Привет народ, вот начал ставить тунель на Фри-хах, версия 6.0, траблы такие что сам врубиться немогу...
Настройки на обоих машинах одинаковые. Что делать???rc.conf-----------------------------------------------------------------------
defaultrouter="10.220.138.1"
gateway_enable="YES"
hostname="router.vostok.tj"
ifconfig_sis0="inet 10.220.138.220 netmask 255.255.255.0"
ifconfig_xl0="inet 192.168.10.110 netmask 255.255.255.0"
linux_enable="YES"
usbd_enable="NO"
firewall_enable="YES"
firewall_type="OPEN"
firewall_logging="YES"
natd_enable="YES"
natd_interface="sis0"
sshd_enable="YES"
racoon_enable="YES"
racoon_flags="-l /var/log/racoon.log"gif_interfaces="gif0"
gifconfig_gif0="10.220.138.220 10.220.138.221"
ifconfig_gif0="inet 192.168.10.110 192.168.2.110 netmask 255.255.255.0"
static_route="vpn"
route_vpn="192.168.2.0/24 192.168.2.110"
export route_vpn#IPsec
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
named_enable="YES"IPSec.conf---------------------------------------------------------------------
Машина 1 (10.220.138.220-внеш, 192.168.10.110)
flush;
spdflush;
spdadd 192.168.10.0/24 192.168.2.0/24 ipencap -P in ipsec
esp/tunnel/10.220.138.220-10.220.138.221/require;
spdadd 192.168.2.0/24 192.168.10.0/24 ipencap -P out ipsec
esp/tunnel/10.220.138.221-10.220.138.220/require;Машина 2 (10.220.138.221-внеш, 192.168.2.110)
flush;
spdflush;
spdadd 192.168.2.0/24 192.168.10.0/24 any -P in ipsec
esp/tunnel/10.220.138.221-10.220.138.220/require;
spdadd 192.168.10.0/24 192.168.2.0/24 any -P out ipsec
esp/tunnel/10.220.138.220-10.220.138.221/require;Вот тут то и оно... по теории в этих правилах In должен стоять вместо Out, но когда ставлю наоборот ничего не ходит, уже перепробовал кучу конфигов один чёрт...
Racoon.conf-------------------------------------------------------------------------
# search this file for pre_shared_key with various ID key.
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;# "log" specifies logging level. It is followed by either "notify", "debug"
# or "debug2".
log notify;# if no listen directive is specified, racoon will listen to all
# available interface addresses.
listen
{
isakmp 10.220.138.221 [500];
}# Specification of default various timer.
timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per a send.# timer for waiting to complete each phase.
phase1 60 sec;
phase2 60 sec;
}
remote anonymous
{
exchange_mode main;
lifetime time 600 sec;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 1;
}
}sainfo anonymous
{
lifetime time 600 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate ;
}Что бы там нибыло ракуун ничего не криптует, вот лог...
2006-09-28 18:54:26: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2006-09-28 18:54:26: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2006-09-28 18:54:27: INFO: 10.220.138.220[500] used as isakmp port (fd=6)
2006-09-28 18:58:20: INFO: caught signal 15
2006-09-28 18:58:21: INFO: racoon shutdown
2006-09-28 18:59:29: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2006-09-28 18:59:29: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2006-09-28 18:59:29: INFO: 10.220.138.220[500] used as isakmp port (fd=6)
2006-09-28 19:03:40: INFO: unsupported PF_KEY message REGISTER
2006-09-28 19:04:34: INFO: caught signal 15
2006-09-28 19:04:35: INFO: racoon shutdown
2006-09-28 19:05:34: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2006-09-28 19:05:34: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2006-09-28 19:05:34: INFO: 10.220.138.220[500] used as isakmp port (fd=6)
2006-09-28 19:13:12: INFO: caught signal 15
2006-09-28 19:13:13: INFO: racoon shutdown
2006-09-28 19:14:10: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2006-09-28 19:14:10: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2006-09-28 19:14:11: INFO: 10.220.138.220[500] used as isakmp port (fd=6)
2006-09-28 19:21:39: INFO: caught signal 15
2006-09-28 19:21:40: INFO: racoon shutdown
2006-09-28 19:22:38: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2006-09-28 19:22:39: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2006-09-28 19:22:39: INFO: 10.220.138.220[500] used as isakmp port (fd=6)
2006-09-28 19:26:17: INFO: caught signal 15
2006-09-28 19:26:18: INFO: racoon shutdown
2006-09-28 19:27:22: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2006-09-28 19:27:22: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2006-09-28 19:27:22: INFO: 10.220.138.220[500] used as isakmp port (fd=6)
2006-09-28 19:29:29: INFO: caught signal 15
2006-09-28 19:29:30: INFO: racoon shutdown
2006-09-28 19:30:30: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2006-09-28 19:30:30: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2006-09-28 19:30:30: INFO: 10.220.138.220[500] used as isakmp port (fd=6)
> sainfo anonymous
>{
вот здесь добавь pfs_group 1;
> lifetime time 600 sec;
> encryption_algorithm 3des;
> authentication_algorithm hmac_md5;
> compression_algorithm deflate ;
>}Буквально вчера победил такую же связку между 4.10 и 5.3. Но проблема была не только в этом.
>> sainfo anonymous
>>{
>вот здесь добавь pfs_group 1;
>> lifetime time 600 sec;
>> encryption_algorithm 3des;
>> authentication_algorithm hmac_md5;
>> compression_algorithm deflate ;
>>}
>
>Буквально вчера победил такую же связку между 4.10 и 5.3. Но проблема
>была не только в этом.а как быть с настройками IPSec ? это надо пробовать с работающим айписеком, подскажите....
>>> sainfo anonymous
>>>{
>>вот здесь добавь pfs_group 1;
>>> lifetime time 600 sec;
>>> encryption_algorithm 3des;
>>> authentication_algorithm hmac_md5;
>>> compression_algorithm deflate ;
>>>}
>>
>>Буквально вчера победил такую же связку между 4.10 и 5.3. Но проблема
>>была не только в этом.
>
>а как быть с настройками IPSec ? это надо пробовать с работающим
>айписеком, подскажите....
Ракун пишет:
2006-09-30 20:03:54: INFO: IPsec-SA established: ESP/Tunnel 10.220.138.221[0]->10.220.138.220[0] spi=84038987(0x502554b)
2006-09-30 20:03:54: DEBUG: ===
2006-09-30 20:04:20: DEBUG: caught rtm:14, need update interface address list
2006-09-30 20:04:36: DEBUG: caught rtm:14, need update interface address listКогда меняю IN на OUT в настройках айписека но трафика нет, может где то блокируется трафик?
>>>> sainfo anonymous
>>>>{
>>>вот здесь добавь pfs_group 1;
>>>> lifetime time 600 sec;
>>>> encryption_algorithm 3des;
>>>> authentication_algorithm hmac_md5;
>>>> compression_algorithm deflate ;
>>>>}
>>>
>>>Буквально вчера победил такую же связку между 4.10 и 5.3. Но проблема
>>>была не только в этом.
>>
>>а как быть с настройками IPSec ? это надо пробовать с работающим
>>айписеком, подскажите....
>
>
>Ракун пишет:
>2006-09-30 20:03:54: INFO: IPsec-SA established: ESP/Tunnel 10.220.138.221[0]->10.220.138.220[0] spi=84038987(0x502554b)
>2006-09-30 20:03:54: DEBUG: ===
>2006-09-30 20:04:20: DEBUG: caught rtm:14, need update interface address list
>2006-09-30 20:04:36: DEBUG: caught rtm:14, need update interface address list
>
>Когда меняю IN на OUT в настройках айписека но трафика нет, может
>где то блокируется трафик?Динозавры и то вымирали медленнее!!!!! Люди, откликнитесь!!!!
Правильно _должно_ быть всеравно так:spdadd ТВОЯ_СЕТЬ/24 УДАЛЕННАЯ_СЕТЬ/24 any -P out ipsec
esp/tunnel/ТВОЙ_ВНЕШНИЙ_IP-УДАЛЕННЫЙ_ВНЕШНИЙ_IP/require;
spdadd УДАЛЕННАЯ_СЕТЬ/24 ТВОЯ_СЕТЬ/24 any -P in ipsec
esp/tunnel/УДАЛЕННЫЙ_ВНЕШНИЙ_IP-ТВОЙ_ВНЕШНИЙ_IP/require;причем это две строки (хотя хавает и так - концом строки считает ";" )
исправь это, потом нужно применить политики IPSEC
#setkey -f /etc/ipsec.conf (или где файл с политиками)
проверить файрволы, проходит ли между машинами esp протокол (50)
и udp[500]если не поможет - попробуй,после применения политики,
удалить гиф-ифейсы и пересоздать заново
на обоих шлюзах туннельifconfig gif0 destroy
ifconfig gif0 create
ifconfig gif0 tunnel ТВОЙ_ВНЕШНИЙ_IP УДАЛЕННЫЙ_ВНЕШНИЙ_IP
ifconfig gif0 inet ТВОЙ_ВНУТР_IP УДАЛ_ВНУТР_IP netmask 255.255.255.255
route add -net УДАЛ_СЕТЬ/24 УДАЛ_ВНУТР_IP
на другом шлюзе соотв. зеркально всеPS. (FreeBSD 5.5 STABLE) Были похожие грабли, этим решилось, ну и конфа ракуна на обоих концах
должна иметь одинаковие методы аутентификации-шифрования, время жизни ключей,
группу сложности ключа или как она там называетсятакже нужно убедится в наличие одинакового шейред_кея в psk.txt
Пасибки Андрюша, я решил траблу но вот теперь ни с того ни с сего валится тунель, пока разбираю грабли.... есль будет трудняк выложу на форуме, спасибо!>
>Правильно _должно_ быть всеравно так:
>
>spdadd ТВОЯ_СЕТЬ/24 УДАЛЕННАЯ_СЕТЬ/24 any -P out ipsec
>esp/tunnel/ТВОЙ_ВНЕШНИЙ_IP-УДАЛЕННЫЙ_ВНЕШНИЙ_IP/require;
>spdadd УДАЛЕННАЯ_СЕТЬ/24 ТВОЯ_СЕТЬ/24 any -P in ipsec
>esp/tunnel/УДАЛЕННЫЙ_ВНЕШНИЙ_IP-ТВОЙ_ВНЕШНИЙ_IP/require;
>
>причем это две строки (хотя хавает и так - концом строки считает
>";" )
>
>исправь это, потом нужно применить политики IPSEC
>
>#setkey -f /etc/ipsec.conf (или где файл с политиками)
>
>проверить файрволы, проходит ли между машинами esp протокол (50)
>и udp[500]
>
>если не поможет - попробуй,после применения политики,
>удалить гиф-ифейсы и пересоздать заново
>на обоих шлюзах туннель
>
>ifconfig gif0 destroy
>ifconfig gif0 create
>ifconfig gif0 tunnel ТВОЙ_ВНЕШНИЙ_IP УДАЛЕННЫЙ_ВНЕШНИЙ_IP
>ifconfig gif0 inet ТВОЙ_ВНУТР_IP УДАЛ_ВНУТР_IP netmask 255.255.255.255
>route add -net УДАЛ_СЕТЬ/24 УДАЛ_ВНУТР_IP
>на другом шлюзе соотв. зеркально все
>
>PS. (FreeBSD 5.5 STABLE) Были похожие грабли, этим решилось, ну и конфа
>ракуна на обоих концах
>должна иметь одинаковие методы аутентификации-шифрования, время жизни ключей,
>группу сложности ключа или как она там называется
>
>также нужно убедится в наличие одинакового шейред_кея в psk.txt