URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID10
Нить номер: 3480
[ Назад ]

Исходное сообщение
"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"

Отправлено darchik , 04-Окт-07 08:39 
Доброго времени суток!

Ситуация такая что по ИПСеку с помощью Ракуна завязывается два ФриБСД.
Конфиги идентичны, с такими же конфигами работают другие сервера.


path include "/usr/local/etc/racoon";

path pre_shared_key "/usr/local/etc/racoon/psk.txt";

log debug2;

# "padding" defines some padding parameters.  You should not touch these.
padding
{
    maximum_length 20;    # maximum padding length.
    randomize off;        # enable randomize length.
    strict_check off;    # enable strict check.
    exclusive_tail off;    # extract last one octet.
}

# if no listen directive is specified, racoon will listen on all
# available interface addresses.
listen
{
    #isakmp ::1 [7000];
    #isakmp 192.168.1.24 [500];
    #admin [7002];        # administrative port for racoonctl.
    #strict_address;     # requires that all addresses must be bound.
    isakmp хх.хх.хх.хх[500];
}

# Specify various default timers.
timer
{
    # These value can be changed per remote node.
    counter 10;        # maximum trying count to send.
    interval 50 sec;    # maximum interval to resend.
    persend 1;        # the number of packets per send.

    # maximum time to wait for completing each phase.
    phase1 50 sec;
    phase2 30 sec;
}

remote уу.уу.уу.уу[500]
{
    exchange_mode main,base;
    doi ipsec_doi;
    situation identity_only;
    lifetime time 30 min;
    support_mip6 on;
    nonce_size 256;
    support_mip6 on;
    initial_contact on;
    proposal_check obey;    # obey, strict, or claim

    proposal {
        encryption_algorithm blowfish;
        hash_algorithm sha1;
        authentication_method pre_shared_key;
        dh_group 2;
    }
}

    sainfo address 192.168.0.0/24 any address 192.168.60.0/24 any
{
    pfs_group 1;
    lifetime time 30 min;
    encryption_algorithm blowfish;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate;
}

remote уу.уу.уу.уу[500]
{
        exchange_mode main,base;
        doi ipsec_doi;
        situation identity_only;
        lifetime time 30 min;
        support_mip6 on;
        nonce_size 256;
        support_mip6 on;
        initial_contact on;
        proposal_check obey;    # obey, strict, or claim

        proposal {
                encryption_algorithm blowfish;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2;
        }
}

        sainfo address 192.168.0.0/24 any address 192.168.63.0/24 any
{
        pfs_group 1;
        lifetime time 30 min;
        encryption_algorithm blowfish;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

Филе psk.txt тоже идентичны.

yy.yy.yy.yy               passsword

ipsec.conf на серверах зеркальны.

flush;
spdflush;

spdadd 192.168.64.0/24 192.168.60.0/24 any -P out ipsec esp/tunnel/xx.xx.xx.xx-yy.yy.yy.yy/require;
spdadd 192.168.60.0/24 192.168.64.0/24 any -P in ipsec esp/tunnel/yy.yy.yy.yy-xx.xx.xx.xx/require;

spdadd 192.168.64.0/24 192.168.63.0/24 any -P out ipsec esp/tunnel/xx.xx.xx.xx-yy.yy.yy.yy/require;
spdadd 192.168.63.0/24 192.168.64.0/24 any -P in ipsec esp/tunnel/yy.yy.yy.yy-xx.xx.xx.xx/require;

в рк.конф гиф поднят.

gifconfig_gif0="192.168.46.71 192.168.41.34"
ifconfig_gif0="inet 192.168.64.5 192.168.60.1 netmask 255.255.255.0"

Но, не давно поднимая сервер появилась какая то ошибка, про которую в инете не смог найти инфу, может спецы знают что это такое и подскажут как ее побороть.

В логах показывает следующее:

Oct  4 04:12:11 racoon: DEBUG: hmac(hmac_sha1)
Oct  4 04:12:11 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=633): 0.000045
Oct  4 04:12:11 racoon: DEBUG: hmac(hmac_sha1)
Oct  4 04:12:11 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=633): 0.000042
Oct  4 04:12:11 racoon: DEBUG:  cf39cc7b 0baea584 f1d5243b 763f7064 c68d18f3 0cf82224 9e2b9ece c1d4f480 aa8469d1 379cda54 f2cb9c27 43ec364a c45f2a9e 44afb4
Oct  4 04:12:11 racoon: DEBUG: KEYMAT compute with
Oct  4 04:12:11 racoon: DEBUG:  044e5584 9cd8db28 316b8e42 e490750a 7d782b8c 281fdea8 471ce1a7 c2674cfd b38f715f 580c7436 57a10bb9 feee94f4 0050ba0c a167f3
Oct  4 04:12:11 racoon: DEBUG: hmac(hmac_sha1)
Oct  4 04:12:11 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=613): 0.000065
Oct  4 04:12:11 racoon: DEBUG: encryption(blowfish)
Oct  4 04:12:11 racoon: DEBUG: hmac(hmac_sha1)
Oct  4 04:12:11 racoon: DEBUG: encklen=128 authklen=160
Oct  4 04:12:11 racoon: DEBUG: generating 480 bits of key (dupkeymat=3)
Oct  4 04:12:11 racoon: DEBUG: generating K1...K3 for KEYMAT.
Oct  4 04:12:11 racoon: DEBUG: hmac(hmac_sha1)
Oct  4 04:12:11 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=633): 0.000047
Oct  4 04:12:11 racoon: DEBUG: hmac(hmac_sha1)
Oct  4 04:12:11 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=633): 0.000043
Oct  4 04:12:11 racoon: DEBUG:  58efdef9 0cc54229 f3ae7495 589403e1 28bf816c 1975c6bb bd62558f e83b7727 fbbea385 0071f5fb e2d36e07 2d757ff9 f71214b4 53ced0
Oct  4 04:12:11 racoon: DEBUG: KEYMAT computed.
Oct  4 04:12:11 racoon: DEBUG: call pk_sendupdate
Oct  4 04:12:11 racoon: DEBUG: encryption(blowfish)
Oct  4 04:12:11 racoon: DEBUG: hmac(hmac_sha1)
Oct  4 04:12:11 racoon: DEBUG: call pfkey_send_update
Oct  4 04:12:11 racoon: DEBUG: pfkey update sent.
Oct  4 04:12:11 racoon: DEBUG: encryption(blowfish)_sha1 size=613): 0.000065
Oct  4 04:12:11 racoon: DEBUG: hmac(hmac_sha1)fish)
Oct  4 04:12:11 racoon: DEBUG: call pfkey_send_add
Oct  4 04:12:11 racoon: DEBUG: pfkey add sent.hklen=160
Oct  4 04:12:11 racoon: phase2(???): 0.018168 bits of key (dupkeymat=3)
Oct  4 04:12:11 racoon: DEBUG: get pfkey UPDATE messageEYMAT.
Oct  4 04:12:11 racoon: DEBUG2:  02020203 1b000000 c8c572a0 b3030000 02000100 076dc32c 04000307 00000000 02001300 00000000 00000000 00000000 03000500 ff200
Oct  4 04:12:11 racoon: ERROR: pfkey UPDATE failed: No such file or directory
Oct  4 04:12:11 racoon: DEBUG: get pfkey ADD message
Oct  4 04:12:11 racoon: DEBUG2:  02030003 14000000 c8c572a0 b3030000 02000100 08399e1a 04000307 00000000 02001300 00000000 00000000 00000000 03000500 ff200
Oct  4 04:12:11 racoon: INFO: IPsec-SA established: ESP xx.xx.xx.xx[0]->yy.yy.yy.yy[0] spi=137993754(0x8399e1a)1f5fb e2d36e07 2d757ff9 f71214b4 53ced0
Oct  4 04:12:11 racoon: DEBUG: ===MAT computed.
Oct  4 04:12:40 racoon: ERROR: yy.yy.yy.yy give up to get IPsec-SA due to time up to wait.

Вроде все идет нормально, но соединение не устанавливается.
А ошибка уоторая мне нозит вот эта:

Oct  4 04:12:11 racoon: ERROR: pfkey UPDATE failed: No such file or directory

Заранее благодарен за любую помощь.


Да, еще забыл сказать на psk.txt и racoon.conf права и пользователь выставлены как надо.


Содержание

Сообщения в этом обсуждении
"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"
Отправлено Boris Polevoy , 04-Окт-07 12:19 
>Вроде все идет нормально, но соединение не устанавливается.
>А ошибка уоторая мне нозит вот эта:
>
>Oct  4 04:12:11 racoon: ERROR: pfkey UPDATE failed: No such file
>or directory
>

Эта ошибка к файлам отношения не имеет, ENOENT здесь выдает PFKEY, причем это может происходить в различных ситуациях, но в основном, если не найдена соответствующая SA при обработке запроса.

Посмотри логи другой стороны, т.к. ошибка происходит по таймауту в 30 сек.


"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"
Отправлено darchik , 04-Окт-07 14:33 
>[оверквотинг удален]
>>Oct  4 04:12:11 racoon: ERROR: pfkey UPDATE failed: No such file
>>or directory
>>
>
>Эта ошибка к файлам отношения не имеет, ENOENT здесь выдает PFKEY, причем
>это может происходить в различных ситуациях, но в основном, если не
>найдена соответствующая SA при обработке запроса.
>
>Посмотри логи другой стороны, т.к. ошибка происходит по таймауту в 30 сек.
>

С другой стороны, вроде как всё ок. Вот что пишет это кусочек лога, т.к. на этой машине около 30 соединений, весь лог скидывать подумал не целесобразно.

Oct  4 15:13:19 gw racoon: DEBUG:  bd7eb30d 86403591 0539af88 1ccd6601 6ae75589 3a394ca4 8816a042 19507480 8aaa63c9 537af123 7a58158b 15d1712b d0e42d8c aaa7ff70
Oct  4 15:13:19 gw racoon: DEBUG: KEYMAT compute with
Oct  4 15:13:19 gw racoon: DEBUG:  25ff459c 804b75f2 8081e118 5aeec9ce 5071f46e 3a64a85c b9377a98 e9741f71 1561660b bf3c789f 91f0f36b bb07c516 a29c1fd4 b0a52299
Oct  4 15:13:19 gw racoon: DEBUG: hmac(hmac_sha1)
Oct  4 15:13:19 gw racoon: DEBUG: encryption(blowfish)
Oct  4 15:13:19 gw racoon: DEBUG: hmac(hmac_sha1)
Oct  4 15:13:19 gw racoon: DEBUG: encklen=128 authklen=160
Oct  4 15:13:19 gw racoon: DEBUG: generating 480 bits of key (dupkeymat=3)
Oct  4 15:13:19 gw racoon: DEBUG: generating K1...K3 for KEYMAT.
Oct  4 15:13:19 gw racoon: DEBUG: hmac(hmac_sha1)
Oct  4 15:13:19 gw racoon: DEBUG: hmac(hmac_sha1)
Oct  4 15:13:19 gw racoon: DEBUG:  1e63b12a f417562f 22cfd2cc e7d174d4 8385c36e cc9c707d 60d2a4fc 0bb05f50 472048e0 9facb2f8 3255b043 b6789614 7dc2a2fa 7225ea56
Oct  4 15:13:19 gw racoon: DEBUG: KEYMAT computed.
Oct  4 15:13:19 gw racoon: DEBUG: call pk_sendupdate
Oct  4 15:13:19 gw racoon: DEBUG: encryption(blowfish)
Oct  4 15:13:19 gw racoon: DEBUG: hmac(hmac_sha1)
Oct  4 15:13:19 gw racoon: DEBUG: call pfkey_send_update
Oct  4 15:13:19 gw racoon: DEBUG: pfkey update sent.
Oct  4 15:13:19 gw racoon: DEBUG: encryption(blowfish)
Oct  4 15:13:19 gw racoon: DEBUG: hmac(hmac_sha1)
Oct  4 15:13:19 gw racoon: DEBUG: call pfkey_send_add
Oct  4 15:13:19 gw racoon: DEBUG: pfkey add sent.
Oct  4 15:13:19 gw racoon: DEBUG: get pfkey UPDATE message
Oct  4 15:13:19 gw racoon: DEBUG2:  02020003 14000000 8fa04e99 b0060000 02000100 025b0b07 04000307 00000000 02001300 02000000 00000000 00000000 03000500 ff200000
Oct  4 15:13:19 gw racoon: DEBUG: pfkey UPDATE succeeded: ESP/Tunnel xx.xx.xx.xx[0]->yy.yy.yy.yy[0] spi=39521031(0x25b0b07)
Oct  4 15:13:19 gw racoon: INFO: IPsec-SA established: ESP/Tunnel xx.xx.xx.xx[0]->yy.yy.yy.yy[0] spi=39521031(0x25b0b07)
Oct  4 15:13:19 gw racoon: DEBUG: ===
Oct  4 15:13:19 gw racoon: DEBUG: get pfkey ADD message
Oct  4 15:13:19 gw racoon: DEBUG2:  02030003 14000000 8fa04e99 b0060000 02000100 0edc6718 04000307 00000000 02001300 02000000 00000000 00000000 03000500 ff200000
Oct  4 15:13:19 gw racoon: INFO: IPsec-SA established: ESP/Tunnel yy.yy.yy.yy[0]->xx.xx.xx.xx[0] spi=249325336(0xedc6718)
Oct  4 15:13:19 gw racoon: DEBUG: ===


"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"
Отправлено darchik , 05-Окт-07 11:58 
>[оверквотинг удален]
>>Oct  4 04:12:11 racoon: ERROR: pfkey UPDATE failed: No such file
>>or directory
>>
>
>Эта ошибка к файлам отношения не имеет, ENOENT здесь выдает PFKEY, причем
>это может происходить в различных ситуациях, но в основном, если не
>найдена соответствующая SA при обработке запроса.
>
>Посмотри логи другой стороны, т.к. ошибка происходит по таймауту в 30 сек.
>

интересный факт:

xxx# setkey -D
xx.xx.xx.xx yy.yy.yy.yy
        esp mode=any spi=215783465(0x0cdc9829) reqid=0(0x00000000)
        E: blowfish-cbc  b0373e94 4b1a09ba b6f868e4 3bb64e57
        A: hmac-sha1  12fe4cee 64fab2db 3f880bd3 9aa60778 63d644a3
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Oct  5 07:47:41 2007   current: Oct  5 07:49:00 2007
        diff: 79(s)     hard: 1800(s)   soft: 1440(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=0 pid=973 refcnt=1

на другой стороне:
yyy# setkey -D
yy.yy.yy.yy xx.xx.xx.xx
        esp mode=tunnel spi=74636833(0x0472de21) reqid=0(0x00000000)
        E: blowfish-cbc  e50861b4 a51861d8 1e15d73c 56761bd0
        A: hmac-sha1  87c13634 a9b414bb cf4a4517 b500788a 27446ee4
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Oct  5 13:51:25 2007   current: Oct  5 13:55:15 2007
        diff: 230(s)    hard: 1800(s)   soft: 1440(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=14 pid=1559 refcnt=1
yy.yy.yy.yy xx.xx.xx.xx
        esp mode=tunnel spi=95890723(0x05b72d23) reqid=0(0x00000000)
        E: blowfish-cbc  1835fd5a c9adc2dc 7aa0ec9c 48baf131
        A: hmac-sha1  c3f9ea87 225ed4a2 1058e80b 77cc069c b27036a6
        seq=0x00000343 replay=4 flags=0x00000000 state=dying
        created: Oct  5 13:27:24 2007   current: Oct  5 13:55:15 2007
        diff: 1671(s)   hard: 1800(s)   soft: 1440(s)
        last: Oct  5 13:55:15 2007      hard: 0(s)      soft: 0(s)
        current: 93520(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 835  hard: 0 soft: 0
        sadb_seq=13 pid=1559 refcnt=2
xx.xx.xx.xx yy.yy.yy.yy
        esp mode=tunnel spi=215783465(0x0cdc9829) reqid=0(0x00000000)
        E: blowfish-cbc  b0373e94 4b1a09ba b6f868e4 3bb64e57
        A: hmac-sha1  12fe4cee 64fab2db 3f880bd3 9aa60778 63d644a3
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Oct  5 13:51:25 2007   current: Oct  5 13:55:15 2007
        diff: 230(s)    hard: 1800(s)   soft: 1440(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=12 pid=1559 refcnt=1


На всё это дело смотрю и чувствую что что то не то, но доказать немогу
по моему во первых должно быть равное количество этих разделов
во вторых их должно быть четыре, не так ли? с чем это связано что такие различия?


"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"
Отправлено darchik , 17-Окт-07 15:46 
Люди, всем привет!

Ну очень нужна помощь. Может как то общими усилиями решим этот вопрос.
Уже месяц разглядываю конфиги, я их уже на зубок знаю, как отче наш.
В конфигах всё нормально, права правильно выставлены. SA записей не хватает, из-за чего не хватает не знаю, подскажите, я уже не знаю куда и что ковырят.
В чем здесь ошибка?????????????


"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"
Отправлено DenSha , 25-Окт-07 09:00 
А "setkey -PD"? А в ручную "setkey spdadd ... " добавляются?


"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"
Отправлено darchik , 28-Окт-07 09:30 
>А "setkey -PD"? А в ручную "setkey spdadd ... " добавляются?

setkey -DP отвечает:

192.168.60.0/24[any] 192.168.64.0/24[any] any
        in ipsec
        esp/tunnel/yy.yy.yy.yy-xx.xx.xx.xx/require
        created: Oct 27 17:01:29 2007  lastused: Oct 27 17:01:29 2007
        lifetime: 0(s) validtime: 0(s)
        spid=16388 seq=1 pid=19336
        refcnt=1
192.168.64.0/24[any] 192.168.60.0/24[any] any
        out ipsec
        esp/tunnel/xx.xx.xx.xx-yy.yy.yy.yy/require
        created: Oct 27 17:01:29 2007  lastused: Oct 31 11:15:24 2007
        lifetime: 0(s) validtime: 0(s)
        spid=16387 seq=0 pid=19336
        refcnt=2

Есть вопросик, чем отличается просто IPSEC от FAST_IPSEC и поможет ли это чем нибудь если пересобрать ядро со вторым?


"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"
Отправлено DenSha , 29-Окт-07 11:08 
Все это время полагаем, что ipfw имеет правила allow udp x.x.x.x 500 <-> y.y.y.y 500 и allow esp x.x.x.x <-> y.y.y.y, а конфиги racoon идентичны с зеркалированием "listen" и "remote"? Хорошо бы убедиться, что при попытках соединения пакеты в эти правила попадают...
Не знаю, как решить, но предлагаю попробовать: Во фрагменте
# Specify various default timers.
timer
{
    # These value can be changed per remote node.
    counter 10;        # maximum trying count to send.
    interval 50 sec;    # maximum interval to resend.
    persend 1;        # the number of packets per send.

    # maximum time to wait for completing each phase.
    phase1 50 sec;
    phase2 30 sec;
}
ИМХО, interval не должен превышать phaseN (у меня interval 20s /дефолт-10/, phase1/2 60s /дефолт-15и10/. И кстати: phase2 попадает на таймаут 30 сек, на который указывал Boris Polevoy)


"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"
Отправлено darchik , 29-Окт-07 16:32 
>ИМХО, interval не должен превышать phaseN (у меня interval 20s /дефолт-10/, phase1/2
>60s /дефолт-15и10/. И кстати: phase2 попадает на таймаут 30 сек, на
>который указывал Boris Polevoy)

ipfw открыт и на той и на другой стороне как allow ip from xx.xx.xx.xx to yy.yy.yy.yy
конфиги ракуна зеркалированы.
Важно это или нет не знаю, но два сервера сидят на разных провах. Спрашивал у провайдера, нет ли ограничения на какие либо протоколы, говорят что нет. По началу у прова состороны сервера уу.уу.уу.уу были закрыты пинги, после не долгих переговоров открыли.

Точ-в-точ стакими же конфигами работают многие сервера с сервером хх.хх.хх.хх.
Но всё равно сегодня ночью попробую phase2 сделать меньше 30 сек., но если это на самом деле из-за этого придется перебивать все сервера связанные с хх.хх.хх.хх.
Со стороны сервера хх.хх.хх.хх два прова, сегодня попробую и через другого.

И очень благодарен за советы :)


"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"
Отправлено darchik , 30-Окт-07 13:23 
>[оверквотинг удален]
>говорят что нет. По началу у прова состороны сервера уу.уу.уу.уу были
>закрыты пинги, после не долгих переговоров открыли.
>
>Точ-в-точ стакими же конфигами работают многие сервера с сервером хх.хх.хх.хх.
>Но всё равно сегодня ночью попробую phase2 сделать меньше 30 сек., но
>если это на самом деле из-за этого придется перебивать все сервера
>связанные с хх.хх.хх.хх.
>Со стороны сервера хх.хх.хх.хх два прова, сегодня попробую и через другого.
>
>И очень благодарен за советы :)

Пробывал ночью, нифига не получилось


"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"
Отправлено darchik , 30-Окт-07 21:06 
>[оверквотинг удален]
>>
>>Точ-в-точ стакими же конфигами работают многие сервера с сервером хх.хх.хх.хх.
>>Но всё равно сегодня ночью попробую phase2 сделать меньше 30 сек., но
>>если это на самом деле из-за этого придется перебивать все сервера
>>связанные с хх.хх.хх.хх.
>>Со стороны сервера хх.хх.хх.хх два прова, сегодня попробую и через другого.
>>
>>И очень благодарен за советы :)
>
>Пробывал ночью, нифига не получилось

УУУУУУУУУУУУУРРРРРРРРРРРРРРРРРАААААААААААААААААААААААА, люди!!!!!!!!!!!!!!!!!!!!!

НАШЕЛ в чем КОССЯК!!!!!!!!!!!!!!!!!!!!!

все легко и просто, ipsec-tools-0.6.6 не рабочий, поставил ipsec-tools-0.6.5 и всё заработало. Он оказывается просто по умолчанию выдает эту ошибку и не работает.

Всех благодарю за внимание, за помощь.


"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"
Отправлено bsd_admin , 03-Дек-07 06:51 
>[оверквотинг удален]
>
>УУУУУУУУУУУУУРРРРРРРРРРРРРРРРРАААААААААААААААААААААААА, люди!!!!!!!!!!!!!!!!!!!!!
>
>НАШЕЛ в чем КОССЯК!!!!!!!!!!!!!!!!!!!!!
>
>все легко и просто, ipsec-tools-0.6.6 не рабочий, поставил ipsec-tools-0.6.5 и всё заработало.
>Он оказывается просто по умолчанию выдает эту ошибку и не работает.
>
>
>Всех благодарю за внимание, за помощь.

Если кому интересно: у меня произошел схожий случай но дело оказалось не втом что ipsec-tools-0.6.6 не рабочий, а совершенно вдругом:
при сборке пакета надо было поотрубать всё лишнее - и всё заработало.
в конечном итоге параметры сборки установил следующие
                                                                      
_OPTIONS_READ=ipsec-tools-0.6.7                                                                                      
WITH_DEBUG=true
WITHOUT_ADMINPORT=true                                                                
WITHOUT_STATS=true                                                                
WITH_DPD=true                                                                      
WITHOUT_NATT=true
WITHOUT_NATTF=true
WITH_FRAG=true
WITHOUT_HYBRID=true
WITHOUT_PAM=true
WITHOUT_GSSAPI=true
WITHOUT_SAUNSPEC=true
WITHOUT_RC5=true
WITHOUT_IDEA=true


"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"
Отправлено Elight , 21-Дек-07 12:29 
Проблема, видимо, закопана где-то в NAT-traversal, так что вполне достаточно и таких ограничений:

>WITHOUT_NATT=true
>WITHOUT_NATTF=true


"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"
Отправлено Billy , 18-Фев-08 05:18 
>[оверквотинг удален]
>WITH_DPD=true
>WITHOUT_NATT=true
>WITHOUT_NATTF=true
>WITH_FRAG=true
>WITHOUT_HYBRID=true
>WITHOUT_PAM=true
>WITHOUT_GSSAPI=true
>WITHOUT_SAUNSPEC=true
>WITHOUT_RC5=true
>WITHOUT_IDEA=true

Это ж надо!!!!
5 часов непрерывного траха с параметрами конфигами и пр. (голова жутко заболела, захотелось плюнуть и поставить openbsd, который до этого стоял) и только потом вышел на эту тему, пересборка с вышенаписанными параметрами все решила.


"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"
Отправлено yolkov , 26-Май-08 16:14 
У меня такая же ошибка, но я хочу соединить по IPSEC CENTOS 5.1 и FREEBSD 6.3, это вообще возможно?

"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"
Отправлено VarLogvl , 06-Ноя-09 13:06 
>У меня такая же ошибка, но я хочу соединить по IPSEC CENTOS
>5.1 и FREEBSD 6.3, это вообще возможно?

конечно возможно. Если кому интересно - могу поделиться конфигами и соображениями. У меня работает замечательно


"IPSec Racoon FreeBSD 6.2 и не понятная ошибка"
Отправлено msv , 08-Июн-11 11:09 
>>У меня такая же ошибка, но я хочу соединить по IPSEC CENTOS
>>5.1 и FREEBSD 6.3, это вообще возможно?
> конечно возможно. Если кому интересно - могу поделиться конфигами и соображениями. У
> меня работает замечательно

подскажите как связать centos 5.5 и dlink di-804hv

Linux srvbackup.localdomain 2.6.18-194.el5 #1 SMP Fri Apr 2 14:58:14 EDT 2010 x86_64 x86_64 x86_64 GNU/Linux

ipsec-tools-0.6.5-14.el5_5.5


ifcfg-ipsec10

SRCGW=192.168.0.221
DSTGW=192.168.200.1
SRCNET=192.168.0.0/24
DSTNET=192.168.200.0/24
DST=10.10.10.9
TYPE=IPSEC
ONBOOT=yes
IKE_METHOD=PSK
IKE_DHGROUP=2
ESP_PROTO=des
AH_PROTO=md5
AESP_PROO=hmac-md5


d-link di-804hv
vpn тунель сделан мастером di-804hv

VPN Settings - Tunnel 1
Item                     Setting
Tunnel Name             Msk
Aggressive Mode     Enable
Local Subnet     192.168.200.0
Local Netmask     255.255.255.0
Remote Subnet     192.168.0.0
Remote Netmask     255.255.255.0
Remote Gateway     10.10.10.10

IKE Proposal index

1 gr2 des sha1 28800 sec
2 gr2 des md5 28800 sec
3 gr2 des sha1 28800 sec
4 gr2 des md5 28800 sec

IPSec Proposal index

1 none esp des sha1 3600 sec
2 none esp des md5 3600 sec
3 none esp des sha1 3600 sec
4 none esp des md5 3600 sec