Добрый день ребята. Поднимаю vpn между Cisco и FreeBSD 7 + IPSEC Tools...
В логах racoon фиксируется следующие ошибки:
2008-08-13 12:08:51: DEBUG: IV freed
2008-08-13 12:08:51: ERROR: ignore information because ISAKMP-SAhas not been established yet.
2008-08-13 12:09:43: ERROR: none message must be encrypted
2008-08-13 12:10:03: ERROR: phase1 negotiation failed due to time up.
Может кто то уже встречался c такой проблемой ? J
Если запускаю tcpdump –i eth0 port 500 то выводит следующее:
12:02:23.106550 IP  tkural.ru.isakmp >  trans.ru.isakmp: isakmp: phase 1 I ident
12:02:23.138497 IP  trans.ru.isakmp >  tkural.ru.isakmp: isakmp: phase 1 R ident
12:02:23.228056 IP  tkural.ru.isakmp >  trans.ru.isakmp: isakmp: phase 1 I ident[E]
12:02:31.228290 IP  tkural.ru.isakmp >  trans.ru.isakmp: isakmp: phase 1 I ident[E]
12:02:39.229080 IP  tkural.ru.isakmp >  trans.ru.isakmp: isakmp: phase 1 I ident[E]
12:02:43.232047 IP  trans.ru.isakmp >  tkural.ru.isakmp: isakmp: phase 1 R ident
12:02:43.277486 IP  tkural.ru.isakmp >  trans.ru.isakmp: isakmp: phase 1 I ident[E]
12:02:51.271638 IP  tkural.ru.isakmp >  trans.ru.isakmp: isakmp: phase 2/others I inf[E]
т.е. не переходит во вторую фазу. В чем проблема? Подскажите пожалуйста.

• Не поднимается vpn между Cisco и FreeBSD 7 IPSEC Tools...,Ash, 12:18 , 13-Авг-08
  • Не поднимается vpn между Cisco и FreeBSD 7 IPSEC Tools...,JVS, 13:44 , 13-Авг-08
    • Не поднимается vpn между Cisco и FreeBSD 7 IPSEC Tools...,Ash, 14:15 , 13-Авг-08
      • Не поднимается vpn между Cisco и FreeBSD 7 IPSEC Tools...,JVS, 13:24 , 16-Авг-08
        • Не поднимается vpn между Cisco и FreeBSD 7 IPSEC Tools...,JVS, 14:26 , 16-Авг-08
          • Не поднимается vpn между Cisco и FreeBSD 7 IPSEC Tools...,JVS, 15:54 , 16-Авг-08

покажи конфиги на кошаке и фрях.

>покажи конфиги на кошаке и фрях.

На кошаке какие конфиги не знаю... Там все правильно настроено, правда другим админом, точно такими же настройками работал прежний шлюз (прежний шлюз сломался :) и тем более там была фряха 4Х )

# $KAME: racoon.conf.in,v 1.18 2001/08/16 06:33:40 itojun Exp $

path include "/usr/local/etc/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
path certificate "/etc/ssh";
log debug2;
padding
{
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
}

# if no listen directive is specified, racoon will listen on all
# available interface addresses.
listen
{     #isakmp ::1 [7000];
        #isakmp 202.249.11.124 [500];
        #admin [7002];          # administrative port for racoonctl.
        #strict_address;        # requires that all addresses must be bound.
        isakmp 213.170.75.82 [500];
}

# Specify various default timers.
timer
{
        # These value can be changed per remote node.
        counter 5;              # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
        persend 1;              # the number of packets per send.

        # maximum time to wait for completing each phase.
        phase1 15 sec;
        phase2 30 sec;
}
remote anonymous
{
        exchange_mode main,aggressive;
        doi ipsec_doi;
        situation identity_only;

        #my_identifier asn1dn;
        my_identifier address;
        #certificate_type x509 "my.cert.pem" "my.key.pem";

        nonce_size 16;
        initial_contact on;
        lifetime time 3600 sec;
        proposal_check obey;    # obey, strict, or claim

        proposal {
                encryption_algorithm des;
                hash_algorithm sha1;
                authentication_method pre_shared_key; # rsasig
                dh_group 2;
        }
}

sainfo anonymous
{
        pfs_group 2;
        lifetime time 3600 sec;
        encryption_algorithm des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

>>покажи конфиги на кошаке и фрях.
>
>На кошаке какие конфиги не знаю... Там все правильно настроено, правда другим
>админом, точно такими же настройками работал прежний шлюз (прежний шлюз сломался
>:) и тем более там была фряха 4Х )
>
># $KAME: racoon.conf.in,v 1.18 2001/08/16 06:33:40 itojun Exp $
>
>path include "/usr/local/etc/racoon";

Если тока   конфа у тебя тут не прописана
то эта конфа у тя не рабочая.
см тут для начала.

http://www.opennet.me/base/net/ipsec_linux_pix.txt.html

>[оверквотинг удален]
>>
>># $KAME: racoon.conf.in,v 1.18 2001/08/16 06:33:40 itojun Exp $
>>
>>path include "/usr/local/etc/racoon";
>
>Если тока   конфа у тебя тут не прописана
>то эта конфа у тя не рабочая.
>см тут для начала.
>
>http://www.opennet.me/base/net/ipsec_linux_pix.txt.html

А нужно ли включить опцию options IPFIREWALL_FORWARD для того чтоб заработал racoon VPN. Может из=за этого не работает VPN?

>[оверквотинг удален]
>>>path include "/usr/local/etc/racoon";
>>
>>Если тока   конфа у тебя тут не прописана
>>то эта конфа у тя не рабочая.
>>см тут для начала.
>>
>>http://www.opennet.me/base/net/ipsec_linux_pix.txt.html
>
>А нужно ли включить опцию options IPFIREWALL_FORWARD для того чтоб заработал racoon
>VPN. Может из=за этого не работает VPN?

Точно такая же конфигурация работает на двух серверах...
Где мне копать? Почему во вторую фазу не переходит? Настройки файрволла правильные, так первая фаза устанавливается ведь.

>[оверквотинг удален]
>>>см тут для начала.
>>>
>>>http://www.opennet.me/base/net/ipsec_linux_pix.txt.html
>>
>>А нужно ли включить опцию options IPFIREWALL_FORWARD для того чтоб заработал racoon
>>VPN. Может из=за этого не работает VPN?
>
>Точно такая же конфигурация работает на двух серверах...
>Где мне копать? Почему во вторую фазу не переходит? Настройки файрволла правильные,
>так первая фаза устанавливается ведь.

Подскажите что означает следующее сообщение ?
2008-08-16 18:03:51: DEBUG: invalid length of payload