FreeBSD 5.2.1, Racoon 20030826a
Необходимо филиал подцепить к серверу центрального офиса по VPN IPSec.
Нечего не получается! Уже мозги сломал.Ситуация на текущий момент:
1. Сервер центрального офиса - вероятно Windows.
внешний адрес - xxx.xxx.xxx.xxx
внутренний адрес - 192.168.3.210
внутренняя сеть - 192.168.3.0/24
2. Сервер филиала - FreeBSD (я с траблами тут).
внешний адрес - yyy.yyy.yyy.yyy
внутренний адрес - 192.168.4.1
внутренняя сеть - 192.168.4.0/24/etc/rc.conf:
gif_interfaces="gif0"
gifconfig_gif0="yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx"
ifconfig_gif0="inet 192.168.4.1 192.168.3.210 netmask 255.255.255.0"
static_routes="vpn"
route_vpn="192.168.3.0/24 192.168.3.210"
export route_vpn
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"/etc/ipsec.conf:
flush;
spdflush;
spdadd 192.168.4.0/24 192.168.3.0/24 any -P \
out ipsec esp/transport/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/require;
spdadd 192.168.3.0/24 192.168.4.0/24 any -P \
in ipsec esp/transport/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require;/usr/local/etc/racoon/racoon.conf:
path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
#path certificate "/usr/local/etc/cert" ;
log debug;
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}listen
{
#isakmp 192.168.3.210 [500];
}timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend
persend 1; # the number of packets per a send.# timer for waiting to complete each phase.
phase1 30 sec;
phase2 15 sec;
}remote anonymous
{
exchange_mode main;
doi ipsec_doi;
situation identity_only;my_identifier address;
nonce_size 16;
lifetime time 3600 sec; # sec,min,hour
initial_contact on;
support_proxy on;
proposal_check obey; # obey, strict or claimproposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 1 ;
}
}sainfo anonymous
{
pfs_group 1;
lifetime time 3600 sec;
encryption_algorithm 3des ;
authentication_algorithm hmac_md5;
compression_algorithm deflate ;
}/usr/local/etc/racoon/psk.txt:
xxx.xxx.xxx.xxx ************
>FreeBSD 5.2.1, Racoon 20030826a
>Необходимо филиал подцепить к серверу центрального офиса по VPN IPSec.
>Нечего не получается! Уже мозги сломал.
>
>Ситуация на текущий момент:
>1. Сервер центрального офиса - вероятно Windows.
>внешний адрес - xxx.xxx.xxx.xxx
>внутренний адрес - 192.168.3.210
>внутренняя сеть - 192.168.3.0/24
>2. Сервер филиала - FreeBSD (я с траблами тут).
>внешний адрес - yyy.yyy.yyy.yyy
>внутренний адрес - 192.168.4.1
>внутренняя сеть - 192.168.4.0/24
>
>/etc/rc.conf:
>gif_interfaces="gif0"
>gifconfig_gif0="yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx"
>ifconfig_gif0="inet 192.168.4.1 192.168.3.210 netmask 255.255.255.0"
>static_routes="vpn"
>route_vpn="192.168.3.0/24 192.168.3.210"
>export route_vpn
>ipsec_enable="YES"
>ipsec_file="/etc/ipsec.conf"
>
>/etc/ipsec.conf:
>flush;
>spdflush;
>spdadd 192.168.4.0/24 192.168.3.0/24 any -P \
>out ipsec esp/transport/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/require;
>spdadd 192.168.3.0/24 192.168.4.0/24 any -P \
>in ipsec esp/transport/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require;
>
>/usr/local/etc/racoon/racoon.conf:
>path include "/usr/local/etc/racoon" ;
>path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
>#path certificate "/usr/local/etc/cert" ;
>log debug;
>padding
>{
> maximum_length 20; # maximum
>padding length.
> randomize off; # enable
>randomize length.
> strict_check off; # enable
>strict check.
> exclusive_tail off; # extract
>last one octet.
>}
>
>listen
>{
> #isakmp 192.168.3.210 [500];
>}
>
>timer
>{
># These value can be changed per remote node.
> counter 5; # maximum
>trying count to send.
> interval 20 sec; #
>maximum interval to resend
> persend 1; # the
>number of packets per a send.
>
># timer for waiting to complete each phase.
> phase1 30 sec;
> phase2 15 sec;
>}
>
>remote anonymous
>{
> exchange_mode main;
> doi ipsec_doi;
> situation identity_only;
>
> my_identifier address;
> nonce_size 16;
> lifetime time 3600 sec;
># sec,min,hour
> initial_contact on;
> support_proxy on;
> proposal_check obey; # obey,
>strict or claim
>
>proposal {
> encryption_algorithm 3des;
> hash_algorithm md5;
> authentication_method pre_shared_key;
> dh_group 1 ;
> }
>}
>
>sainfo anonymous
>{
> pfs_group 1;
> lifetime time 3600 sec;
>
> encryption_algorithm 3des ;
> authentication_algorithm hmac_md5;
> compression_algorithm deflate ;
>}
>
>/usr/local/etc/racoon/psk.txt:
>xxx.xxx.xxx.xxx ************а firewall ? не мешает ?
у меня подобная конструкция работает в 5 разных офисах.
делал по следуюшему мануалу
http://www.opennet.me/base/net/vpn_ipsec_racoon.txt.html
>а firewall ? не мешает ?
>
>у меня подобная конструкция работает в 5 разных офисах.
>делал по следуюшему мануалу
>http://www.opennet.me/base/net/vpn_ipsec_racoon.txt.htmlНе мешает. По дефолту все открыто, не закрывал.
Читал его. Но что-то не хочет. :(
racoon в логах пишет следующее:2005-06-10 13:17:43: DEBUG: pfkey.c:195:pfkey_handler(): get pfkey X_SPDDUMP message
2005-06-10 13:17:43: DEBUG: pfkey.c:210:pfkey_handler(): pfkey X_SPDDUMP failed: No such file or directory
>racoon в логах пишет следующее:
>
>2005-06-10 13:17:43: DEBUG: pfkey.c:195:pfkey_handler(): get pfkey X_SPDDUMP message
>2005-06-10 13:17:43: DEBUG: pfkey.c:210:pfkey_handler(): pfkey X_SPDDUMP failed: No such file or directory
>собственно, а /usr/local/etc/racoon/psk.txt есть с расшаренным ключом соответствующим ip внутри?
>>racoon в логах пишет следующее:
>>
>>2005-06-10 13:17:43: DEBUG: pfkey.c:195:pfkey_handler(): get pfkey X_SPDDUMP message
>>2005-06-10 13:17:43: DEBUG: pfkey.c:210:pfkey_handler(): pfkey X_SPDDUMP failed: No such file or directory
>>
>
>собственно, а /usr/local/etc/racoon/psk.txt есть с расшаренным ключом соответствующим ip внутри?тьфу сорри...
он ещё должен быть с правильными правами
>тьфу сорри...
>он ещё должен быть с правильными правамиЧтение файла разрешено всем. Там внешний адрес сервера центрального офиса.
>>тьфу сорри...
>>он ещё должен быть с правильными правами
>
>Чтение файла разрешено всем. Там внешний адрес сервера центрального офиса.неееее... тут как раз и запара - этот файл ДОЛЖЕН быть с чмодом 600 - иначе ракун его отплёвывает ( как мне помницца )
>неееее... тут как раз и запара - этот файл ДОЛЖЕН быть с
>чмодом 600 - иначе ракун его отплёвывает ( как мне помниццане помогает :(
>>неееее... тут как раз и запара - этот файл ДОЛЖЕН быть с
>>чмодом 600 - иначе ракун его отплёвывает ( как мне помницца
>
>не помогает :(
ipfw add allow esp from any to anyдобавь. Этот тип не всегда отрабатывается при ip fom any to any
>ipfw add allow esp from any to any
>
>добавь. Этот тип не всегда отрабатывается при ip fom any to anyДобавил для своего файрвола.
Тут смысл не в файрволе, как я думаю.
По логам Racoon следует его запуск, потом строки:2005-06-10 15:14:13: DEBUG: pfkey.c:195:pfkey_handler(): get pfkey X_SPDDUMP message
2005-06-10 15:14:13: DEBUG: pfkey.c:210:pfkey_handler(): pfkey X_SPDDUMP failed: No such file or directoryПотом он начинает соединяться с каким-то посторонним адресом (!). Такие дела...
С нужным из psk.txt даже и не думает. В конце валится с этими строками:
2005-06-10 15:14:38: ERROR: ipsec_doi.c:404:print_ph1mismatched(): rejected enctype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 3DES-CBC:7
2005-06-10 15:14:38: ERROR: ipsec_doi.c:428:print_ph1mismatched(): rejected hash type: DB(prop#1:trns#1):Peer(prop#0:trns#0) = MD5:SHA
2005-06-10 15:14:38: ERROR: ipsec_doi.c:440:print_ph1mismatched(): rejected dh_group: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 768-bit MODP group:1024-bit MODP group
2005-06-10 15:14:38: ERROR: ipsec_doi.c:243:get_ph1approval(): no suitable proposal found.
2005-06-10 15:14:38: ERROR: isakmp_ident.c:782:ident_r1recv(): failed to get valid proposal.
2005-06-10 15:14:38: ERROR: isakmp.c:913:isakmp_ph1begin_r(): failed to processpacket.
контрольный вопрос transport принципиально или может подойти tunnel ?
просто меня грызут смутные сомнения по поводу ipsec еще. Но так как я большую часть времени использовал именно tunnel то могу ошмибаться
>контрольный вопрос transport принципиально или может подойти tunnel ?
>просто меня грызут смутные сомнения по поводу ipsec еще. Но так как
>я большую часть времени использовал именно tunnel то могу ошмибаться
Я админ филиала. Центральный офис из-за меня менять ничего не будет.
Время идет... На повестке дня остались только непонятки с proposal :)
>>контрольный вопрос transport принципиально или может подойти tunnel ?
>>просто меня грызут смутные сомнения по поводу ipsec еще. Но так как
>>я большую часть времени использовал именно tunnel то могу ошмибаться
>
>
>Я админ филиала. Центральный офис из-за меня менять ничего не будет.
>Время идет... На повестке дня остались только непонятки с proposal :)я тоже использую tunnel. использовал вышеописанную статью .
>>Я админ филиала. Центральный офис из-за меня менять ничего не будет.
>>Время идет... На повестке дня остались только непонятки с proposal :)
>
>я тоже использую tunnel. использовал вышеописанную статью .Я рад :)
Что с proposal делать-то?
Заглуши ракун. Очисть лог. Потом стартани и потерпи секунд 30. Все что вывалиться кинь сюда или же вывеси где нить на страничку. Охота глянуть.
Да еще, DEBUG включал в ядре? для IPSEC?
>Заглуши ракун. Очисть лог. Потом стартани и потерпи секунд 30. Все что
>вывалиться кинь сюда или же вывеси где нить на страничку. Охота
>глянуть.
>Да еще, DEBUG включал в ядре? для IPSEC?Дебаг включен.
Содержимое лога:
2005-06-10 16:40:51: INFO: main.c:172:main(): @(#)package version freebsd-20030826a
2005-06-10 16:40:51: INFO: main.c:174:main(): @(#)internal version 20001216 sakane@kame.net
2005-06-10 16:40:51: INFO: main.c:175:main(): @(#)This product linked OpenSSL 0.9.7c 30 Sep 2003 (http://www.openssl.org/)
2005-06-10 16:40:51: WARNING: cftoken.l:514:yywarn(): /usr/local/etc/racoon/racoon.conf:46: "support_mip6" it is obsoleted. use "support_proxy".
2005-06-10 16:40:51: DEBUG: pfkey.c:2310:pk_checkalg(): compression algorithm can not be checked because sadb message doesn't support it.
2005-06-10 16:40:51: INFO: isakmp.c:1358:isakmp_open(): yyy.yyy.yyy.yyy[500] used as isakmp port (fd=5)
2005-06-10 16:40:51: DEBUG: pfkey.c:195:pfkey_handler(): get pfkey X_SPDDUMP message
2005-06-10 16:40:51: DEBUG: pfkey.c:195:pfkey_handler(): get pfkey X_SPDDUMP message
2005-06-10 16:40:51: DEBUG: policy.c:184:cmpspidxstrict(): sub:0xbfbfe9c0: 192.168.4.0/24[0] 192.168.3.0/32[0] proto=any dir=out
2005-06-10 16:40:51: DEBUG: policy.c:185:cmpspidxstrict(): db :0x80a1c08: 192.168.3.0/24[0] 192.168.4.0/24[0] proto=any dir=in
2005-06-10 16:42:07: DEBUG: isakmp.c:221:isakmp_handler(): ===
2005-06-10 16:42:07: DEBUG: isakmp.c:222:isakmp_handler(): 388 bytes message received from 195.58.28.165[500]
2005-06-10 16:42:07: DEBUG: plog.c:193:plogdump():
499615c2 69485703 00000000 00000000 01100200 00000000 00000184 0d0000dc
00000001 00000001 000000d0 00010006 03000024 00010000 80010007 800e0080
80020002 80030001 80040002 800b0001 800c7080 03000024 01010000 80010007
800e0080 80020001 80030001 80040002 800b0001 800c7080 03000020 02010000
80010005 80020002 80030001 80040002 800b0001 800c7080 03000020 03010000
80010005 80020001 80030001 80040002 800b0001 800c7080 03000020 04010000
80010001 80020002 80030001 80040002 800b0001 800c7080 00000020 05010000
80010001 80020001 80030001 80040002 800b0001 800c7080 0d000014 afcad713
68a1f1c9 6b8696fc 77570100 0d000014 27bab5dc 01ea0760 ea4e3190 ac27c0d0
0d000014 6105c422 e76847e4 3f968480 1292aecd 0d000014 4485152d 18b6bbcd
0be8a846 9579ddcc 0d000014 cd604643 35df21f8 7cfdb2fc 68b6a448 0d000014
90cb8091 3ebb696e 086381b5 ec427b1f 00000014 7d9419a6 5310ca6f 2c179d92
15529d56
2005-06-10 16:42:07: DEBUG: isakmp.c:2248:isakmp_printpacket(): begin.
2005-06-10 16:42:07: DEBUG: remoteconf.c:129:getrmconf(): anonymous configuration selected for 195.58.28.165[500].
2005-06-10 16:42:07: DEBUG: isakmp.c:889:isakmp_ph1begin_r(): ===
2005-06-10 16:42:07: INFO: isakmp.c:894:isakmp_ph1begin_r(): respond new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>195.58.28.165[500]
2005-06-10 16:42:07: INFO: isakmp.c:899:isakmp_ph1begin_r(): begin Identity Protection mode.
2005-06-10 16:42:07: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=1(sa)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:07: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:07: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:07: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:07: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:07: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:07: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:07: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:07: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1117:get_proppair(): total SA len=216
2005-06-10 16:42:07: DEBUG: plog.c:193:plogdump():
00000001 00000001 000000d0 00010006 03000024 00010000 80010007 800e0080
80020002 80030001 80040002 800b0001 800c7080 03000024 01010000 80010007
800e0080 80020001 80030001 80040002 800b0001 800c7080 03000020 02010000
80010005 80020002 80030001 80040002 800b0001 800c7080 03000020 03010000
80010005 80020001 80030001 80040002 800b0001 800c7080 03000020 04010000
80010001 80020002 80030001 80040002 800b0001 800c7080 00000020 05010000
80010001 80020001 80030001 80040002 800b0001 800c7080
2005-06-10 16:42:07: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=2(prop)
2005-06-10 16:42:07: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1178:get_proppair(): proposal #0 len=208
2005-06-10 16:42:07: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:07: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1327:get_transform(): transform #0 len=36
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Encryption Algorithm, flag=0x8000, lorv=7
2005-06-10 16:42:07: DEBUG: algorithm.c:386:alg_oakley_encdef(): encription(aes)
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Key Length, flag=0x8000, lorv=128
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Hash Algorithm, flag=0x8000, lorv=SHA
2005-06-10 16:42:07: DEBUG: algorithm.c:256:alg_oakley_hashdef(): hash(sha1)
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:07: DEBUG: algorithm.c:614:alg_oakley_dhdef(): hmac(modp1024)
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:07: ERROR: ipsec_doi.c:1318:get_transform(): Only a single transform payload is allowed during phase 1 processing.
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1221:get_proppair(): pair 0:
2005-06-10 16:42:07: DEBUG: proposal.c:895:print_proppair0(): 0x80a7d20: next=0x0 tnext=0x0
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1256:get_proppair(): proposal #0: 1 transform
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:322:get_ph1approvalx(): prop#=0, prot-id=ISAKMP, spi-size=0, #trns=6
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:327:get_ph1approvalx(): trns#=0, trns-id=IKE
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Encryption Algorithm, flag=0x8000, lorv=7
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Key Length, flag=0x8000, lorv=128
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Hash Algorithm, flag=0x8000, lorv=SHA
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:338:get_ph1approvalx(): Compared: DB:Peer
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:339:get_ph1approvalx(): (lifetime = 3600:28800)
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:341:get_ph1approvalx(): (lifebyte = 0:0)
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:343:get_ph1approvalx(): enctype = 3DES-CBC:7
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:348:get_ph1approvalx(): (encklen = 0:128)
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:350:get_ph1approvalx(): hashtype = MD5:SHA
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:355:get_ph1approvalx(): authmethod = pre-shared key:pre-shared key
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:360:get_ph1approvalx(): dh_group = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Encryption Algorithm, flag=0x8000, lorv=7
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Key Length, flag=0x8000, lorv=128
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Hash Algorithm, flag=0x8000, lorv=SHA
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:07: ERROR: ipsec_doi.c:404:print_ph1mismatched(): rejected enctype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 3DES-CBC:7
2005-06-10 16:42:07: ERROR: ipsec_doi.c:428:print_ph1mismatched(): rejected hashtype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = MD5:SHA
2005-06-10 16:42:07: ERROR: ipsec_doi.c:440:print_ph1mismatched(): rejected dh_group: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:07: ERROR: ipsec_doi.c:243:get_ph1approval(): no suitable proposal found.
2005-06-10 16:42:07: ERROR: isakmp_ident.c:782:ident_r1recv(): failed to get valid proposal.
2005-06-10 16:42:07: ERROR: isakmp.c:913:isakmp_ph1begin_r(): failed to process packet.
2005-06-10 16:42:37: DEBUG: isakmp.c:221:isakmp_handler(): ===
2005-06-10 16:42:37: DEBUG: isakmp.c:222:isakmp_handler(): 388 bytes message received from 195.58.28.165[500]
2005-06-10 16:42:37: DEBUG: plog.c:193:plogdump():
499615c2 69485703 00000000 00000000 01100200 00000000 00000184 0d0000dc
00000001 00000001 000000d0 00010006 03000024 00010000 80010007 800e0080
80020002 80030001 80040002 800b0001 800c7080 03000024 01010000 80010007
800e0080 80020001 80030001 80040002 800b0001 800c7080 03000020 02010000
80010005 80020002 80030001 80040002 800b0001 800c7080 03000020 03010000
80010005 80020001 80030001 80040002 800b0001 800c7080 03000020 04010000
80010001 80020002 80030001 80040002 800b0001 800c7080 00000020 05010000
80010001 80020001 80030001 80040002 800b0001 800c7080 0d000014 afcad713
68a1f1c9 6b8696fc 77570100 0d000014 27bab5dc 01ea0760 ea4e3190 ac27c0d0
0d000014 6105c422 e76847e4 3f968480 1292aecd 0d000014 4485152d 18b6bbcd
0be8a846 9579ddcc 0d000014 cd604643 35df21f8 7cfdb2fc 68b6a448 0d000014
90cb8091 3ebb696e 086381b5 ec427b1f 00000014 7d9419a6 5310ca6f 2c179d92
15529d56
2005-06-10 16:42:37: DEBUG: isakmp.c:2248:isakmp_printpacket(): begin.
2005-06-10 16:42:37: DEBUG: remoteconf.c:129:getrmconf(): anonymous configuration selected for 195.58.28.165[500].
2005-06-10 16:42:37: DEBUG: isakmp.c:889:isakmp_ph1begin_r(): ===
2005-06-10 16:42:37: INFO: isakmp.c:894:isakmp_ph1begin_r(): respond new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>195.58.28.165[500]
2005-06-10 16:42:37: INFO: isakmp.c:899:isakmp_ph1begin_r(): begin Identity Protection mode.
2005-06-10 16:42:37: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=1(sa)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:37: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:37: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:37: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:37: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:37: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:37: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:37: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:37: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1117:get_proppair(): total SA len=216
2005-06-10 16:42:37: DEBUG: plog.c:193:plogdump():
00000001 00000001 000000d0 00010006 03000024 00010000 80010007 800e0080
80020002 80030001 80040002 800b0001 800c7080 03000024 01010000 80010007
800e0080 80020001 80030001 80040002 800b0001 800c7080 03000020 02010000
80010005 80020002 80030001 80040002 800b0001 800c7080 03000020 03010000
80010005 80020001 80030001 80040002 800b0001 800c7080 03000020 04010000
80010001 80020002 80030001 80040002 800b0001 800c7080 00000020 05010000
80010001 80020001 80030001 80040002 800b0001 800c7080
2005-06-10 16:42:37: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=2(prop)
2005-06-10 16:42:37: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1178:get_proppair(): proposal #0 len=208
2005-06-10 16:42:37: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:37: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1327:get_transform(): transform #0 len=36
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Encryption Algorithm, flag=0x8000, lorv=7
2005-06-10 16:42:37: DEBUG: algorithm.c:386:alg_oakley_encdef(): encription(aes)
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Key Length, flag=0x8000, lorv=128
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Hash Algorithm, flag=0x8000, lorv=SHA
2005-06-10 16:42:37: DEBUG: algorithm.c:256:alg_oakley_hashdef(): hash(sha1)
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:37: DEBUG: algorithm.c:614:alg_oakley_dhdef(): hmac(modp1024)
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:37: ERROR: ipsec_doi.c:1318:get_transform(): Only a single transform payload is allowed during phase 1 processing.
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1221:get_proppair(): pair 0:
2005-06-10 16:42:37: DEBUG: proposal.c:895:print_proppair0(): 0x80a7d20: next=0x0 tnext=0x0
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1256:get_proppair(): proposal #0: 1 transform
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:322:get_ph1approvalx(): prop#=0, prot-id=ISAKMP, spi-size=0, #trns=6
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:327:get_ph1approvalx(): trns#=0, trns-id=IKE
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Encryption Algorithm, flag=0x8000, lorv=7
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Key Length, flag=0x8000, lorv=128
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Hash Algorithm, flag=0x8000, lorv=SHA
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:338:get_ph1approvalx(): Compared: DB:Peer
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:339:get_ph1approvalx(): (lifetime = 3600:28800)
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:341:get_ph1approvalx(): (lifebyte = 0:0)
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:343:get_ph1approvalx(): enctype = 3DES-CBC:7
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:348:get_ph1approvalx(): (encklen = 0:128)
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:350:get_ph1approvalx(): hashtype = MD5:SHA
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:355:get_ph1approvalx(): authmethod = pre-shared key:pre-shared key
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:360:get_ph1approvalx(): dh_group = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Encryption Algorithm, flag=0x8000, lorv=7
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Key Length, flag=0x8000, lorv=128
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Hash Algorithm, flag=0x8000, lorv=SHA
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:37: ERROR: ipsec_doi.c:404:print_ph1mismatched(): rejected enctype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 3DES-CBC:7
2005-06-10 16:42:37: ERROR: ipsec_doi.c:428:print_ph1mismatched(): rejected hashtype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = MD5:SHA
2005-06-10 16:42:37: ERROR: ipsec_doi.c:440:print_ph1mismatched(): rejected dh_group: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:37: ERROR: ipsec_doi.c:243:get_ph1approval(): no suitable proposal found.
2005-06-10 16:42:37: ERROR: isakmp_ident.c:782:ident_r1recv(): failed to get valid proposal.
2005-06-10 16:42:37: ERROR: isakmp.c:913:isakmp_ph1begin_r(): failed to process packet.
2005-06-10 16:42:45: DEBUG: isakmp.c:221:isakmp_handler(): ===
2005-06-10 16:42:45: DEBUG: isakmp.c:222:isakmp_handler(): 80 bytes message received from xxx.xxx.xxx.xxx[500]
2005-06-10 16:42:45: DEBUG: plog.c:193:plogdump():
ca92beea 8fc89635 00000000 00000000 01100200 00000000 00000050 00000034
00000001 00000001 00000028 01010001 00000020 01010000 800b0001 800c7080
80010005 80030001 80020001 80040002
2005-06-10 16:42:45: DEBUG: isakmp.c:2248:isakmp_printpacket(): begin.
2005-06-10 16:42:45: DEBUG: remoteconf.c:129:getrmconf(): anonymous configuration selected for xxx.xxx.xxx.xxx[500].
2005-06-10 16:42:45: DEBUG: isakmp.c:889:isakmp_ph1begin_r(): ===
2005-06-10 16:42:45: INFO: isakmp.c:894:isakmp_ph1begin_r(): respond new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>xxx.xxx.xxx.xxx[500]
2005-06-10 16:42:45: INFO: isakmp.c:899:isakmp_ph1begin_r(): begin Identity Protection mode.
2005-06-10 16:42:45: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:45: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=1(sa)
2005-06-10 16:42:45: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1117:get_proppair(): total SA len=48
2005-06-10 16:42:45: DEBUG: plog.c:193:plogdump():
00000001 00000001 00000028 01010001 00000020 01010000 800b0001 800c7080
80010005 80030001 80020001 80040002
2005-06-10 16:42:45: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:45: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=2(prop)
2005-06-10 16:42:45: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1178:get_proppair(): proposal #1 len=40
2005-06-10 16:42:45: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:45: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:45: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1327:get_transform(): transform #1 len=32
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Encryption Algorithm, flag=0x8000, lorv=3DES-CBC
2005-06-10 16:42:45: DEBUG: algorithm.c:386:alg_oakley_encdef(): encription(3des)
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Hash Algorithm, flag=0x8000, lorv=MD5
2005-06-10 16:42:45: DEBUG: algorithm.c:256:alg_oakley_hashdef(): hash(md5)
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:45: DEBUG: algorithm.c:614:alg_oakley_dhdef(): hmac(modp1024)
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1221:get_proppair(): pair 1:
2005-06-10 16:42:45: DEBUG: proposal.c:895:print_proppair0(): 0x80a7d20: next=0x0 tnext=0x0
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1256:get_proppair(): proposal #1: 1 transform
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:322:get_ph1approvalx(): prop#=1, prot-id=ISAKMP, spi-size=0, #trns=1
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:327:get_ph1approvalx(): trns#=1, trns-id=IKE
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Encryption Algorithm, flag=0x8000, lorv=3DES-CBC
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Hash Algorithm, flag=0x8000, lorv=MD5
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:338:get_ph1approvalx(): Compared: DB:Peer
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:339:get_ph1approvalx(): (lifetime = 3600:28800)
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:341:get_ph1approvalx(): (lifebyte = 0:0)
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:343:get_ph1approvalx(): enctype = 3DES-CBC:3DES-CBC
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:348:get_ph1approvalx(): (encklen = 0:0)
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:350:get_ph1approvalx(): hashtype = MD5:MD5
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:355:get_ph1approvalx(): authmethod = pre-shared key:pre-shared key
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:360:get_ph1approvalx(): dh_group = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Encryption Algorithm, flag=0x8000, lorv=3DES-CBC
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Hash Algorithm, flag=0x8000, lorv=MD5
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:45: ERROR: ipsec_doi.c:440:print_ph1mismatched(): rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#1) = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:45: ERROR: ipsec_doi.c:243:get_ph1approval(): no suitable proposal found.
2005-06-10 16:42:45: ERROR: isakmp_ident.c:782:ident_r1recv(): failed to get valid proposal.
2005-06-10 16:42:45: ERROR: isakmp.c:913:isakmp_ph1begin_r(): failed to process packet.
2005-06-10 16:42:54: DEBUG: isakmp.c:221:isakmp_handler(): ===
2005-06-10 16:42:54: DEBUG: isakmp.c:222:isakmp_handler(): 80 bytes message received from xxx.xxx.xxx.xxx[500]
2005-06-10 16:42:54: DEBUG: plog.c:193:plogdump():
ca92beea 8fc89635 00000000 00000000 01100200 00000000 00000050 00000034
00000001 00000001 00000028 01010001 00000020 01010000 800b0001 800c7080
80010005 80030001 80020001 80040002
2005-06-10 16:42:54: DEBUG: isakmp.c:2248:isakmp_printpacket(): begin.
2005-06-10 16:42:54: DEBUG: remoteconf.c:129:getrmconf(): anonymous configuration selected for xxx.xxx.xxx.xxx[500].
2005-06-10 16:42:54: DEBUG: isakmp.c:889:isakmp_ph1begin_r(): ===
2005-06-10 16:42:54: INFO: isakmp.c:894:isakmp_ph1begin_r(): respond new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>xxx.xxx.xxx.xxx[500]
2005-06-10 16:42:54: INFO: isakmp.c:899:isakmp_ph1begin_r(): begin Identity Protection mode.
2005-06-10 16:42:54: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:54: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=1(sa)
2005-06-10 16:42:54: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1117:get_proppair(): total SA len=48
2005-06-10 16:42:54: DEBUG: plog.c:193:plogdump():
00000001 00000001 00000028 01010001 00000020 01010000 800b0001 800c7080
80010005 80030001 80020001 80040002
2005-06-10 16:42:54: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:54: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=2(prop)
2005-06-10 16:42:54: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1178:get_proppair(): proposal #1 len=40
2005-06-10 16:42:54: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:54: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:54: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1327:get_transform(): transform #1 len=32
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Encryption Algorithm, flag=0x8000, lorv=3DES-CBC
2005-06-10 16:42:54: DEBUG: algorithm.c:386:alg_oakley_encdef(): encription(3des)
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Hash Algorithm, flag=0x8000, lorv=MD5
2005-06-10 16:42:54: DEBUG: algorithm.c:256:alg_oakley_hashdef(): hash(md5)
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:54: DEBUG: algorithm.c:614:alg_oakley_dhdef(): hmac(modp1024)
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1221:get_proppair(): pair 1:
2005-06-10 16:42:54: DEBUG: proposal.c:895:print_proppair0(): 0x80a7d20: next=0x0 tnext=0x0
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1256:get_proppair(): proposal #1: 1 transform
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:322:get_ph1approvalx(): prop#=1, prot-id=ISAKMP, spi-size=0, #trns=1
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:327:get_ph1approvalx(): trns#=1, trns-id=IKE
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Encryption Algorithm, flag=0x8000, lorv=3DES-CBC
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Hash Algorithm, flag=0x8000, lorv=MD5
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:338:get_ph1approvalx(): Compared: DB:Peer
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:339:get_ph1approvalx(): (lifetime = 3600:28800)
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:341:get_ph1approvalx(): (lifebyte = 0:0)
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:343:get_ph1approvalx(): enctype = 3DES-CBC:3DES-CBC
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:348:get_ph1approvalx(): (encklen = 0:0)
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:350:get_ph1approvalx(): hashtype = MD5:MD5
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:355:get_ph1approvalx(): authmethod = pre-shared key:pre-shared key
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:360:get_ph1approvalx(): dh_group = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Encryption Algorithm, flag=0x8000, lorv=3DES-CBC
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Hash Algorithm, flag=0x8000, lorv=MD5
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:54: ERROR: ipsec_doi.c:440:print_ph1mismatched(): rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#1) = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:54: ERROR: ipsec_doi.c:243:get_ph1approval(): no suitable proposal found.
2005-06-10 16:42:54: ERROR: isakmp_ident.c:782:ident_r1recv(): failed to get valid proposal.
2005-06-10 16:42:54: ERROR: isakmp.c:913:isakmp_ph1begin_r(): failed to process packet.
Кто такой 195.58.28.165 - без понятия.
В настройках нигде не фигурирует.
2005-06-10 16:42:37: ERROR: ipsec_doi.c:404:print_ph1mismatched(): rejected enctype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 3DES-CBC:7
2005-06-10 16:42:37: ERROR: ipsec_doi.c:428:print_ph1mismatched(): rejected hashtype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = MD5:SHA
2005-06-10 16:42:37: ERROR: ipsec_doi.c:440:print_ph1mismatched(): rejected dh_group: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:37: ERROR: ipsec_doi.c:243:get_ph1approval(): no suitable proposal found.
2005-06-10 16:42:37: ERROR: isakmp_ident.c:782:ident_r1recv(): failed to get valid proposal.
2005-06-10 16:42:37: ERROR: isakmp.c:913:isakmp_ph1begin_r(): failed to process packet.обрати внимание на этот текст.
покажи
ls -l /usr/local/etc/racoon/Проверь, что бы содержимое psk.txt было:
router1:
111.111.111.111 mypasswordrouter2
222.222.222.222 mypasswordгде 111.111.111.111 ip второго роутера, а 222.222.222.222 первого.
Он говорит, что отбрасывает тип хеша, что ты шлешь. Тобишь либо неправильные пароли, либо тип шифрования не идентичен на обоих концах. Может на том конце используется не racoon?
да, еще права на psk.txt должны быть тока у рута: chmod 600 psk.txt
>обрати внимание на этот текст.
>покажи
>ls -l /usr/local/etc/racoon/# ls -i /usr/local/etc/racoon/
94230 psk.txt 94231 racoon.conf
969019 psk.txt.dist 969020 racoon.conf.dist>Проверь, что бы содержимое psk.txt было:
>router1:
>111.111.111.111 mypassword
>router2
>222.222.222.222 mypassword
>
>где 111.111.111.111 ip второго роутера, а 222.222.222.222 первого.Откуда я возьму два роутера с ключами? Я к одному узлу подключаюсь.
Соответственно один адрес и один ключ. С этим ключем подключался D-Link DFL-600.>Он говорит, что отбрасывает тип хеша, что ты шлешь. Тобишь либо неправильные
>пароли, либо тип шифрования не идентичен на обоих концах. Может на
>том конце используется не racoon?Там не racoon (вероятно что-то под виндой). Но racoon-ом туда конектились и работают из другого филиала. Но там народ молчаливый слишком - не колятся :(
>>обрати внимание на этот текст.
>>покажи
>>ls -l /usr/local/etc/racoon/
>
># ls -i /usr/local/etc/racoon/
> 94230 psk.txt
> 94231 racoon.conf
>969019 psk.txt.dist 969020 racoon.conf.distне ls -i , а ls -l (L маленькая)
>
>>Проверь, что бы содержимое psk.txt было:
>>router1:на router1 psk.txt содержит:
111.111.111.111 mypasswordна router2 psk.txt содержит:
222.222.222.222 mypassword>Откуда я возьму два роутера с ключами? Я к одному узлу подключаюсь.
>
>Соответственно один адрес и один ключ. С этим ключем подключался D-Link DFL-600.
>
>
>>Он говорит, что отбрасывает тип хеша, что ты шлешь. Тобишь либо неправильные
>>пароли, либо тип шифрования не идентичен на обоих концах. Может на
>>том конце используется не racoon?
>
>Там не racoon (вероятно что-то под виндой). Но racoon-ом туда конектились и
>работают из другого филиала. Но там народ молчаливый слишком - не
>колятся :(Полистай это. Выяснить надо четко, что с той стороны, что бы потом не было мучительно больно за бесцельно потраченное время.
http://www.opennet.me/base/net/bsd_win_vpn.txt.html
>не ls -i , а ls -l (L маленькая)router# ls -l /usr/local/etc/racoon/
total 10
-rw------- 1 bin bin 26 Jun 10 15:53 psk.txt
-r--r--r-- 1 bin bin 610 Jun 8 16:09 psk.txt.dist
-rw-r--r-- 1 bin bin 1442 Jun 10 15:57 racoon.conf
-r--r--r-- 1 bin bin 3080 Jun 8 16:09 racoon.conf.dist>>>Проверь, что бы содержимое psk.txt было:
>>>router1:
>
>на router1 psk.txt содержит:
>111.111.111.111 mypassword
>
>на router2 psk.txt содержит:
>222.222.222.222 mypasswordДругой офис подключается с одним роутером и ключем в psk.txt
Зачем два?>Полистай это. Выяснить надо четко, что с той стороны, что бы потом
>не было мучительно больно за бесцельно потраченное время.
>http://www.opennet.me/base/net/bsd_win_vpn.txt.htmlУ меня оказалось интереснее: на той стороне D-Link-овский шлюз, у меня FreeBSD.
>>не ls -i , а ls -l (L маленькая)
>
>router# ls -l /usr/local/etc/racoon/
>total 10
>-rw------- 1 bin bin 26 Jun 10
>15:53 psk.txtchown root:wheel psk.txt попробуй ( у меня так и я помню - неспроста)
>-r--r--r-- 1 bin bin 610 Jun 8
>16:09 psk.txt.dist
>-rw-r--r-- 1 bin bin 1442 Jun 10 15:57 racoon.conf
>
>-r--r--r-- 1 bin bin 3080 Jun 8 16:09
>racoon.conf.dist
>
>>>>Проверь, что бы содержимое psk.txt было:
>>>>router1:
>>
>>на router1 psk.txt содержит:
>>111.111.111.111 mypassword
>>
>>на router2 psk.txt содержит:
>>222.222.222.222 mypassword
>
>Другой офис подключается с одним роутером и ключем в psk.txt
>Зачем два?
>>не ls -i , а ls -l (L маленькая)
>
>router# ls -l /usr/local/etc/racoon/
>total 10
>-rw------- 1 bin bin 26 Jun 10
>15:53 psk.txt
>-r--r--r-- 1 bin bin 610 Jun 8
>16:09 psk.txt.dist
>-rw-r--r-- 1 bin bin 1442 Jun 10 15:57 racoon.conf
>
>-r--r--r-- 1 bin bin 3080 Jun 8 16:09
>racoon.conf.dist
>
>>>>Проверь, что бы содержимое psk.txt было:
>>>>router1:
>>
>>на router1 psk.txt содержит:
>>111.111.111.111 mypassword
>>
>>на router2 psk.txt содержит:
>>222.222.222.222 mypassword
>
>Другой офис подключается с одним роутером и ключем в psk.txt
>Зачем два?
>
>>Полистай это. Выяснить надо четко, что с той стороны, что бы потом
>>не было мучительно больно за бесцельно потраченное время.
>>http://www.opennet.me/base/net/bsd_win_vpn.txt.html
>
>У меня оказалось интереснее: на той стороне D-Link-овский шлюз, у меня FreeBSD.
что значит D-Link-овский шлюз ? та сторона , что через нат работает?
у ipsec проблемы с nat-om .
У меня тоже были БОЛЬШИЕ проблемы с настройкой всего этого, делал всё по инструкции через rc.conf и вроде тоже всё должно было работать, но не работало, пока не нашел в одном из форумов (не помню где), что через rc.conf данная конструкци и НЕ работает, переделал - стало всё ОК!!!!То, что я перенёс из rc.conf в /usr/local/etc/rc.d/ipsec.sh
ifconfig gif0 destroy
ifconfig gif0 create
gifconfig gif0 192.168.1.1 192.168.1.2
ifconfig gif0 inet 192.168.2.1 172.31.31.1 netmask 255.255.255.0 mtu 1460
route add 172.31.31.0/24 172.31.31.1
/usr/sbin/setkey -f /etc/ipsec.conf
/usr/local/sbin/racoon -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.logБыла ещё одна проблемка, но это уже в настройке маршрутизируемого коммутатора, кот. надо было перенастроить под данную задачу. Вообщем копай в эти стороны и в помощ тебе tcpdump -i твой_интерфейс
>У меня тоже были БОЛЬШИЕ проблемы с настройкой всего этого, делал всё
>по инструкции через rc.conf и вроде тоже всё должно было работать,
>но не работало, пока не нашел в одном из форумов (не
>помню где), что через rc.conf данная конструкци и НЕ работает, переделал
>- стало всё ОК!!!!
Ерунда. Все работает через /etc/rc.conf. Проверь настройки ядра. Там по-умолчанию ipsec выключен. Проверь права доступа к файлу с ключами, как уже советовали. И длина клюяа имеет значение. Для sha1 -128 бит, для md5 -160 вроде.
>router# ls -l /usr/local/etc/racoon/
>total 10
>-rw------- 1 bin bin 26 Jun 10
>15:53 psk.txt
>-r--r--r-- 1 bin bin 610 Jun 8
>16:09 psk.txt.dist
>-rw-r--r-- 1 bin bin 1442 Jun 10 15:57 racoon.conf
>
>-r--r--r-- 1 bin bin 3080 Jun 8 16:09
>racoon.conf.dist
>Вот здесь первая ошибка. Тебе уже не раз говорили - права 600 владелец root
>У меня оказалось интереснее: на той стороне D-Link-овский шлюз, у меня FreeBSD.
>Модель шлюза приведи. Кстати, здесь (или это на другом видел, англицком), есть пример связки фри с D-Link шлюзом.
>Модель шлюза приведи. Кстати, здесь (или это на другом видел, англицком), есть
>пример связки фри с D-Link шлюзом.На сайте Длинка есть. Особо не помогло.
Сделал файл psk.txt на root:wheel, chmod 600
Стало получше, но работать не хочет! :(Текущая ситуация:
==========
rc.conf:static_routes="vpn"
route_vpn="192.168.3.0/24 192.168.3.210"
export route_vpn
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
ike_enable="YES"
ike_program="/usr/local/sbin/racoon"
==========Логи racoon (без debug):
2005-06-14 12:36:28: INFO: main.c:172:main(): @(#)package version freebsd-20030826a
2005-06-14 12:36:28: INFO: main.c:174:main(): @(#)internal version 20001216 sakane@kame.net
2005-06-14 12:36:28: INFO: main.c:175:main(): @(#)This product linked OpenSSL 0.9.7c 30 Sep 2003 (http://www.openssl.org/)
2005-06-14 12:36:28: WARNING: cftoken.l:514:yywarn(): /usr/local/etc/racoon/racoon.conf:46: "support_mip6" it is obsoleted. use "support_proxy".
2005-06-14 12:36:28: INFO: isakmp.c:1358:isakmp_open(): yyy.yyy.yyy.yyy[500] used as isakmp port (fd=5)
2005-06-14 12:38:35: INFO: isakmp.c:894:isakmp_ph1begin_r(): respond new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>xxx.xxx.xxx.xxx[500]
2005-06-14 12:38:35: INFO: isakmp.c:899:isakmp_ph1begin_r(): begin Identity Protection mode.
2005-06-14 12:38:35: INFO: vendorid.c:128:check_vendorid(): received Vendor ID: KAME/racoon
2005-06-14 12:38:35: INFO: isakmp.c:2412:log_ph1established(): ISAKMP-SA established yyy.yyy.yyy.yyy[500]-xxx.xxx.xxx.xxx[500] spi:c7c26defb430c8dc:eef11288cc66b2c2
2005-06-14 12:38:35: INFO: isakmp.c:1049:isakmp_ph2begin_r(): respond new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0]
2005-06-14 12:38:35: ERROR: proposal.c:378:cmpsaprop_alloc(): encmode mismatched: my:Transport peer:Tunnel
2005-06-14 12:38:35: ERROR: ipsec_doi.c:1001:get_ph2approvalx(): not matched
2005-06-14 12:38:35: ERROR: ipsec_doi.c:966:get_ph2approval(): no suitable policy found.
2005-06-14 12:38:35: ERROR: isakmp.c:1063:isakmp_ph2begin_r(): failed to pre-process packet.
2005-06-14 12:38:45: INFO: isakmp.c:1049:isakmp_ph2begin_r(): respond new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0]
2005-06-14 12:38:45: ERROR: proposal.c:378:cmpsaprop_alloc(): encmode mismatched: my:Transport peer:Tunnel
2005-06-14 12:38:45: ERROR: ipsec_doi.c:1001:get_ph2approvalx(): not matched
2005-06-14 12:38:45: ERROR: ipsec_doi.c:966:get_ph2approval(): no suitable policy found.
2005-06-14 12:38:45: ERROR: isakmp.c:1063:isakmp_ph2begin_r(): failed to pre-process packet.
2005-06-14 12:38:55: INFO: isakmp.c:1049:isakmp_ph2begin_r(): respond new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0]
2005-06-14 12:38:55: ERROR: proposal.c:378:cmpsaprop_alloc(): encmode mismatched: my:Transport peer:Tunnel
2005-06-14 12:38:55: ERROR: ipsec_doi.c:1001:get_ph2approvalx(): not matched
2005-06-14 12:38:55: ERROR: ipsec_doi.c:966:get_ph2approval(): no suitable policy found.
2005-06-14 12:38:55: ERROR: isakmp.c:1063:isakmp_ph2begin_r(): failed to pre-process packet.
2005-06-14 12:40:37: INFO: isakmp.c:942:isakmp_ph2begin_i(): initiate new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0]
2005-06-14 12:40:37: ERROR: isakmp_inf.c:776:isakmp_info_recv_n(): unknown notify message, no phase2 handle found.
2005-06-14 12:40:52: ERROR: pfkey.c:741:pfkey_timeover(): xxx.xxx.xxx.xxx give up to get IPsec-SA due to time up to wait.
2005-06-14 12:41:17: INFO: isakmp.c:942:isakmp_ph2begin_i(): initiate new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0]
2005-06-14 12:41:17: ERROR: isakmp_inf.c:776:isakmp_info_recv_n(): unknown notify message, no phase2 handle found.
2005-06-14 12:41:32: ERROR: pfkey.c:741:pfkey_timeover(): xxx.xxx.xxx.xxx give up to get IPsec-SA due to time up to wait.
2005-06-14 12:42:22: INFO: isakmp.c:942:isakmp_ph2begin_i(): initiate new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0]
2005-06-14 12:42:22: ERROR: isakmp_inf.c:776:isakmp_info_recv_n(): unknown notify message, no phase2 handle found.И дальше понеслось... :(
Попробуй использовать tunnel в настройках ipsec
>Попробуй использовать tunnel в настройках ipsecЭто который с gif-интерфейсом?
D-Link на той стороне поймет, что от него хотят?
>>Попробуй использовать tunnel в настройках ipsec
>
>Это который с gif-интерфейсом?
>D-Link на той стороне поймет, что от него хотят?
Попробуй. Модель D-Link-а же держиться в секрете :)
Попробуй поменять ipsec.conf на такойflush;
spdflush;spdadd [realip.address.source.tunnel] [realip.address.destination.tunnel] any -P \
out ipsec esp/transport/[realip.address.source.tunnel]-[realip.address.destination.tunnel]/require;
spdadd [realip.address.destination.tunnel] [ralip.address.source.tunnel] any -P \
in ipsec esp/transport/[realip.address.destination.tunnel]-[realip.address.source.tunnel]/require;
> Модель D-Link-а же держиться в секрете :)И не говори. У двоих спрашивал - молчат как партизаны. :)
>Попробуй поменять ipsec.conf на такой
Разделить строки? А смысл?
Заработало! Транспортом поставил tunnel и все поехало. :)
И ведь советовали... Э-ка меня переклинило. Всем спасибо! :)
>Заработало! Транспортом поставил tunnel и все поехало. :)
>И ведь советовали... Э-ка меня переклинило. Всем спасибо! :)блин толи руки кривые толи... ну воопщем таже фигня так что если не сложно конфиги хоть по почте хоть в студию...
ЗЫ: траблы с freebsd 6.2 -> dlink dl-804hv
>блин толи руки кривые толи... ну воопщем таже фигня так что
>если не сложно конфиги хоть по почте хоть в студию...
>
>ЗЫ: траблы с freebsd 6.2 -> dlink dl-804hvсорри, я там уже не работаю :(
конфиги тю-тю
перепроверь текстовку конфигов.
Народ, а racoon (под Дебиан 4.0 r1) с Cisco PIX нормально дружит? А то тоже что-то не заводится. Транспортом туннель стоит