Всем привет.
Столкнулся с такой проблемой: Есть несколько офисов, подключенных к головному по IPSec/racoon
Головная - циска
филиалы:
часть машин FreeBSD 6.0-RELEASE-p6, ipsec-tools-0.6.5_1
остальные FreeBSD 5.3-RELEASE-p5, racoon-20050510a
Вот на 5.3 все работает как часы.
а на 6-ке началась вот такая катавасия (конфигурация настроек ракуна и тунеля одинаковые, кроме систем и версий)
Как собстно выглядит проблема. После поднятия тоннеля, он живет какое-то время, потом делает сброс и больше не поднимает его, до тех пор пока не будет сделан запрос из филиала в головной офис по внутренней сети. Как только появляется запрос, канал снова поднимается нормально, но потом опять падает, и ждет запроса. На какие либо запросы из головного офиса, действий ПОЧТИ никаких, только мат сплошной в логи на то, что нет связки spi. ПОЧТИ значит, что иногда он реагирует, как видно по логам, раз в час, и поднимает тоннель по in запросу от циски.
Может кто сталкивался, и может ответить что из всей этой связки пудрит мозги фря, ракун или ещё что.==============================================================================
Jun 13 05:46:37 myhost racoon: INFO: respond new phase 1 negotiation: freebsd[500]<=>ciscopix[500]
Jun 13 05:46:37 myhost racoon: INFO: begin Identity Protection mode.
Jun 13 05:46:37 myhost racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-07
Jun 13 05:46:37 myhost racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
Jun 13 05:46:37 myhost racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Jun 13 05:46:37 myhost racoon: INFO: received Vendor ID: CISCO-UNITY
Jun 13 05:46:37 myhost racoon: INFO: received Vendor ID: DPD
Jun 13 05:46:37 myhost racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Jun 13 05:46:37 myhost racoon: WARNING: ignore INITIAL-CONTACT notification, because it is only accepted after phase1.
Jun 13 05:46:37 myhost racoon: INFO: ISAKMP-SA established freebsd[500]-ciscopix[500] spi:3ad39bfeca4e7bd0:e0f354e23e9a2afe
Jun 13 05:46:37 myhost racoon: INFO: respond new phase 2 negotiation: freebsd[0]<=>ciscopix[0]
Jun 13 05:46:37 myhost kernel: WARNING: pseudo-random number generator used for IPsec processing
Jun 13 05:46:37 myhost racoon: INFO: IPsec-SA established: ESP/Tunnel ciscopix[0]->freebsd[0] spi=59922166(0x39256f6)
Jun 13 05:46:37 myhost racoon: INFO: IPsec-SA established: ESP/Tunnel freebsd[0]->ciscopix[0] spi=635323422(0x25de441e)
Jun 13 06:34:38 myhost racoon: INFO: IPsec-SA expired: ESP/Tunnel freebsd[0]->ciscopix[0] spi=635323422(0x25de441e)
Jun 13 06:34:38 myhost racoon: INFO: IPsec-SA expired: ESP/Tunnel ciscopix[0]->freebsd[0] spi=59922166(0x39256f6)
Jun 13 06:44:31 myhost racoon: INFO: respond new phase 2 negotiation: freebsd[0]<=>ciscopix[0]
Jun 13 06:44:31 myhost racoon: INFO: IPsec-SA established: ESP/Tunnel ciscopix[0]->freebsd[0] spi=251828307(0xf029853)
Jun 13 06:44:31 myhost racoon: INFO: IPsec-SA established: ESP/Tunnel freebsd[0]->ciscopix[0] spi=630362017(0x25928fa1)
Jun 13 06:46:36 myhost racoon: INFO: purging ISAKMP-SA spi=3ad39bfeca4e7bd0:e0f354e23e9a2afe.
Jun 13 06:46:36 myhost racoon: INFO: purged IPsec-SA spi=630362017.
Jun 13 06:46:36 myhost racoon: INFO: purged IPsec-SA spi=635323422.
Jun 13 06:46:36 myhost racoon: INFO: purged IPsec-SA spi=251828307.
Jun 13 06:46:36 myhost racoon: INFO: purged IPsec-SA spi=59922166.
Jun 13 06:46:36 myhost racoon: INFO: purged ISAKMP-SA spi=3ad39bfeca4e7bd0:e0f354e23e9a2afe.
Jun 13 06:46:37 myhost kernel: IPv4 ESP input: no key association found for spi 251828307
Jun 13 06:46:37 myhost racoon: INFO: ISAKMP-SA deleted freebsd[500]-ciscopix[500] spi:3ad39bfeca4e7bd0:e0f354e23e9a2afe
Jun 13 06:46:38 myhost kernel: IPv4 ESP input: no key association found for spi 251828307
Jun 13 06:46:39 myhost kernel: IPv4 ESP input: no key association found for spi 251828307
Jun 13 06:46:40 myhost kernel: IPv4 ESP input: no key association found for spi 251828307
....
Jun 13 07:41:35 myhost kernel: IPv4 ESP input: no key association found for spi 251828307
Jun 13 07:42:05 myhost racoon: INFO: respond new phase 1 negotiation: freebsd[500]<=>ciscopix[500]
Jun 13 07:42:05 myhost racoon: INFO: begin Identity Protection mode.
Jun 13 07:42:05 myhost racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-07
Jun 13 07:42:05 myhost racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
Jun 13 07:42:05 myhost racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Jun 13 07:42:05 myhost racoon: INFO: received Vendor ID: CISCO-UNITY
Jun 13 07:42:05 myhost racoon: INFO: received Vendor ID: DPD
Jun 13 07:42:05 myhost racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Jun 13 07:42:05 myhost racoon: INFO: ISAKMP-SA established freebsd[500]-ciscopix[500] spi:3ad39bfe7053ed38:438d6d760fae08f9
Jun 13 07:42:05 myhost racoon: INFO: respond new phase 2 negotiation: freebsd[0]<=>ciscopix[0]
Jun 13 07:42:05 myhost racoon: INFO: IPsec-SA established: ESP/Tunnel ciscopix[0]->freebsd[0] spi=237833446(0xe2d0ce6)
Jun 13 07:42:05 myhost racoon: INFO: IPsec-SA established: ESP/Tunnel freebsd[0]->ciscopix[0] spi=1235321953(0x49a18461)
Jun 13 08:30:06 myhost racoon: INFO: IPsec-SA expired: ESP/Tunnel freebsd[0]->ciscopix[0] spi=1235321953(0x49a18461)
Jun 13 08:30:06 myhost racoon: INFO: IPsec-SA expired: ESP/Tunnel ciscopix[0]->freebsd[0] spi=237833446(0xe2d0ce6)
Jun 13 08:38:56 myhost racoon: INFO: respond new phase 2 negotiation: freebsd[0]<=>ciscopix[0]
Jun 13 08:38:56 myhost racoon: INFO: IPsec-SA established: ESP/Tunnel ciscopix[0]->freebsd[0] spi=73754785(0x46568a1)
Jun 13 08:38:56 myhost racoon: INFO: IPsec-SA established: ESP/Tunnel freebsd[0]->ciscopix[0] spi=2054021847(0x7a6de2d7)
Jun 13 08:42:05 myhost racoon: INFO: purging ISAKMP-SA spi=3ad39bfe7053ed38:438d6d760fae08f9.
Jun 13 08:42:05 myhost racoon: INFO: purged IPsec-SA spi=2054021847.
Jun 13 08:42:05 myhost racoon: INFO: purged IPsec-SA spi=1235321953.
Jun 13 08:42:05 myhost racoon: INFO: purged IPsec-SA spi=73754785.
Jun 13 08:42:05 myhost racoon: INFO: purged IPsec-SA spi=237833446.
Jun 13 08:42:05 myhost racoon: INFO: purged ISAKMP-SA spi=3ad39bfe7053ed38:438d6d760fae08f9.
Jun 13 08:42:06 myhost racoon: INFO: ISAKMP-SA deleted freebsd[500]-ciscopix[500] spi:3ad39bfe7053ed38:438d6d760fae08f9
Jun 13 08:42:36 myhost kernel: IPv4 ESP input: no key association found for spi 73754785
Jun 13 08:43:35 myhost kernel: IPv4 ESP input: no key association found for spi 73754785
Jun 13 08:43:45 myhost kernel: IPv4 ESP input: no key association found for spi 73754785
....
==============================================================================
Ну конфиги что ли покажи...
>Ну конфиги что ли покажи...
A.A.A.A - филиал
B.B.B.B - циска======================================
spdadd 172.16.52.0/24 172.16.0.0/20 any -P out
ipsec esp/tunnel/A.A.A.A-B.B.B.B/require;
spdadd 172.16.0.0/20 172.16.52.0/24 any -P in
ipsec esp/tunnel/B.B.B.B-A.A.A.A/require;
======================================
path include "/usr/local/etc/racoon" ;path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
log notify;
padding
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}listen
{
isakmp A.A.A.A [500];
}timer
{
counter 5;
interval 20 sec;
persend 1;phase1 30 sec;
phase2 15 sec;
}remote anonymous
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;nonce_size 16;
lifetime time 24 hour;
initial_contact on;
support_proxyi on;
proposal_check obey;proposal {
encryption_algorithm aes;
hash_algorithm md5;
authentication_method pre_shared_key ;
dh_group 2 ;
}
}sainfo anonymous
{
pfs_group 2;
lifetime time 24 hour;
encryption_algorithm aes ;
authentication_algorithm hmac_md5;
compression_algorithm deflate ;
}
======================================
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=b<RXCSUM,TXCSUM,VLAN_MTU>
inet 172.16.52.1 netmask 0xffffff00 broadcast 172.16.52.255
ether xx:xx:xx:xx:xx:xx
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
options=8<VLAN_MTU>
inet A.A.A.A netmask 0xfffffffc broadcast A.A.A.3
ether xx:xx:xx:xx:xx:xx
media: Ethernet autoselect (100baseTX <full-duplex>)
status: active
pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33208
pfsync0: flags=0<> mtu 2020
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
inet 127.0.0.1 netmask 0xff000000
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet A.A.A.A --> B.B.B.B
inet 172.16.52.1 --> 10.254.0.4 netmask 0xffffffff
======================================
Угу. Вроде нормально выглядит. Конфиг на циске?
>Угу. Вроде нормально выглядит. Конфиг на циске?а смысл?
Прикол в том! что так делает только 6.0 в связке с ракуном ipsec-tools!!!!!
с 5.3 в связке на KAME racoon IKE daemon на тех же конфигах!!! вообще никаких проблем.
остается выяснить кто малину обгадил, 6.0 или ipsec-tools
ну так приведи к единому виду, обнови FreeBSD до 5.5, порты. racoon там уже нет, только ipsec-tools. и настраивай в однородной системе все. хотя, если работает, то лучше не трогать... эксперименты лучше на тестовой машине
я в ядре убери IPSEC, а включи FAST_IPSEC и псевдо устройста crypto и все получится
Т.е. отказаться от racoon и поставить железку, выход супер
но не в моем случае.
В общем заменил ipsec-tools на racoon-20050510a :(
то же не выход конечно, но хоть работает стабильно теперь