URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 74552
[ Назад ]

Исходное сообщение
"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 08-Июн-07 13:00

люди, спасите, уже не пойму куда смотреть...
сделал:
на втором все тоже мамое, тольк с правльными адресами
cat /etc/ipsec.conf
flush;
spdflush;
spdadd 192.168.1.0/24 192.168.4.0/24 any -P out ipsec
esp/tunnel/aaa.aaa.aaa.aaa-bbb.bbb.bbb.bbb/require;
spdadd 192.168.4.0/24 192.168.1.0/24 any -P in ipsec
esp/tunnel/bbb.bbb.bbb.bbb-aaa.aaa.aaa.aaa/require;
cat /usr/local/etc/racoon/psk.txt
bbb.bbb.bbb.bbb   password
cat /usr/local/etc/racoon/racoon.conf
path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
#path certificate "/usr/local/etc/cert" ;

padding
{
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
}

listen
{
        #isakmp ::1 [7000];
        isakmp aaa.aaa.aaa.aaa [500];
        #admin [7002];          # administrative's port by kmpstat.
        #strict_address;        # required all addresses must be bound.
}

timer
{
        # These value can be changed per remote node.
        counter 5;              # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
        persend 1;              # the number of packets per a send.

        # timer for waiting to complete each phase.
        phase1 30 sec;
        phase2 15 sec;
}

remote bbb.bbb.bbb.bbb
{
        exchange_mode aggressive,main;
        doi ipsec_doi;
        situation identity_only;

        #my_identifier address;
        #my_identifier user_fqdn "sakane@kame.net";
        #peers_identifier user_fqdn "sakane@kame.net";
        #certificate_type x509 "mycert" "mypriv";

        nonce_size 16;
        lifetime time 24 hour;  # sec,min,hour
        initial_contact on;
#        support_mip6 on;
        proposal_check obey;    # obey, strict or claim

        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key ;
                dh_group 2 ;
        }
}

sainfo anonymous
{
        pfs_group 1;
        lifetime time 24 hour;
        encryption_algorithm 3des ;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate ;
}
rc.conf на тему:
cloned_interfaces="gif0"                                                                 gif_interfaces="gif0"
gifconfig_gif0="aaa.aaa.aaa.aaa bbb.bbb.bbb.bbb"
ifconfig_gif0="inet 192.168.1.149 192.168.4.1 netmask 255.255.255.0"
static_routes="vpn"
route_vpn="192.168.4.0/24 -interface gif0"
export route_vpn
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"
фаером ничего не рубится.
tail -f /var/log/security
Jun  8 12:47:54 gate racoon: INFO: IPsec-SA request for bbb.bbb.bbb.bbb queued due to no phase1 found.
Jun  8 12:47:54 gate racoon: INFO: initiate new phase 1 negotiation: bbb.bbb.bbb.bbb[500]<=>aaa.aaa.aaa.aaa[500]
Jun  8 12:47:54 gate racoon: INFO: begin Aggressive mode.
Jun  8 12:48:15 gate racoon: INFO: received Vendor ID: DPD
Jun  8 12:48:15 gate racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
Jun  8 12:48:15 gate racoon: INFO: ISAKMP-SA established bbb.bbb.bbb.bbb[500]-aaa.aaa.aaa.aaa[500] spi:ebba41affc50e370:142b457d6e053c09
Jun  8 12:48:15 gate racoon: INFO: initiate new phase 2 negotiation: bbb.bbb.bbb.bbb[0]<=>aaa.aaa.aaa.aaa[0]
Jun  8 12:48:15 gate racoon: INFO: IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa[0]->bbb.bbb.bbb.bbb[0] spi=114335346(0x6d09e72)
Jun  8 12:48:15 gate racoon: INFO: IPsec-SA established: ESP/Tunnel bbb.bbb.bbb.bbb[0]->aaa.aaa.aaa.aaa[0] spi=97772030(0x5d3e1fe)
tcpdump'ом видно, что трафик идет, но только вот до внутренних адресов не доходит...
куда еще копать?

Содержание

ipsec+racoon+bsd 6+сломаная голова,pavel_simple, 13:09 , 08-Июн-07
- ipsec+racoon+bsd 6+сломаная голова,pavel_simple, 13:11 , 08-Июн-07
  - ipsec+racoon+bsd 6+сломаная голова,linz, 13:17 , 08-Июн-07
    - ipsec+racoon+bsd 6+сломаная голова,pavel_simple, 13:20 , 08-Июн-07
      - ipsec+racoon+bsd 6+сломаная голова,linz, 13:23 , 08-Июн-07
      - ipsec+racoon+bsd 6+сломаная голова,pavel_simple, 13:23 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 13:26 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,pavel_simple, 13:29 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 13:32 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 13:35 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 13:36 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,pavel_simple, 13:42 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 13:46 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,pavel_simple, 13:53 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 14:01 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,pavel_simple, 14:09 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 14:31 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,pavel_simple, 14:35 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 14:50 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 15:00 , 08-Июн-07
        ipsec+racoon+bsd 6+сломаная голова,pavel_simple, 15:04 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 15:08 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,pavel_simple, 15:12 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,pavel_simple, 15:19 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 15:36 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,pavel_simple, 15:39 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 15:44 , 08-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 15:35 , 18-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,pavel_simple, 15:37 , 18-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 16:56 , 18-Июн-07
        
        ipsec+racoon+bsd 6+сломаная голова,seltsam, 15:25 , 01-Авг-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 16:54 , 01-Авг-07
        
        ipsec+racoon+bsd 6+сломаная голова,seltsam, 17:36 , 01-Авг-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 09:38 , 02-Авг-07
        
        ipsec+racoon+bsd 6+сломаная голова,seltsam, 12:39 , 02-Авг-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 14:13 , 02-Авг-07
        
        ipsec+racoon+bsd 6+сломаная голова,seltsam, 14:22 , 02-Авг-07
        
        ipsec+racoon+bsd 6+сломаная голова,linz, 15:03 , 02-Авг-07
        
        ipsec+racoon+bsd 6+сломаная голова,ailman, 16:37 , 25-Май-09
        
        ipsec+racoon+bsd 6+сломаная голова,eleven, 14:37 , 17-Май-12

Сообщения в этом обсуждении

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено pavel_simple , 08-Июн-07 13:09

#my_identifier address;
раскомментируй

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено pavel_simple , 08-Июн-07 13:11

>#my_identifier address;
>раскомментируй
pfs_group 1; -> pfs_group 2;

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 08-Июн-07 13:17

>>#my_identifier address;
>>раскомментируй
>
>pfs_group 1; -> pfs_group 2;
каскомментировал
pfs_group тоже сбацал.
не помогло

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено pavel_simple , 08-Июн-07 13:20

>каскомментировал
>
>pfs_group тоже сбацал.
>
>не помогло
чё говорит то -- ошибка та же???

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 08-Июн-07 13:23

>>каскомментировал
>>
>>pfs_group тоже сбацал.
>>
>>не помогло
>
>чё говорит то -- ошибка та же???
какая ошибка? ракун что ЕРРОРОВ не выдает. есть только NOTIFY: couldn't find the proper pskey, try to get one by the peer's address. но это, как я понял не мешает его работе..
или я не прав?

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено pavel_simple , 08-Июн-07 13:23

а это чё за фигня
path pre_shared_key "/usr/local/etc/racoon/ass.ass" ;

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 08-Июн-07 13:26

>а это чё за фигня
>path pre_shared_key "/usr/local/etc/racoon/ass.ass" ;
это ключ реальный. но там все ровно. не обращай внимание. когда постил сюда конфиг - не поправил

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено pavel_simple , 08-Июн-07 13:29

>>а это чё за фигня
>>path pre_shared_key "/usr/local/etc/racoon/ass.ass" ;
>
>это ключ реальный. но там все ровно. не обращай внимание. когда постил
>сюда конфиг постил - не поправил
setkey -DP ?? чё говорит
netstat -nr | grep gif0 ??

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 08-Июн-07 13:32

setkey -DP
192.168.4.0/24[any] 192.168.1.0/24[any] any
        in ipsec
        esp/tunnel/bbb.bbb.bbb.bbb-aaa.aaa.aaa.aaa/require
        created: Jun  8 09:47:46 2007  lastused: Jun  8 13:26:50 2007
        lifetime: 0(s) validtime: 0(s)
        spid=16388 seq=1 pid=46708
        refcnt=1
192.168.1.0/24[any] 192.168.4.0/24[any] any
        out ipsec
        esp/tunnel/aaa.aaa.aaa.aaa-bbb.bbb.bbb.bbb/require
        created: Jun  8 09:47:46 2007  lastused: Jun  8 13:14:55 2007
        lifetime: 0(s) validtime: 0(s)
        spid=16387 seq=0 pid=46708
        refcnt=1
netstat -nr | grep gif0
192.168.4          192.168.4.1        UGS         0        0   gif0
192.168.4.1        gif0               UHS       390      413   gif0

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 08-Июн-07 13:35

и еще в догонку, когда с тазика ОДИН пингаю тазик ДВА то:
setkey -D
aaa.aaa.aaa.aaa bbb.bbb.bbb.bbb
        esp mode=tunnel spi=97309397(0x05ccd2d5) reqid=0(0x00000000)
        E: 3des-cbc  57d51802 3b9a565c c65b21e6 ae3a6df8 a90dbc1c 7bee3493
        A: hmac-sha1  9719438e 8faa31f1 ee6d9c4d 6e7d0527 3fbe6c61
        seq=0x00000010 replay=4 flags=0x00000000 state=mature
        created: Jun  8 13:18:09 2007   current: Jun  8 13:29:51 2007
        diff: 702(s)    hard: 86400(s)  soft: 69120(s)
        last: Jun  8 13:29:51 2007      hard: 0(s)      soft: 0(s)
        current: 2176(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 0   hard: 0 soft: 0
        sadb_seq=1 pid=46719 refcnt=2
bbb.bbb.bbb.bbb aaa.aaa.aaa.aaa
        esp mode=tunnel spi=27259685(0x019ff325) reqid=0(0x00000000)
        E: 3des-cbc  2dd12257 f10eb7ec dd9f2c8f e1846586 b13b4db0 027262eb
        A: hmac-sha1  e06e063b 2ef77dcc c462643c 529442b7 8434a9ea
        seq=0x000002be replay=4 flags=0x00000000 state=mature
        created: Jun  8 13:18:09 2007   current: Jun  8 13:29:51 2007
        diff: 702(s)    hard: 86400(s)  soft: 69120(s)
        last: Jun  8 13:29:51 2007      hard: 0(s)      soft: 0(s)
        current: 58968(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 702  hard: 0 soft: 0
^^^^^^^^^^^^^^^^^^^^^^^^^  -------------------------------РАСТУТ
        sadb_seq=0 pid=46719 refcnt=1

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 08-Июн-07 13:36

ну и естественно когда в обратеую сторону, то тоже allocated увеличивается токо сверху

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено pavel_simple , 08-Июн-07 13:42

gif_interfaces="gif0"
gifconfig_gif0="aaa.aaa.aaa.aaa bbb.bbb.bbb.bbb"
ifconfig_gif0="inet 192.168.1.149 192.168.4.1 netmask 0xffffffff"
^^^^^^^^^^^
static_routes="vpn"
route_vpn="192.168.1/24 192.168.4.1"

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 08-Июн-07 13:46

>gif_interfaces="gif0"
>gifconfig_gif0="aaa.aaa.aaa.aaa bbb.bbb.bbb.bbb"
>ifconfig_gif0="inet 192.168.1.149 192.168.4.1 netmask 0xffffffff"
>
> ^^^^^^^^^^^
>
>static_routes="vpn"
>route_vpn="192.168.1/24 192.168.4.1"
не догоняю. где лажа? в маске?

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено pavel_simple , 08-Июн-07 13:53

>не догоняю. где лажа?
netmask 0xffffffff"
он в данном случае робит как точка-точка, ну и роут соответственно поправь, сам ipsec у тебя насколько я понял поднимаеться (только незнаю как если он ключа не видел -- my_identifier).
далее
traceroute -s 192.168.1.149 192.168.4.1
на всякий пожарный проверь fw на пропуск протокола esp

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 08-Июн-07 14:01

>>не догоняю. где лажа?
>
>netmask 0xffffffff"
>он в данном случае робит как точка-точка, ну и роут соответственно поправь,
>сам ipsec у тебя насколько я понял поднимаеться (только незнаю как
>если он ключа не видел -- my_identifier).
>далее
>traceroute -s 192.168.1.149 192.168.4.1
>на всякий пожарный проверь fw на пропуск протокола esp

так. погоди. маску поправил. а с маршрутами-то что не так?
и про ipsec я что-то не понял
fw пускает. правила есть, в логах на эту тему тихо.

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено pavel_simple , 08-Июн-07 14:09

да нет -- это я лох
Jun 8 12:48:15 gate racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
вот сдесь он у тебя сам пытаеться найти клучик на основании "peer's address."
находит.
тунель у тебя робит -- это точно, а вот пакеты похоже куда-то не туда ломяться.
поэтому и говорю что поставь роут так как у меня -- это не лекарство, просто у меня именно так

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 08-Июн-07 14:31

роут как у тебя это так: route_vpn="192.168.1/24 192.168.4.1" ?
тада я не догоняю опять...
у меня тазик 1 имеет
внешний ип ааа.ааа.ааа.ааа
и внутренний 192,168,1,149
и если твой роут моему первому то, получается то в сеть один он должен хоить через 4?

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено pavel_simple , 08-Июн-07 14:35

>роут как у тебя это так: route_vpn="192.168.1/24 192.168.4.1" ?
>тада я не догоняю опять...
>у меня тазик 1 имеет
>внешний ип ааа.ааа.ааа.ааа
>и внутренний 192,168,1,149
>и если твой роут моему первому то, получается то в сеть один
>он должен хоить через 4?
да -- тут я уже накосячил пока для тебя "переводил"
route_vpn="192.168.4/24 192.168.4.1"
вот так конечно
я там выше про traceroute писал --- робил или нет
yну и на крайняк
log debug; и racoon_flags='-l /var/log/racoon.log'
покажи что там будет после перезапуску ракуна

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 08-Июн-07 14:50

>>роут как у тебя это так: route_vpn="192.168.1/24 192.168.4.1" ?
>>тада я не догоняю опять...
>>у меня тазик 1 имеет
>>внешний ип ааа.ааа.ааа.ааа
>>и внутренний 192,168,1,149
>>и если твой роут моему первому то, получается то в сеть один
>>он должен хоить через 4?
>
>да -- тут я уже накосячил пока для тебя "переводил"
>route_vpn="192.168.4/24 192.168.4.1"
>вот так конечно
>я там выше про traceroute писал --- робил или нет
>
>yну и на крайняк
>log debug; и racoon_flags='-l /var/log/racoon.log'
>покажи что там будет после перезапуску ракуна
лог ракуна:
2007-06-08 14:42:43: INFO: @(#)ipsec-tools 0.6.7 (http://ipsec-tools.sourceforge.net)
2007-06-08 14:42:43: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2007-06-08 14:42:43: DEBUG: hmac(modp1024)
2007-06-08 14:42:43: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.
2007-06-08 14:42:43: INFO: 85.21.189.162[500] used as isakmp port (fd=5)
2007-06-08 14:42:43: DEBUG: get pfkey X_SPDDUMP message
2007-06-08 14:42:43: DEBUG: get pfkey X_SPDDUMP message
2007-06-08 14:42:43: DEBUG: sub:0xbfbfe570: 192.168.1.0/24[0] 192.168.4.0/24[0] proto=any dir=out
2007-06-08 14:42:43: DEBUG: db :0x809ea08: 192.168.4.0/24[0] 192.168.1.0/24[0] proto=any dir=in

прописал маршруты:
1й комп:
netstat -rn | grep gif
192.168.4          192.168.4.1        UGS         0        0   gif0
192.168.4.1        192.168.1.149      UH        336      368   gif0
2й комп:
netstat -rn | grep gif
192.168.1          192.168.1.149      UGS         0        0   gif0
192.168.1.149      192.168.4.1        UH       2185     2197   gif0
трэйс ваще не идёт :)))) не туда ни оттуда... рисует звездочки

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 08-Июн-07 15:00

еще кусочек, во время пингания:
2007-06-08 14:47:46: INFO: IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa[0]->bbb.bbb.bbb.bbb[0] spi=98403631(0x5dd852f)
2007-06-08 14:47:46: DEBUG: ===
2007-06-08 14:50:14: DEBUG: msg 1 not interesting
2007-06-08 14:51:27: DEBUG: caught rtm:2, need update interface address list
2007-06-08 14:51:27: DEBUG: caught rtm:13, need update interface address list
2007-06-08 14:51:27: DEBUG: caught rtm:14, need update interface address list
2007-06-08 14:51:27: DEBUG: caught rtm:14, need update interface address list
2007-06-08 14:51:27: DEBUG: caught rtm:14, need update interface address list
2007-06-08 14:54:10: DEBUG: msg 1 not interesting
2007-06-08 14:55:12: DEBUG: msg 1 not interesting

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено pavel_simple , 08-Июн-07 15:04

не покаже где такое -- если есть конечно
IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa->bbb.bbb.bbb.bbb

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 08-Июн-07 15:08

>не покаже где такое -- если есть конечно
> IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa->bbb.bbb.bbb.bbb
есть. и несколько штук
2007-06-08 14:47:46: INFO: IPsec-SA established: ESP/Tunnel aaa.aaa.aaa.aaa[0]->bbb.bbb.bbb.bbb[0] spi=98403631(0x5dd852f)

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено pavel_simple , 08-Июн-07 15:12

итак -- выводы туннель поднимаеться и функциклирует праииильно
вопрос в том - почему не идут пакеты.
я скланяюсь в данном случае к тому , что проблему в fw--
выруби на пару сек -- если не страшно конечно -- правда ты выше один ip таки засветил -- ну может пока никто не обратил внимания -- да есть ещё время пост этот удалить

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено pavel_simple , 08-Июн-07 15:19

попробуй
ipfw add allow all from any to any via gif0

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 08-Июн-07 15:36

>попробуй
>ipfw add allow all from any to any via gif0
логи на фаер включены, там тишина на сей счет

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено pavel_simple , 08-Июн-07 15:39

чтож че мог ....
"а ты фары протирал - да , а по колесу пинал - да ---- ну тогда незнаю"
З.Ы.
я бы всё равно вырубил и проверил -- за десять секунд сломать врядли кто успеет -- а увереннось в том , что не FW будет 100%
удачи

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 08-Июн-07 15:44

>чтож че мог ....
>"а ты фары протирал - да , а по колесу пинал -
>да ---- ну тогда незнаю"
>
>З.Ы.
>я бы всё равно вырубил и проверил -- за десять секунд сломать
>врядли кто успеет -- а увереннось в том , что не
>FW будет 100%
>удачи
спасибо за помощь!!!
осталось пепельницу вытряхнуть... :)))

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 18-Июн-07 15:35

теперь такой вопрос, почему-то при поднятии канала эти два тазика перестают видеть друг-друга по внешним адресам. насколько я понимаю, такого быть не должно... или... ?

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено pavel_simple , 18-Июн-07 15:37

>теперь такой вопрос, почему-то при поднятии канала эти два тазика перестают видеть
>друг-друга по внешним адресам. насколько я понимаю, такого быть не должно...
>или... ?
недолжно

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 18-Июн-07 16:56

>>теперь такой вопрос, почему-то при поднятии канала эти два тазика перестают видеть
>>друг-друга по внешним адресам. насколько я понимаю, такого быть не должно...
>>или... ?
>
>недолжно

канал-то работает, трафик шифруется, всё ровно, но вот этот факт как-то расстаривает.
причем при пингании по внешнему ипу он эти пинги тоже в ESP засовывает.

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено seltsam , 01-Авг-07 15:25

кхе... прошу прощения за вмешательство.. доброго дня... или ночи...
у меня вопрос - делаю похожую вещь, всё вроде настроил, НО в журнале security получаю:
ERROR: libipsec failed pfkey open (Protocol not supported)
настройку делаю согласно http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec....
т.е. в /etc/ipsec.conf имею
...
spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
я так понял, что типа протокол esp не поддерживается?? =(

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 01-Авг-07 16:54

>кхе... прошу прощения за вмешательство.. доброго дня... или ночи...
>у меня вопрос - делаю похожую вещь, всё вроде настроил, НО в
>журнале security получаю:
>ERROR: libipsec failed pfkey open (Protocol not supported)
>настройку делаю согласно http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec....
>т.е. в /etc/ipsec.conf имею
>...
>spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
>spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
> я так понял, что типа протокол esp не поддерживается?? =(
а в ядре-то точно все ровно? всех опций хватает?

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено seltsam , 01-Авг-07 17:36

>[оверквотинг удален]
>>журнале security получаю:
>>ERROR: libipsec failed pfkey open (Protocol not supported)
>>настройку делаю согласно http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec....
>>т.е. в /etc/ipsec.conf имею
>>...
>>spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
>>spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
>> я так понял, что типа протокол esp не поддерживается?? =(
>
>а в ядре-то точно все ровно? всех опций хватает?
компилил ядро как полагается, с опциями IPSEC, IPSEC_ESP и плюс IPSEC_DEBUG.
на момент запуска racoon сервера должны видеть друг друга?

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 02-Авг-07 09:38

>[оверквотинг удален]
>>>т.е. в /etc/ipsec.conf имею
>>>...
>>>spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
>>>spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
>>> я так понял, что типа протокол esp не поддерживается?? =(
>>
>>а в ядре-то точно все ровно? всех опций хватает?
>
>компилил ядро как полагается, с опциями IPSEC, IPSEC_ESP и плюс IPSEC_DEBUG.
>на момент запуска racoon сервера должны видеть друг друга?
нет, не обязательно.
а сам ракун нормально собирался? без косяков? может его пересобрать?

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено seltsam , 02-Авг-07 12:39

>>>а в ядре-то точно все ровно? всех опций хватает?
>>
>>компилил ядро как полагается, с опциями IPSEC, IPSEC_ESP и плюс IPSEC_DEBUG.
>>на момент запуска racoon сервера должны видеть друг друга?
>
>нет, не обязательно.
>а сам ракун нормально собирался? без косяков? может его пересобрать?
всё, нашёл косяк =)
УРА! =)))
когда ядро компилил одну буковку не ту написал... вот всё и стало по дефолту... с GENERIC...
терь поднялось всё =)

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 02-Авг-07 14:13

>[оверквотинг удален]
>>
>>нет, не обязательно.
>>а сам ракун нормально собирался? без косяков? может его пересобрать?
>
>всё, нашёл косяк =)
>УРА! =)))
>когда ядро компилил одну буковку не ту написал... вот всё и стало
>по дефолту... с GENERIC...
>
>терь поднялось всё =)
нууу...
а у тебя при работающем шифрованом канале по внешним адресам щлюзы доступны из серых сетей?

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено seltsam , 02-Авг-07 14:22

>нууу...
>
>а у тебя при работающем шифрованом канале по внешним адресам щлюзы доступны
>из серых сетей?
пока ещё не сделал всё до конца...
щас поднимаю связь двух серверов, буд проверять что да как... да фаер нада донастроить с этим уклоном.. и ipnat...
если хочешь могу потом выслать результат....

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено linz , 02-Авг-07 15:03

>
>>нууу...
>>
>>а у тебя при работающем шифрованом канале по внешним адресам щлюзы доступны
>>из серых сетей?
>
>пока ещё не сделал всё до конца...
>щас поднимаю связь двух серверов, буд проверять что да как... да фаер
>нада донастроить с этим уклоном.. и ipnat...
>если хочешь могу потом выслать результат....
не, спасибо. результат то у меня есть работающий. я вот только никак не могу понять почему оба тазика не видят друг друга по внешним адресам после поднятия шифрованного тунеля. тоесть если тунель юеза ipsec то все шикарно...

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено ailman , 25-Май-09 16:37

>не, спасибо. результат то у меня есть работающий...
to linz:
Хелп!!!!
Если можно, выложи плиз рабочие конфиги racoon.conf, ipsec.conf и соответствующий rc.conf.
Уже 2-й месяц бъюсь с этим айписецом... ((((

"ipsec+racoon+bsd 6+сломаная голова"
Отправлено eleven , 17-Май-12 14:37

>[оверквотинг удален]
>>>настройку делаю согласно http://www.freebsd.org/doc/ru_RU.KOI8-R/books/handbook/ipsec....
>>>т.е. в /etc/ipsec.conf имею
>>>...
>>>spdadd W.X.Y.Z/32 A.B.C.D/32 ipencap -P out ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
>>>spdadd A.B.C.D/32 W.X.Y.Z/32 ipencap -P in ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
>>> я так понял, что типа протокол esp не поддерживается?? =(
>>
>>а в ядре-то точно все ровно? всех опций хватает?
> компилил ядро как полагается, с опциями IPSEC, IPSEC_ESP и плюс IPSEC_DEBUG.
> на момент запуска racoon сервера должны видеть друг друга?
опция в ядре PF_KEY sockets.
p.s. ответ уже скорей не для автора, а для гуглящих и натыкающихся на данный пост