41w0d: ISAKMP (0:3): retransmitting phase 2 1458435346 QM_IDLE 41w0d: ISAKMP (0:3): sending packet to 192.168.100.2 my_port 500 peer_port 500 (R) QM_IDLE ……………………………………..
	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

Оглавление

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, toor99, 22:50 , 15-Дек-05, (1)
IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, toor99, 00:43 , 16-Дек-05, (2)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Изгой, 11:44 , 16-Дек-05, (3)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Изгой, 11:47 , 16-Дек-05, (4)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Юлия, 12:02 , 16-Дек-05, (5)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, toor99, 12:15 , 16-Дек-05, (6)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, toor99, 12:16 , 16-Дек-05, (7)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Изгой, 12:51 , 16-Дек-05, (8)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Изгой, 12:54 , 16-Дек-05, (9)
IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Юлия, 13:48 , 16-Дек-05, (10)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Изгой, 13:58 , 16-Дек-05, (11)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Юлия, 14:38 , 16-Дек-05, (17)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, toor99, 14:40 , 16-Дек-05, (18)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, toor99, 14:30 , 16-Дек-05, (12)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Изгой, 14:32 , 16-Дек-05, (13)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, toor99, 14:36 , 16-Дек-05, (15)
IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Изгой, 14:36 , 16-Дек-05, (16)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Юлия, 14:47 , 16-Дек-05, (20)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, toor99, 14:36 , 16-Дек-05, (14)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Изгой, 14:46 , 16-Дек-05, (19)
IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Юлия, 14:57 , 16-Дек-05, (21)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, toor99, 15:11 , 16-Дек-05, (22)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Юлия, 15:24 , 16-Дек-05, (23)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, toor99, 15:47 , 16-Дек-05, (24)

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Изгой, 16:05 , 16-Дек-05, (25)
IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Юлия, 16:20 , 16-Дек-05, (26)
IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Изгой, 17:00 , 16-Дек-05, (27)
IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!, Юлия, 10:44 , 19-Дек-05, (29)

Попытался воспроизвести., toor99, 17:32 , 17-Дек-05, (28)

Попыталась воспроизвести., Юлия, 11:21 , 19-Дек-05, (30)

Попыталась воспроизвести., Изгой, 11:52 , 19-Дек-05, (31)

Попыталась воспроизвести., Юлия, 17:53 , 20-Дек-05, (33)

Попыталась воспроизвести., toor99, 12:53 , 19-Дек-05, (32)

Попыталась воспроизвести., Изгой, 09:21 , 21-Дек-05, (34)

Попыталась воспроизвести., toor99, 10:58 , 21-Дек-05, (35)

Попыталась воспроизвести., Изгой, 11:41 , 21-Дек-05, (36)

Сообщения по теме [Сортировка по времени, UBB]

1. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от toor99 (??) on 15-Дек-05, 22:50  (MSK)

Вы уверены, что вам вообще нужен AH ?
Если нет, уберите его. Или поставьте выше него другой трансформ, что-то вроде
crypto ipsec transform-set Samara08-M esp-3des esp-md5-hmac

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

2. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от toor99 (??) on 16-Дек-05, 00:43  (MSK)

Кстати, еще два замечания. Во-первых, это не дело ставить криптомап на виртуальный интерфейс tun - работать это может, но не обязано; ставьте его на физический интерфейс.
Во-вторых, режим IPSec в такой ситуации, по логике вещей, должен быть транспортным. Хотя, не знаю, поддерживает ли его FreeSWAN по-нормальному. Не удивлюсь, если нет.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Изгой (??) on 16-Дек-05, 11:44  (MSK)

>Кстати, еще два замечания. Во-первых, это не дело ставить криптомап на виртуальный
>интерфейс tun - работать это может, но не обязано; ставьте его
>на физический интерфейс.
>Во-вторых, режим IPSec в такой ситуации, по логике вещей, должен быть транспортным.
>Хотя, не знаю, поддерживает ли его FreeSWAN по-нормальному. Не удивлюсь, если
>нет.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

4. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Изгой (??) on 16-Дек-05, 11:47  (MSK)

А сделать попроще на циско нельзя ? у вас тунель ip в ip потом загоняеться в туннель айписек , а если начать с более простого и накручивать - непробывали?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

5. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Юлия (??) on 16-Дек-05, 12:02  (MSK)

Сняла мап на туннеле, попробовала mode transport, да, похоже freeswan не хочет с ним работать, канал вообще не подымается...
Freeswan вообще себя странно ведет  - я не могу снять AH и поставить auth=esp, и не могу задать AH через md5, потому что несмотря на то , что все это прописано в ipsec.conf, пакеты на циску приходят все равно с предложением AH-SHA, и начинет ругаться на несоответствие в полиси...
так же и насчет группы. только с 5-ой группой доходит до фазы 2.
Говорит, что фаза 2 -комплит, а потом такое впечатление, что когда Линукс пытается ответить, соединение на циске уже убито, и создано новое... и ID сообщений уже не совпадают... И снова фаза 2...
<< Или поставьте выше него другой трансформ, что-то вроде
<<crypto ipsec transform-set Samara08-M esp-3des esp-md5-hmac
т.е. я могу просто поставить 2 трансформа и потом оба применить на мапе?
а как они тогда будут вместе жить?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

6. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от toor99 (??) on 16-Дек-05, 12:15  (MSK)

>Сняла мап на туннеле, попробовала mode transport, да, похоже freeswan не хочет
>с ним работать, канал вообще не подымается...
>Freeswan вообще себя странно ведет  - я не могу снять AH
>и поставить auth=esp, и не могу задать AH через md5, потому
>что несмотря на то , что все это прописано в ipsec.conf,
>пакеты на циску приходят все равно с предложением AH-SHA, и начинет
>ругаться на несоответствие в полиси...
Странно. Сейчас не помню подробностей, но таких проблем, вроде бы, не было.
>так же и насчет группы. только с 5-ой группой доходит до фазы
>2.
>Говорит, что фаза 2 -комплит, а потом такое впечатление, что когда Линукс
>пытается ответить, соединение на циске уже убито, и создано новое... и
>ID сообщений уже не совпадают... И снова фаза 2...
>
><< Или поставьте выше него другой трансформ, что-то вроде
><<crypto ipsec transform-set Samara08-M esp-3des esp-md5-hmac
>
>т.е. я могу просто поставить 2 трансформа и потом оба применить на
>мапе?
>а как они тогда будут вместе жить?
Будут перебираться по очереди, до согласования параметров. Как-то так:
crypto ipsec transform-set mytransform1 esp-3des esp-sha-hmac
crypto ipsec transform-set mytransform2 esp-3des esp-md5-hmac
...
crypto map MyCryptomap 10 ipsec-isakmp
set peer 1.2.3.4
set transform-set mytransform1
set pfs group5
match address такой-то ACL
crypto map vpn 20 ipsec-isakmp
set peer 1.2.3.4
set transform-set mytransform2
set pfs group5
match address такой-то ACL
crypto map vpn 30 ipsec-isakmp
И так далее...
!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

7. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от toor99 (??) on 16-Дек-05, 12:16  (MSK)

> crypto map vpn 20 ipsec-isakmp
В смысле, crypto map MyCryptomap 20 ipsec-isakmp , конечно!

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Изгой (??) on 16-Дек-05, 12:51  (MSK)

>> crypto map vpn 20 ipsec-isakmp
>В смысле, crypto map MyCryptomap 20 ipsec-isakmp , конечно!
ip access-list extended tun8
permit ip host 192.168.100.1 host 192.168.100.2
permit ip host 192.168.100.2 host 192.168.100.1
permit ip 172.36.1.0 0.0.0.255 172.38.2.0 0.0.0.255
permit ip 172.38.2.0 0.0.0.255 172.36.1.0 0.0.0.255
попробуйте перевести в транспортный режим ,
permit ip host 192.168.100.1 host 192.168.100.2  и в акцессе оставить только вот эту строку. на люнексе наоборот 100.2 - 100.1

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

9. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Изгой (??) on 16-Дек-05, 12:54  (MSK)

>>> crypto map vpn 20 ipsec-isakmp
>>В смысле, crypto map MyCryptomap 20 ipsec-isakmp , конечно!
>ip access-list extended tun8
>permit ip host 192.168.100.1 host 192.168.100.2
>permit ip host 192.168.100.2 host 192.168.100.1
>permit ip 172.36.1.0 0.0.0.255 172.38.2.0 0.0.0.255
>permit ip 172.38.2.0 0.0.0.255 172.36.1.0 0.0.0.255
>
>попробуйте перевести в транспортный режим ,
>
>permit ip host 192.168.100.1 host 192.168.100.2  и в акцессе оставить только
>вот эту строку. на люнексе наоборот 100.2 - 100.1
а да забыл
вместо ip в случае гре туннеля ставиться permit gre host 192.168.100.1 host 192.168.100.2 в вашем  случае нужно посмотреть.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

10. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Юлия (??) on 16-Дек-05, 13:48  (MSK)

>попробуйте перевести в транспортный режим ,
>
>permit ip host 192.168.100.1 host 192.168.100.2  и в акцессе оставить только
>вот эту строку. на люнексе наоборот 100.2 - 100.1
на линуксе файрвола пока нет, все пропускает...
а в транспортном режиме соединение даже не подымается... кстати, ничего, что я циску не перегружаю при изменениях?  Просто она в онлайне щаз на 50 филиалов, не могу ее дергать...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

11. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Изгой (??) on 16-Дек-05, 13:58  (MSK)

>>попробуйте перевести в транспортный режим ,
>>
>>permit ip host 192.168.100.1 host 192.168.100.2  и в акцессе оставить только
>>вот эту строку. на люнексе наоборот 100.2 - 100.1
>
>на линуксе файрвола пока нет, все пропускает...
>а в транспортном режиме соединение даже не подымается... кстати, ничего, что я
>циску не перегружаю при изменениях?  Просто она в онлайне щаз
>на 50 филиалов, не могу ее дергать...
В туннельном режиме
permit ipinip (или цифра 4 ) host 192.168.100.1 host 192.168.100.2  и в акцессе оставить только вот эту строку. на люнексе наоборот 100.2 - 100.1
попробуйте так. Да передёргивать не надо .

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

17. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Юлия (??) on 16-Дек-05, 14:38  (MSK)

в акцессе оставила одну строку. Все по-прежнему,  но появилась новая гадость (которая вроде отношения к этому иметь не должна... хм...)

(key eng. msg.) INBOUND local= 192.168.100.1, remote= 192.168.100.2,
    local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des  (Tunnel),
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x42
18:51:34: CryptoEngine0: validate proposal request
18:51:34: IPSEC(kei_proxy): head = Sam08, map->ivrf = , kei->ivrf =
18:51:34: IPSEC(validate_transform_proposal): proxy identities not supported
18:51:34: ISAKMP (0:1): IPSec policy invalidated proposal
А во входящем на эзернет 172.36.1.0 акцессе тоже нужно поставить ipinip?
или там эти пермиты вообще не нужны?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

18. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от toor99 (??) on 16-Дек-05, 14:40  (MSK)

Чтобы уточнить ваше понимание процессов - access-list в контексте криптомапы означает следующее: "Шифровать все пакеты, попадающие под действие этого access-list'а".

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

12. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от toor99 (??) on 16-Дек-05, 14:30  (MSK)

>>попробуйте перевести в транспортный режим ,
>>
>>permit ip host 192.168.100.1 host 192.168.100.2  и в акцессе оставить только
>>вот эту строку. на люнексе наоборот 100.2 - 100.1
>
>на линуксе файрвола пока нет, все пропускает...
>а в транспортном режиме соединение даже не подымается... кстати, ничего, что я
>циску не перегружаю при изменениях?  Просто она в онлайне щаз
>на 50 филиалов, не могу ее дергать...
Не надо ее перезагружать, вы что. Изменения вступают в силу немедленно.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

13. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Изгой (??) on 16-Дек-05, 14:32  (MSK)

>>>попробуйте перевести в транспортный режим ,
>>>
>>>permit ip host 192.168.100.1 host 192.168.100.2  и в акцессе оставить только
>>>вот эту строку. на люнексе наоборот 100.2 - 100.1
>>
>>на линуксе файрвола пока нет, все пропускает...
>>а в транспортном режиме соединение даже не подымается... кстати, ничего, что я
>>циску не перегружаю при изменениях?  Просто она в онлайне щаз
>>на 50 филиалов, не могу ее дергать...
>
>Не надо ее перезагружать, вы что. Изменения вступают в силу немедленно.
А я написал разве надо )))

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

15. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от toor99 (??) on 16-Дек-05, 14:36  (MSK)

>>Не надо ее перезагружать, вы что. Изменения вступают в силу немедленно.
>А я написал разве надо )))
Дык я и не вам отвечал :-)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

16. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Изгой (??) on 16-Дек-05, 14:36  (MSK)

>>>>попробуйте перевести в транспортный режим ,
>>>>
>>>>permit ip host 192.168.100.1 host 192.168.100.2  и в акцессе оставить только
>>>>вот эту строку. на люнексе наоборот 100.2 - 100.1
>>>
>>>на линуксе файрвола пока нет, все пропускает...
>>>а в транспортном режиме соединение даже не подымается... кстати, ничего, что я
>>>циску не перегружаю при изменениях?  Просто она в онлайне щаз
>>>на 50 филиалов, не могу ее дергать...
>>
>>Не надо ее перезагружать, вы что. Изменения вступают в силу немедленно.
>А я написал разве надо )))

Да и всё же Юля , я б посоветовал бы сначала поднять  туннель айписек а потом , уже накручивать , если уж вам нужен туннель ipip , неужели IPV6 используете?
Да и ещё я не силён в Люнексе , но где там прописан общий ключ ? такой же как на циско? он должен быть одинаковым и присутствовать и там и на люне.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

20. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Юлия (??) on 16-Дек-05, 14:47  (MSK)

ага, одинаковый.
Ipsec.secrets
192.168.100.2 192.168.100.1 “12345”
вы предлагаете просто снять Mode ipip?
или под этим еще что-то кроется?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

14. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от toor99 (??) on 16-Дек-05, 14:36  (MSK)

Вот вам для примера кусок реально работающего конфига циски. Единственно что - на другой стороне не линукс, а FreeBSD (соответственно, за ISAKMP отвечает racoon).
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key такой-то address такой-то
...
crypto ipsec transform-set moscow-hub esp-3des
mode transport
...
crypto map moscow-hub 1 ipsec-isakmp
set peer такой-то
set transform-set moscow-hub
set pfs group2
match address MOSCOW-HUB
...
interface Tunnel0
description Tunnel to Moscow hub
ip address 10.0.0.2 255.255.255.252
ip mtu 1280
ip tcp adjust-mss 1226
ip ospf network non-broadcast
ip ospf cost 100
tunnel source адрес-роутера-cisco
tunnel destination адрес-роутера-FreeBSD
tunnel mode ipip
...
ip access-list extended MOSCOW-HUB
permit ip host адрес-роутера-cisco host адрес-роутера-FreeBSD
Как видите, всё тривиально. Криптомап наложен на физ. интерфейс циски (e0).

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

19. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Изгой (??) on 16-Дек-05, 14:46  (MSK)

>Вот вам для примера кусок реально работающего конфига циски. Единственно что -
>на другой стороне не линукс, а FreeBSD (соответственно, за ISAKMP отвечает
>racoon).
>
>crypto isakmp policy 10
> encr 3des
> authentication pre-share
> group 2
> lifetime 3600
>crypto isakmp key такой-то address такой-то
>...
>crypto ipsec transform-set moscow-hub esp-3des
> mode transport
>...
>crypto map moscow-hub 1 ipsec-isakmp
> set peer такой-то
> set transform-set moscow-hub
> set pfs group2
> match address MOSCOW-HUB
>...
>interface Tunnel0
> description Tunnel to Moscow hub
> ip address 10.0.0.2 255.255.255.252
> ip mtu 1280
> ip tcp adjust-mss 1226
> ip ospf network non-broadcast
> ip ospf cost 100
> tunnel source адрес-роутера-cisco
> tunnel destination адрес-роутера-FreeBSD
> tunnel mode ipip
>...
>ip access-list extended MOSCOW-HUB
> permit ip host адрес-роутера-cisco host адрес-роутера-FreeBSD
>
>Как видите, всё тривиально. Криптомап наложен на физ. интерфейс циски (e0).
# ESP
conn conn_GU
        type=tunnel
        auth=ah
        authby=secret
        keyexchange=ike
auto=start
        left=192.168.100.2
        leftsubnet=172.38.2.0/24
        leftnexthop=192.168.100.1
        right=192.168.100.1
        rightsubnet=172.36.1.0/24
rightnexthop=
pfs=yes
        lifetime=3600
        esp=3des-md5-96
        ah=hmac-sha-1-96
--------
Ipsec.secrets
192.168.100.2 192.168.100.1 “12345” о увидел проглядел.
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 12345 address 192.168.100.2
!
crypto ipsec transform-set Samara08 ah-sha-hmac esp-3des   похоже что у ва с на второй вазе разногласие идёт .
    mode tunnel
!
crypto map Sam08 1 ipsec-isakmp
set peer 192.168.100.2
set transform-set Samara08
set pfs group2
match address tun8

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

21. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Юлия (??) on 16-Дек-05, 14:57  (MSK)

nterface Tunnel0
description Tunnel to Moscow hub
ip address 10.0.0.2 255.255.255.252
ip mtu 1280
а с чем у вас связан такой MTU?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

22. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от toor99 (??) on 16-Дек-05, 15:11  (MSK)

>nterface Tunnel0
>description Tunnel to Moscow hub
>ip address 10.0.0.2 255.255.255.252
>ip mtu 1280
>
>а с чем у вас связан такой MTU?
Это местные заморочки. Радиолинк. Не обращайте внимания.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

23. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Юлия (??) on 16-Дек-05, 15:24  (MSK)

ну почему же... Wi-Fi? у меня там тоже радиолинк торчать будет после настройки ipsec...  и принимать на линуксах в 4-х филиалах тоже будут точки... поэтому и интересуюсь, есть ли ньюансы

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

24. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от toor99 (??) on 16-Дек-05, 15:47  (MSK)

>ну почему же... Wi-Fi? у меня там тоже радиолинк торчать будет после
>настройки ipsec...  и принимать на линуксах в 4-х филиалах тоже
>будут точки... поэтому и интересуюсь, есть ли ньюансы
В том месте, где этот роутер, местные "провайдеры" не совсем вменяемые ребята... Впечатление такое, что у них где-то перекрыты все ICMP. В результате возникает проблема с размером MTU в туннеле. Если у вас будет такая же проблема, вы это заметите очень быстро, не сомневайтесь.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

25. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Изгой (??) on 16-Дек-05, 16:05  (MSK)

>>ну почему же... Wi-Fi? у меня там тоже радиолинк торчать будет после
>>настройки ipsec...  и принимать на линуксах в 4-х филиалах тоже
>>будут точки... поэтому и интересуюсь, есть ли ньюансы
>
>В том месте, где этот роутер, местные "провайдеры" не совсем вменяемые ребята...
>Впечатление такое, что у них где-то перекрыты все ICMP. В результате
>возникает проблема с размером MTU в туннеле. Если у вас будет
>такая же проблема, вы это заметите очень быстро, не сомневайтесь.
Ага быстро ))) а вот некоторым голову сносит ) почему туда ууууууу а оттуда ху)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

26. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Юлия (??) on 16-Дек-05, 16:20  (MSK)

убрала int tunnel 8
та же грустная картина :(
А не может это быть из-за того, что Ipsec ядра какой-нибудь урезанный?
Что-то он не весь конфиг freeswan понимает (md5, transport)
И еще - сообщений об ошибках нет, кроме 2-х подозрительных моментов -
1.
# ipsec look
cat: /proc/net/ipsec_spigrp:  No such file or directory
cat:  /proc/net/ipsec_eroute:  No such file or directory
grep:  /proc/net/ipsec_tncfg:  No such file or directory
sort:  open failed:  /proc/net/ipsec_spi:  No such file or directory
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.100.2   0.0.0.0         UG       40 0          0 ipsec0
172.36.1.0      192.168.100.1   255.255.255.0   UG       40 0          0 ipsec0
192.168.100.0   0.0.0.0         255.255.255.252 U        40 0          0 eth0
192.168.100.0   0.0.0.0         255.255.255.252 U        40 0          0 ipsec0
2. ipsec-plutorun: "conn_GU" :ignoring informational payload, type IPSEC_RESPONDER_LIFETIME
от этого может зависеть?
И еще - на линуксе файрвол не стоит, ipsec же тогда должен все пакеты пропускать?

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

27. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Изгой (??) on 16-Дек-05, 17:00  (MSK)

>убрала int tunnel 8
>та же грустная картина :(
>
>А не может это быть из-за того, что Ipsec ядра какой-нибудь урезанный?
>
>Что-то он не весь конфиг freeswan понимает (md5, transport)
>
>И еще - сообщений об ошибках нет, кроме 2-х подозрительных моментов -
>
>
>1.
># ipsec look
>
>cat: /proc/net/ipsec_spigrp:  No such file or directory
>cat:  /proc/net/ipsec_eroute:  No such file or directory
>grep:  /proc/net/ipsec_tncfg:  No such file or directory
>sort:  open failed:  /proc/net/ipsec_spi:  No such file or directory
>
>
>Destination     Gateway
>  Genmask
>Flags   MSS Window  irtt Iface
>0.0.0.0         192.168.100.2
>0.0.0.0         UG
>     40 0
>     0 ipsec0
>172.36.1.0      192.168.100.1   255.255.255.0
>UG       40 0
>       0 ipsec0
>192.168.100.0   0.0.0.0
>255.255.255.252 U        40 0
>         0 eth0
>
>192.168.100.0   0.0.0.0
>255.255.255.252 U        40 0
>         0 ipsec0
>
>
>2. ipsec-plutorun: "conn_GU" :ignoring informational payload, type IPSEC_RESPONDER_LIFETIME
>
>от этого может зависеть?
>
>И еще - на линуксе файрвол не стоит, ipsec же тогда должен
>все пакеты пропускать?
Туннель оставте , тут я посмотрел между фриисваном и циской туннель все применяют , попробуйте политики на циски выставить разные с приоритетом ,
потом надо будет разбираться со второй фазой.
к варианту политики на кошке encr  des, 3des   hash - md5, sha-I
метод у вас общии ключи
Параметр обмена ключами Группа 1 , Группа 2
время можно по умолчанию
это с политикой
Вторая фаза .. пора домой ) извините.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

29. "IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!"

Сообщение от Юлия (??) on 19-Дек-05, 10:44  (MSK)

С политикой попробую, но группу 1 и 2 фрисван (в моем случае) не понимает, дебаг показывает, что шлются на киску пакеты группы 5, и ругается на полиси , если там 1 или 2.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

28. "Попытался воспроизвести."

Сообщение от toor99 (??) on 17-Дек-05, 17:32  (MSK)

Я вот попытался воспроизвести вашу схему - с одной стороны Linux SuSE 9.3, с другой 1720 (за неимением 2651);IOS C1700-K9SY7-M, Version 12.2(15)T14.
1)
В /etc/ipsec.conf все крайне дефолтово:
conn ampfing
       left=%defaultroute
       right=адрес-роутера-cisco
       type=transport
       authby=secret
       auto=start
2) Кусок конфига циски:
crypto isakmp key какойтотамключ address адрес-роутера-linux no-xauth
...
crypto ipsec transform-set mytransformTEST esp-3des esp-md5-hmac
mode transport
...
crypto map MyVPN NN ipsec-isakmp
set peer адрес-роутера-linux
set transform-set mytransformTEST
set pfs group2
match address LINUX
...
ip access-list extended LINUX
permit ip host адрес-роутера-cisco host адрес-роутера-linux
Оно немедленно взлетело, без малейших проблем.
Как видите, всё крайне просто...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

30. "Попыталась воспроизвести."

Сообщение от Юлия (??) on 19-Дек-05, 11:21  (MSK)

Все снесла, решила проверить вариант, который работает у вас. Все еще хуже стало. Фазу 1 даже не проходит...
Может, нужно копать со стороны Линукса?
то что IPsec в ядре, может он урезанный какой-нибудь?

: Scanning profiles for xauth ...
3d15h: ISAKMP (0:84): Checking ISAKMP transform 0 against priority 1 policy
3d15h: ISAKMP:      life type in seconds
3d15h: ISAKMP:      life duration (basic) of 3600
3d15h: ISAKMP:      encryption 3DES-CBC
3d15h: ISAKMP:      hash SHA
3d15h: ISAKMP:      auth pre-share
3d15h: ISAKMP:      default group 5
3d15h: ISAKMP (0:84): Authentication method offered does not match policy!
3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3
3d15h: ISAKMP (0:84): Checking ISAKMP transform 1 against priority 1 policy
3d15h: ISAKMP:      life type in seconds
3d15h: ISAKMP:      life duration (basic) of 3600
3d15h: ISAKMP:      encryption 3DES-CBC
3d15h: ISAKMP:      hash MD5
3d15h: ISAKMP:      auth pre-share
3d15h: ISAKMP:      default group 5
3d15h: ISAKMP (0:84): Hash algorithm offered does not match policy!
3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3
3d15h: ISAKMP (0:84): Checking ISAKMP transform 2 against priority 1 policy
3d15h: ISAKMP:      life type in seconds
3d15h: ISAKMP:      life duration (basic) of 3600
3d15h: ISAKMP:      encryption 3DES-CBC
3d15h: ISAKMP:      hash SHA
3d15h: ISAKMP:      auth pre-share
3d15h: ISAKMP:      default group 2
3d15h: ISAKMP (0:84): Authentication method offered does not match policy!
3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3
3d15h: ISAKMP (0:84): Checking ISAKMP transform 3 against priority 1 policy
3d15h: ISAKMP:      life type in seconds
3d15h: ISAKMP:      life duration (basic) of 3600
3d15h: ISAKMP:      encryption 3DES-CBC
3d15h: ISAKMP:      hash MD5
3d15h: ISAKMP:      auth pre-share
3d15h: ISAKMP:      default group 2
3d15h: ISAKMP (0:84): Hash algorithm offered does not match policy!
3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 0
3d15h: ISAKMP (0:84): Checking ISAKMP transform 0 against priority 65535 policy
3d15h: ISAKMP:      life type in seconds
3d15h: ISAKMP:      life duration (basic) of 3600
3d15h: ISAKMP:      encryption 3DES-CBC
3d15h: ISAKMP:      hash SHA
3d15h: ISAKMP:      auth pre-share
3d15h: ISAKMP:      default group 5
3d15h: ISAKMP (0:84): Encryption algorithm offered does not match policy!
3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3
3d15h: ISAKMP (0:84): Checking ISAKMP transform 1 against priority 65535 policy
3d15h: ISAKMP:      life type in seconds
3d15h: ISAKMP:      life duration (basic) of 3600
3d15h: ISAKMP:      encryption 3DES-CBC
3d15h: ISAKMP:      hash MD5
3d15h: ISAKMP:      auth pre-share
3d15h: ISAKMP:      default group 5
3d15h: ISAKMP (0:84): Encryption algorithm offered does not match policy!
3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3
3d15h: ISAKMP (0:84): Checking ISAKMP transform 2 against priority 65535 policy
3d15h: ISAKMP:      life type in seconds
3d15h: ISAKMP:      life duration (basic) of 3600
3d15h: ISAKMP:      encryption 3DES-CBC
3d15h: ISAKMP:      hash SHA
3d15h: ISAKMP:      auth pre-share
3d15h: ISAKMP:      default group 2
3d15h: ISAKMP (0:84): Encryption algorithm offered does not match policy!
3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3
3d15h: ISAKMP (0:84): Checking ISAKMP transform 3 against priority 65535 policy
3d15h: ISAKMP:      life type in seconds
3d15h: ISAKMP:      life duration (basic) of 3600
3d15h: ISAKMP:      encryption 3DES-CBC
3d15h: ISAKMP:      hash MD5
3d15h: ISAKMP:      auth pre-share
3d15h: ISAKMP:      default group 2
3d15h: ISAKMP (0:84): Encryption algorithm offered does not match policy!
3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 0
3d15h: ISAKMP (0:84): no offers accepted!
3d15h: ISAKMP (0:84): phase 1 SA policy not acceptable! (local 192.168.100.1 remote 192.168.100.2)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

31. "Попыталась воспроизвести."

Сообщение от Изгой (??) on 19-Дек-05, 11:52  (MSK)

Юлия , вы должны точно знать, что у вас совпадает 1 фаза , 2 фаза на Циско и Люнексе , то есть если на Циско все ясно то так же ясно для вас должны быть настройке на Люнексе,к  примеру первая фаза encr 3des . hash md5 . pre shere . group 2
(первая фаза ) - тоже самое для Люникса
2 фаза trans esp-3des . esp-sha-hmac . group 2 . трафик ( match adress  )
и на Люнексе тоже самое . Если всё это согласуете у вас будет работать и в туннельном режиме.
Вы можете описать трансформации и политику на люнексе ?
1 опишите политику -
2 опишите трансформацию -
Найдёте ответ на свой вопрос.
К примеру что за дефолтовая группа в Люнексе под номером 5
к примеру на Циске группа два - group 2 обозначает обмен ключами Дж Хафмана )  - точно не помню как его по имени и отчеству ) - 168 битными ключами - ну это на память ) group 1 - по умолчанию использует циско там поменьше

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

33. "Попыталась воспроизвести."

Сообщение от Юлия (??) on 20-Дек-05, 17:53  (MSK)

Сорри, что не ответила  - была в отъезде...
Нашла интересное -
SuSE integrated the USAGI patches into the service pack 2 of SuSE Linux Enterprise Server 8 (the enterprise product of SuSE). Update kernels to SuSE Linux 8.1 since June 2003 also include the USAGI patches.
(мой случай)
и дальше...
The new IPsec kernel module unfortunately breaks FreeS/WAN, due to a different pfkey protocol. Keys for connections can be managed by the pfkey utility, but we've also created adapted FreeS/WAN packages. These won't work on normal kernels, nor will normal FreeS/WAN packages work on a USAGI/CGL kernel.
Я так понимаю, мне стоит еще задать pfkey, несмотря на настройки фрисвана...

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

32. "Попыталась воспроизвести."

Сообщение от toor99 (??) on 19-Дек-05, 12:53  (MSK)

Понятно.
На циске поставьте в самый верх
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 5
Это отвечает именно за фазу 1 ISAKMP.
"в самый верх" означает, что остальные "crypto isakmp policy" желательно чтобы имели номера >1.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

34. "Попыталась воспроизвести."

Сообщение от Изгой (??) on 21-Дек-05, 09:21  (MSK)

>Понятно.
>На циске поставьте в самый верх
>
>crypto isakmp policy 1
> encr 3des
> hash md5
> authentication pre-share
> group 5
>
>Это отвечает именно за фазу 1 ISAKMP.
>"в самый верх" означает, что остальные "crypto isakmp policy" желательно чтобы имели номера >1.
Ещё раз
Вот ваш конфиг на Люне
# ESP
conn conn_GU
        type=tunnel
        auth=ah
        authby=secret
        keyexchange=ike
auto=start
        left=192.168.100.2
        leftsubnet=172.38.2.0/24
        leftnexthop=192.168.100.1
        right=192.168.100.1
        rightsubnet=172.36.1.0/24
rightnexthop=
pfs=yes
        lifetime=3600
        esp=3des-md5-96
        ah=hmac-sha-1-96
--------
Ipsec.secrets
192.168.100.2 192.168.100.1 “12345”
Опишите для себя первую фазу , вторую фазу , елси бы я разбирался в Люнексе , меня бы уже не было здесь. Кое что для меня понятно из конфига но что то мои догадки.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

35. "Попыталась воспроизвести."

Сообщение от toor99 (??) on 21-Дек-05, 10:58  (MSK)

>>Понятно.
>>На циске поставьте в самый верх
>>
>>crypto isakmp policy 1
>> encr 3des
>> hash md5
>> authentication pre-share
>> group 5
>>
>>Это отвечает именно за фазу 1 ISAKMP.
>>"в самый верх" означает, что остальные "crypto isakmp policy" желательно чтобы имели номера >1.
>
>Ещё раз
>
>Вот ваш конфиг на Люне
># ESP
>conn conn_GU
>        type=tunnel
>        auth=ah
>        authby=secret
>        keyexchange=ike
>auto=start
>        left=192.168.100.2
>        leftsubnet=172.38.2.0/24
>        leftnexthop=192.168.100.1
>        right=192.168.100.1
>        rightsubnet=172.36.1.0/24
>rightnexthop=
>pfs=yes
>        lifetime=3600
>        esp=3des-md5-96
>        ah=hmac-sha-1-96
>--------
>Ipsec.secrets
>192.168.100.2 192.168.100.1 “12345”
>
>Опишите для себя первую фазу , вторую фазу , елси бы я
>разбирался в Люнексе , меня бы уже не было здесь. Кое
>что для меня понятно из конфига но что то мои догадки.
>
Спасибо, но с фазами у меня полное понимание :)  Ты не тому отвечаешь.

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

36. "Попыталась воспроизвести."

Сообщение от Изгой (??) on 21-Дек-05, 11:41  (MSK)

>>>Понятно.
>>>На циске поставьте в самый верх
>>>
>>>crypto isakmp policy 1
>>> encr 3des
>>> hash md5
>>> authentication pre-share
>>> group 5
>>>
>>>Это отвечает именно за фазу 1 ISAKMP.
>>>"в самый верх" означает, что остальные "crypto isakmp policy" желательно чтобы имели номера >1.
>>
>>Ещё раз
>>
>>Вот ваш конфиг на Люне
>># ESP
>>conn conn_GU
>>        type=tunnel
>>        auth=ah
>>        authby=secret
>>        keyexchange=ike
>>auto=start
>>        left=192.168.100.2
>>        leftsubnet=172.38.2.0/24
>>        leftnexthop=192.168.100.1
>>        right=192.168.100.1
>>        rightsubnet=172.36.1.0/24
>>rightnexthop=
>>pfs=yes
>>        lifetime=3600
>>        esp=3des-md5-96
>>        ah=hmac-sha-1-96
>>--------
>>Ipsec.secrets
>>192.168.100.2 192.168.100.1 “12345”
>>
>>Опишите для себя первую фазу , вторую фазу , елси бы я
>>разбирался в Люнексе , меня бы уже не было здесь. Кое
>>что для меня понятно из конфига но что то мои догадки.
>>
>
>Спасибо, но с фазами у меня полное понимание :)  Ты не
>тому отвечаешь.
toor99 ) Ну понятно что это для Юли , прости если обидел:)

Удалить Правка | Высказать мнение | Ответить | Рекомендовать в FAQ | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Сообщение от toor99 (??) on 15-Дек-05, 22:50 (MSK)
Вы уверены, что вам вообще нужен AH ? Если нет, уберите его. Или поставьте выше него другой трансформ, что-то вроде crypto ipsec transform-set Samara08-M esp-3des esp-md5-hmac
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

2. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Сообщение от toor99 (??) on 16-Дек-05, 00:43 (MSK)
Кстати, еще два замечания. Во-первых, это не дело ставить криптомап на виртуальный интерфейс tun - работать это может, но не обязано; ставьте его на физический интерфейс. Во-вторых, режим IPSec в такой ситуации, по логике вещей, должен быть транспортным. Хотя, не знаю, поддерживает ли его FreeSWAN по-нормальному. Не удивлюсь, если нет.
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	3. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Изгой (??) on 16-Дек-05, 11:44 (MSK)
	>Кстати, еще два замечания. Во-первых, это не дело ставить криптомап на виртуальный >интерфейс tun - работать это может, но не обязано; ставьте его >на физический интерфейс. >Во-вторых, режим IPSec в такой ситуации, по логике вещей, должен быть транспортным. >Хотя, не знаю, поддерживает ли его FreeSWAN по-нормальному. Не удивлюсь, если >нет.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	4. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Изгой (??) on 16-Дек-05, 11:47 (MSK)
	А сделать попроще на циско нельзя ? у вас тунель ip в ip потом загоняеться в туннель айписек , а если начать с более простого и накручивать - непробывали?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	5. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Юлия (??) on 16-Дек-05, 12:02 (MSK)
	Сняла мап на туннеле, попробовала mode transport, да, похоже freeswan не хочет с ним работать, канал вообще не подымается... Freeswan вообще себя странно ведет - я не могу снять AH и поставить auth=esp, и не могу задать AH через md5, потому что несмотря на то , что все это прописано в ipsec.conf, пакеты на циску приходят все равно с предложением AH-SHA, и начинет ругаться на несоответствие в полиси... так же и насчет группы. только с 5-ой группой доходит до фазы 2. Говорит, что фаза 2 -комплит, а потом такое впечатление, что когда Линукс пытается ответить, соединение на циске уже убито, и создано новое... и ID сообщений уже не совпадают... И снова фаза 2... << Или поставьте выше него другой трансформ, что-то вроде <<crypto ipsec transform-set Samara08-M esp-3des esp-md5-hmac т.е. я могу просто поставить 2 трансформа и потом оба применить на мапе? а как они тогда будут вместе жить?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	6. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от toor99 (??) on 16-Дек-05, 12:15 (MSK)
	>Сняла мап на туннеле, попробовала mode transport, да, похоже freeswan не хочет >с ним работать, канал вообще не подымается... >Freeswan вообще себя странно ведет - я не могу снять AH >и поставить auth=esp, и не могу задать AH через md5, потому >что несмотря на то , что все это прописано в ipsec.conf, >пакеты на циску приходят все равно с предложением AH-SHA, и начинет >ругаться на несоответствие в полиси... Странно. Сейчас не помню подробностей, но таких проблем, вроде бы, не было. >так же и насчет группы. только с 5-ой группой доходит до фазы >2. >Говорит, что фаза 2 -комплит, а потом такое впечатление, что когда Линукс >пытается ответить, соединение на циске уже убито, и создано новое... и >ID сообщений уже не совпадают... И снова фаза 2... > ><< Или поставьте выше него другой трансформ, что-то вроде ><<crypto ipsec transform-set Samara08-M esp-3des esp-md5-hmac > >т.е. я могу просто поставить 2 трансформа и потом оба применить на >мапе? >а как они тогда будут вместе жить? Будут перебираться по очереди, до согласования параметров. Как-то так: crypto ipsec transform-set mytransform1 esp-3des esp-sha-hmac crypto ipsec transform-set mytransform2 esp-3des esp-md5-hmac ... crypto map MyCryptomap 10 ipsec-isakmp set peer 1.2.3.4 set transform-set mytransform1 set pfs group5 match address такой-то ACL crypto map vpn 20 ipsec-isakmp set peer 1.2.3.4 set transform-set mytransform2 set pfs group5 match address такой-то ACL crypto map vpn 30 ipsec-isakmp И так далее... !
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	7. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от toor99 (??) on 16-Дек-05, 12:16 (MSK)
	> crypto map vpn 20 ipsec-isakmp В смысле, crypto map MyCryptomap 20 ipsec-isakmp , конечно!
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	8. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Изгой (??) on 16-Дек-05, 12:51 (MSK)
	>> crypto map vpn 20 ipsec-isakmp >В смысле, crypto map MyCryptomap 20 ipsec-isakmp , конечно! ip access-list extended tun8 permit ip host 192.168.100.1 host 192.168.100.2 permit ip host 192.168.100.2 host 192.168.100.1 permit ip 172.36.1.0 0.0.0.255 172.38.2.0 0.0.0.255 permit ip 172.38.2.0 0.0.0.255 172.36.1.0 0.0.0.255 попробуйте перевести в транспортный режим , permit ip host 192.168.100.1 host 192.168.100.2 и в акцессе оставить только вот эту строку. на люнексе наоборот 100.2 - 100.1
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	9. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Изгой (??) on 16-Дек-05, 12:54 (MSK)
	>>> crypto map vpn 20 ipsec-isakmp >>В смысле, crypto map MyCryptomap 20 ipsec-isakmp , конечно! >ip access-list extended tun8 >permit ip host 192.168.100.1 host 192.168.100.2 >permit ip host 192.168.100.2 host 192.168.100.1 >permit ip 172.36.1.0 0.0.0.255 172.38.2.0 0.0.0.255 >permit ip 172.38.2.0 0.0.0.255 172.36.1.0 0.0.0.255 > >попробуйте перевести в транспортный режим , > >permit ip host 192.168.100.1 host 192.168.100.2 и в акцессе оставить только >вот эту строку. на люнексе наоборот 100.2 - 100.1 а да забыл вместо ip в случае гре туннеля ставиться permit gre host 192.168.100.1 host 192.168.100.2 в вашем случае нужно посмотреть.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	10. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Юлия (??) on 16-Дек-05, 13:48 (MSK)
	>попробуйте перевести в транспортный режим , > >permit ip host 192.168.100.1 host 192.168.100.2 и в акцессе оставить только >вот эту строку. на люнексе наоборот 100.2 - 100.1 на линуксе файрвола пока нет, все пропускает... а в транспортном режиме соединение даже не подымается... кстати, ничего, что я циску не перегружаю при изменениях? Просто она в онлайне щаз на 50 филиалов, не могу ее дергать...
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	11. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Изгой (??) on 16-Дек-05, 13:58 (MSK)
	>>попробуйте перевести в транспортный режим , >> >>permit ip host 192.168.100.1 host 192.168.100.2 и в акцессе оставить только >>вот эту строку. на люнексе наоборот 100.2 - 100.1 > >на линуксе файрвола пока нет, все пропускает... >а в транспортном режиме соединение даже не подымается... кстати, ничего, что я >циску не перегружаю при изменениях? Просто она в онлайне щаз >на 50 филиалов, не могу ее дергать... В туннельном режиме permit ipinip (или цифра 4 ) host 192.168.100.1 host 192.168.100.2 и в акцессе оставить только вот эту строку. на люнексе наоборот 100.2 - 100.1 попробуйте так. Да передёргивать не надо .
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	17. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Юлия (??) on 16-Дек-05, 14:38 (MSK)
	в акцессе оставила одну строку. Все по-прежнему, но появилась новая гадость (которая вроде отношения к этому иметь не должна... хм...) (key eng. msg.) INBOUND local= 192.168.100.1, remote= 192.168.100.2, local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4), remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4), protocol= ESP, transform= esp-3des (Tunnel), lifedur= 0s and 0kb, spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x42 18:51:34: CryptoEngine0: validate proposal request 18:51:34: IPSEC(kei_proxy): head = Sam08, map->ivrf = , kei->ivrf = 18:51:34: IPSEC(validate_transform_proposal): proxy identities not supported 18:51:34: ISAKMP (0:1): IPSec policy invalidated proposal А во входящем на эзернет 172.36.1.0 акцессе тоже нужно поставить ipinip? или там эти пермиты вообще не нужны?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	18. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от toor99 (??) on 16-Дек-05, 14:40 (MSK)
	Чтобы уточнить ваше понимание процессов - access-list в контексте криптомапы означает следующее: "Шифровать все пакеты, попадающие под действие этого access-list'а".
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	12. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от toor99 (??) on 16-Дек-05, 14:30 (MSK)
	>>попробуйте перевести в транспортный режим , >> >>permit ip host 192.168.100.1 host 192.168.100.2 и в акцессе оставить только >>вот эту строку. на люнексе наоборот 100.2 - 100.1 > >на линуксе файрвола пока нет, все пропускает... >а в транспортном режиме соединение даже не подымается... кстати, ничего, что я >циску не перегружаю при изменениях? Просто она в онлайне щаз >на 50 филиалов, не могу ее дергать... Не надо ее перезагружать, вы что. Изменения вступают в силу немедленно.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	13. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Изгой (??) on 16-Дек-05, 14:32 (MSK)
	>>>попробуйте перевести в транспортный режим , >>> >>>permit ip host 192.168.100.1 host 192.168.100.2 и в акцессе оставить только >>>вот эту строку. на люнексе наоборот 100.2 - 100.1 >> >>на линуксе файрвола пока нет, все пропускает... >>а в транспортном режиме соединение даже не подымается... кстати, ничего, что я >>циску не перегружаю при изменениях? Просто она в онлайне щаз >>на 50 филиалов, не могу ее дергать... > >Не надо ее перезагружать, вы что. Изменения вступают в силу немедленно. А я написал разве надо )))
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	15. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от toor99 (??) on 16-Дек-05, 14:36 (MSK)
	>>Не надо ее перезагружать, вы что. Изменения вступают в силу немедленно. >А я написал разве надо ))) Дык я и не вам отвечал :-)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	16. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Изгой (??) on 16-Дек-05, 14:36 (MSK)
	>>>>попробуйте перевести в транспортный режим , >>>> >>>>permit ip host 192.168.100.1 host 192.168.100.2 и в акцессе оставить только >>>>вот эту строку. на люнексе наоборот 100.2 - 100.1 >>> >>>на линуксе файрвола пока нет, все пропускает... >>>а в транспортном режиме соединение даже не подымается... кстати, ничего, что я >>>циску не перегружаю при изменениях? Просто она в онлайне щаз >>>на 50 филиалов, не могу ее дергать... >> >>Не надо ее перезагружать, вы что. Изменения вступают в силу немедленно. >А я написал разве надо ))) Да и всё же Юля , я б посоветовал бы сначала поднять туннель айписек а потом , уже накручивать , если уж вам нужен туннель ipip , неужели IPV6 используете? Да и ещё я не силён в Люнексе , но где там прописан общий ключ ? такой же как на циско? он должен быть одинаковым и присутствовать и там и на люне.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	20. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Юлия (??) on 16-Дек-05, 14:47 (MSK)
	ага, одинаковый. Ipsec.secrets 192.168.100.2 192.168.100.1 “12345” вы предлагаете просто снять Mode ipip? или под этим еще что-то кроется?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	14. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от toor99 (??) on 16-Дек-05, 14:36 (MSK)
	Вот вам для примера кусок реально работающего конфига циски. Единственно что - на другой стороне не линукс, а FreeBSD (соответственно, за ISAKMP отвечает racoon). crypto isakmp policy 10 encr 3des authentication pre-share group 2 lifetime 3600 crypto isakmp key такой-то address такой-то ... crypto ipsec transform-set moscow-hub esp-3des mode transport ... crypto map moscow-hub 1 ipsec-isakmp set peer такой-то set transform-set moscow-hub set pfs group2 match address MOSCOW-HUB ... interface Tunnel0 description Tunnel to Moscow hub ip address 10.0.0.2 255.255.255.252 ip mtu 1280 ip tcp adjust-mss 1226 ip ospf network non-broadcast ip ospf cost 100 tunnel source адрес-роутера-cisco tunnel destination адрес-роутера-FreeBSD tunnel mode ipip ... ip access-list extended MOSCOW-HUB permit ip host адрес-роутера-cisco host адрес-роутера-FreeBSD Как видите, всё тривиально. Криптомап наложен на физ. интерфейс циски (e0).
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	19. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Изгой (??) on 16-Дек-05, 14:46 (MSK)
	>Вот вам для примера кусок реально работающего конфига циски. Единственно что - >на другой стороне не линукс, а FreeBSD (соответственно, за ISAKMP отвечает >racoon). > >crypto isakmp policy 10 > encr 3des > authentication pre-share > group 2 > lifetime 3600 >crypto isakmp key такой-то address такой-то >... >crypto ipsec transform-set moscow-hub esp-3des > mode transport >... >crypto map moscow-hub 1 ipsec-isakmp > set peer такой-то > set transform-set moscow-hub > set pfs group2 > match address MOSCOW-HUB >... >interface Tunnel0 > description Tunnel to Moscow hub > ip address 10.0.0.2 255.255.255.252 > ip mtu 1280 > ip tcp adjust-mss 1226 > ip ospf network non-broadcast > ip ospf cost 100 > tunnel source адрес-роутера-cisco > tunnel destination адрес-роутера-FreeBSD > tunnel mode ipip >... >ip access-list extended MOSCOW-HUB > permit ip host адрес-роутера-cisco host адрес-роутера-FreeBSD > >Как видите, всё тривиально. Криптомап наложен на физ. интерфейс циски (e0). # ESP conn conn_GU type=tunnel auth=ah authby=secret keyexchange=ike auto=start left=192.168.100.2 leftsubnet=172.38.2.0/24 leftnexthop=192.168.100.1 right=192.168.100.1 rightsubnet=172.36.1.0/24 rightnexthop= pfs=yes lifetime=3600 esp=3des-md5-96 ah=hmac-sha-1-96 -------- Ipsec.secrets 192.168.100.2 192.168.100.1 “12345” о увидел проглядел. crypto isakmp policy 1 encr 3des authentication pre-share group 2 lifetime 3600 crypto isakmp key 12345 address 192.168.100.2 ! crypto ipsec transform-set Samara08 ah-sha-hmac esp-3des похоже что у ва с на второй вазе разногласие идёт . mode tunnel ! crypto map Sam08 1 ipsec-isakmp set peer 192.168.100.2 set transform-set Samara08 set pfs group2 match address tun8
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	21. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Юлия (??) on 16-Дек-05, 14:57 (MSK)
	nterface Tunnel0 description Tunnel to Moscow hub ip address 10.0.0.2 255.255.255.252 ip mtu 1280 а с чем у вас связан такой MTU?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	22. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от toor99 (??) on 16-Дек-05, 15:11 (MSK)
	>nterface Tunnel0 >description Tunnel to Moscow hub >ip address 10.0.0.2 255.255.255.252 >ip mtu 1280 > >а с чем у вас связан такой MTU? Это местные заморочки. Радиолинк. Не обращайте внимания.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	23. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Юлия (??) on 16-Дек-05, 15:24 (MSK)
	ну почему же... Wi-Fi? у меня там тоже радиолинк торчать будет после настройки ipsec... и принимать на линуксах в 4-х филиалах тоже будут точки... поэтому и интересуюсь, есть ли ньюансы
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	24. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от toor99 (??) on 16-Дек-05, 15:47 (MSK)
	>ну почему же... Wi-Fi? у меня там тоже радиолинк торчать будет после >настройки ipsec... и принимать на линуксах в 4-х филиалах тоже >будут точки... поэтому и интересуюсь, есть ли ньюансы В том месте, где этот роутер, местные "провайдеры" не совсем вменяемые ребята... Впечатление такое, что у них где-то перекрыты все ICMP. В результате возникает проблема с размером MTU в туннеле. Если у вас будет такая же проблема, вы это заметите очень быстро, не сомневайтесь.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	25. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Изгой (??) on 16-Дек-05, 16:05 (MSK)
	>>ну почему же... Wi-Fi? у меня там тоже радиолинк торчать будет после >>настройки ipsec... и принимать на линуксах в 4-х филиалах тоже >>будут точки... поэтому и интересуюсь, есть ли ньюансы > >В том месте, где этот роутер, местные "провайдеры" не совсем вменяемые ребята... >Впечатление такое, что у них где-то перекрыты все ICMP. В результате >возникает проблема с размером MTU в туннеле. Если у вас будет >такая же проблема, вы это заметите очень быстро, не сомневайтесь. Ага быстро ))) а вот некоторым голову сносит ) почему туда ууууууу а оттуда ху)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	26. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Юлия (??) on 16-Дек-05, 16:20 (MSK)
	убрала int tunnel 8 та же грустная картина :( А не может это быть из-за того, что Ipsec ядра какой-нибудь урезанный? Что-то он не весь конфиг freeswan понимает (md5, transport) И еще - сообщений об ошибках нет, кроме 2-х подозрительных моментов - 1. # ipsec look cat: /proc/net/ipsec_spigrp: No such file or directory cat: /proc/net/ipsec_eroute: No such file or directory grep: /proc/net/ipsec_tncfg: No such file or directory sort: open failed: /proc/net/ipsec_spi: No such file or directory Destination Gateway Genmask Flags MSS Window irtt Iface 0.0.0.0 192.168.100.2 0.0.0.0 UG 40 0 0 ipsec0 172.36.1.0 192.168.100.1 255.255.255.0 UG 40 0 0 ipsec0 192.168.100.0 0.0.0.0 255.255.255.252 U 40 0 0 eth0 192.168.100.0 0.0.0.0 255.255.255.252 U 40 0 0 ipsec0 2. ipsec-plutorun: "conn_GU" :ignoring informational payload, type IPSEC_RESPONDER_LIFETIME от этого может зависеть? И еще - на линуксе файрвол не стоит, ipsec же тогда должен все пакеты пропускать?
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	27. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Изгой (??) on 16-Дек-05, 17:00 (MSK)
	>убрала int tunnel 8 >та же грустная картина :( > >А не может это быть из-за того, что Ipsec ядра какой-нибудь урезанный? > >Что-то он не весь конфиг freeswan понимает (md5, transport) > >И еще - сообщений об ошибках нет, кроме 2-х подозрительных моментов - > > >1. ># ipsec look > >cat: /proc/net/ipsec_spigrp: No such file or directory >cat: /proc/net/ipsec_eroute: No such file or directory >grep: /proc/net/ipsec_tncfg: No such file or directory >sort: open failed: /proc/net/ipsec_spi: No such file or directory > > >Destination Gateway > Genmask >Flags MSS Window irtt Iface >0.0.0.0 192.168.100.2 >0.0.0.0 UG > 40 0 > 0 ipsec0 >172.36.1.0 192.168.100.1 255.255.255.0 >UG 40 0 > 0 ipsec0 >192.168.100.0 0.0.0.0 >255.255.255.252 U 40 0 > 0 eth0 > >192.168.100.0 0.0.0.0 >255.255.255.252 U 40 0 > 0 ipsec0 > > >2. ipsec-plutorun: "conn_GU" :ignoring informational payload, type IPSEC_RESPONDER_LIFETIME > >от этого может зависеть? > >И еще - на линуксе файрвол не стоит, ipsec же тогда должен >все пакеты пропускать? Туннель оставте , тут я посмотрел между фриисваном и циской туннель все применяют , попробуйте политики на циски выставить разные с приоритетом , потом надо будет разбираться со второй фазой. к варианту политики на кошке encr des, 3des hash - md5, sha-I метод у вас общии ключи Параметр обмена ключами Группа 1 , Группа 2 время можно по умолчанию это с политикой Вторая фаза .. пора домой ) извините.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	29. "IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
	Сообщение от Юлия (??) on 19-Дек-05, 10:44 (MSK)
	С политикой попробую, но группу 1 и 2 фрисван (в моем случае) не понимает, дебаг показывает, что шлются на киску пакеты группы 5, и ругается на полиси , если там 1 или 2.
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх

28. "Попытался воспроизвести."
Сообщение от toor99 (??) on 17-Дек-05, 17:32 (MSK)
Я вот попытался воспроизвести вашу схему - с одной стороны Linux SuSE 9.3, с другой 1720 (за неимением 2651);IOS C1700-K9SY7-M, Version 12.2(15)T14. 1) В /etc/ipsec.conf все крайне дефолтово: conn ampfing left=%defaultroute right=адрес-роутера-cisco type=transport authby=secret auto=start 2) Кусок конфига циски: crypto isakmp key какойтотамключ address адрес-роутера-linux no-xauth ... crypto ipsec transform-set mytransformTEST esp-3des esp-md5-hmac mode transport ... crypto map MyVPN NN ipsec-isakmp set peer адрес-роутера-linux set transform-set mytransformTEST set pfs group2 match address LINUX ... ip access-list extended LINUX permit ip host адрес-роутера-cisco host адрес-роутера-linux Оно немедленно взлетело, без малейших проблем. Как видите, всё крайне просто...
Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх


	30. "Попыталась воспроизвести."
	Сообщение от Юлия (??) on 19-Дек-05, 11:21 (MSK)
	Все снесла, решила проверить вариант, который работает у вас. Все еще хуже стало. Фазу 1 даже не проходит... Может, нужно копать со стороны Линукса? то что IPsec в ядре, может он урезанный какой-нибудь? : Scanning profiles for xauth ... 3d15h: ISAKMP (0:84): Checking ISAKMP transform 0 against priority 1 policy 3d15h: ISAKMP: life type in seconds 3d15h: ISAKMP: life duration (basic) of 3600 3d15h: ISAKMP: encryption 3DES-CBC 3d15h: ISAKMP: hash SHA 3d15h: ISAKMP: auth pre-share 3d15h: ISAKMP: default group 5 3d15h: ISAKMP (0:84): Authentication method offered does not match policy! 3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3 3d15h: ISAKMP (0:84): Checking ISAKMP transform 1 against priority 1 policy 3d15h: ISAKMP: life type in seconds 3d15h: ISAKMP: life duration (basic) of 3600 3d15h: ISAKMP: encryption 3DES-CBC 3d15h: ISAKMP: hash MD5 3d15h: ISAKMP: auth pre-share 3d15h: ISAKMP: default group 5 3d15h: ISAKMP (0:84): Hash algorithm offered does not match policy! 3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3 3d15h: ISAKMP (0:84): Checking ISAKMP transform 2 against priority 1 policy 3d15h: ISAKMP: life type in seconds 3d15h: ISAKMP: life duration (basic) of 3600 3d15h: ISAKMP: encryption 3DES-CBC 3d15h: ISAKMP: hash SHA 3d15h: ISAKMP: auth pre-share 3d15h: ISAKMP: default group 2 3d15h: ISAKMP (0:84): Authentication method offered does not match policy! 3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3 3d15h: ISAKMP (0:84): Checking ISAKMP transform 3 against priority 1 policy 3d15h: ISAKMP: life type in seconds 3d15h: ISAKMP: life duration (basic) of 3600 3d15h: ISAKMP: encryption 3DES-CBC 3d15h: ISAKMP: hash MD5 3d15h: ISAKMP: auth pre-share 3d15h: ISAKMP: default group 2 3d15h: ISAKMP (0:84): Hash algorithm offered does not match policy! 3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 0 3d15h: ISAKMP (0:84): Checking ISAKMP transform 0 against priority 65535 policy 3d15h: ISAKMP: life type in seconds 3d15h: ISAKMP: life duration (basic) of 3600 3d15h: ISAKMP: encryption 3DES-CBC 3d15h: ISAKMP: hash SHA 3d15h: ISAKMP: auth pre-share 3d15h: ISAKMP: default group 5 3d15h: ISAKMP (0:84): Encryption algorithm offered does not match policy! 3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3 3d15h: ISAKMP (0:84): Checking ISAKMP transform 1 against priority 65535 policy 3d15h: ISAKMP: life type in seconds 3d15h: ISAKMP: life duration (basic) of 3600 3d15h: ISAKMP: encryption 3DES-CBC 3d15h: ISAKMP: hash MD5 3d15h: ISAKMP: auth pre-share 3d15h: ISAKMP: default group 5 3d15h: ISAKMP (0:84): Encryption algorithm offered does not match policy! 3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3 3d15h: ISAKMP (0:84): Checking ISAKMP transform 2 against priority 65535 policy 3d15h: ISAKMP: life type in seconds 3d15h: ISAKMP: life duration (basic) of 3600 3d15h: ISAKMP: encryption 3DES-CBC 3d15h: ISAKMP: hash SHA 3d15h: ISAKMP: auth pre-share 3d15h: ISAKMP: default group 2 3d15h: ISAKMP (0:84): Encryption algorithm offered does not match policy! 3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3 3d15h: ISAKMP (0:84): Checking ISAKMP transform 3 against priority 65535 policy 3d15h: ISAKMP: life type in seconds 3d15h: ISAKMP: life duration (basic) of 3600 3d15h: ISAKMP: encryption 3DES-CBC 3d15h: ISAKMP: hash MD5 3d15h: ISAKMP: auth pre-share 3d15h: ISAKMP: default group 2 3d15h: ISAKMP (0:84): Encryption algorithm offered does not match policy! 3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 0 3d15h: ISAKMP (0:84): no offers accepted! 3d15h: ISAKMP (0:84): phase 1 SA policy not acceptable! (local 192.168.100.1 remote 192.168.100.2)
	Удалить	Правка \| Высказать мнение \| Ответить \| Рекомендовать в FAQ \| Cообщить модератору \| Наверх