Всем доброго дня.
Есть проблема котору никак не могу решить и видать просто что то пропустил. Но сам увидеть ошибку не могу. Потому решил попросить Вас посмотреть на конфиг и подсказать где я туплю!И так задача: Есть сервак в WAN зоне и есть Cisco которая прокидывает пакеты во внутреннею сеть.
1.Подымаем GRE туннель на обоих устройствах. Здесь проблем нету и все пашет нормально.
2.Теперь подымаем IPSEC! И тут начинаются приколы. (Iptables отключен )Если первым делает запрос Linux то Cisco выдает ошибку:
Dec 1 08:20:29: %CRYPTO-6-IKMP_MODE_FAILURE: Processing of Quick mode failed wi
th peer at 10.1.0.2И вот что пишет Linux:
Mar 22 10:32:18 debian racoon: ERROR: fatal NO-PROPOSAL-CHOSEN notify messsage, phase1 should be deleted.
Mar 22 10:32:18 debian racoon: ERROR: Message: '4 u` : uc 8 m3 '.
Mar 22 10:32:33 debian racoon: ERROR: 10.1.0.1 give up to get IPsec-SA due to time up to wait.
А если наоборот Cisco является инициатором, то шифрование начинает работать.И вот вопрос почему так и где ошибка в конфиге???
Конфиг Cisco:
!
! Last configuration change at 08:18:01 KIEV Sat Nov 28 2009
!
version 12.3
service timestamps debug datetime msec localtime
service timestamps log datetime localtime
service password-encryption
!
hostname el
!
boot-start-marker
boot-end-marker
!
logging buffered 4096 debugging
!
memory-size iomem 20
clock timezone KIEV 2
clock summer-time KIEV recurring last Sun Mar 3:00 last Sun Oct 4:00
mmi polling-interval 60
no mmi auto-configure
no mmi pvc
mmi snmp-timeout 180
voice-card 2
!
no aaa new-model
ip subnet-zero
ip cef
!
!
!
no ip domain lookup
ip domain name el
ip audit po max-events 100
no ftp-server write-enable
!
!
voice call carrier capacity active
!
!
!
!
!
!
!
!
!
!
!
username cisco secret 5 $1$DDRH$ZTvrjWxnNQok8KI2.41vj1
!
!
crypto isakmp policy 50
encr 3des
authentication pre-share
group 2
crypto isakmp key superkey address 0.0.0.0 0.0.0.0
crypto isakmp keepalive 120
!
!
crypto ipsec transform-set VPN_linux esp-3des esp-sha-hmac
!
crypto map VPN_IP_VPN 10 ipsec-isakmp
set peer 10.1.0.2
set transform-set VPN_linux
set pfs group2
match address 151
!
!
interface Tunnel1
bandwidth 384
ip address 192.168.100.1 255.255.255.0
ip mtu 1400
tunnel source Ethernet1/0
tunnel destination 10.1.0.2
crypto map VPN_IP_VPN
!
!
!
interface Ethernet1/0
ip address 10.1.0.1 255.255.255.0
half-duplex
crypto map VPN_IP_VPN
!
!
ip classless
ip route 192.168.100.0 255.255.255.0 10.1.0.2
!
no ip http server
no ip http secure-server
!
!
access-list 151 permit gre host 10.1.0.1 host 10.1.0.2
access-list 151 permit gre host 10.1.0.2 host 10.1.0.1
!
endКонфиг Linux:
Файл psk.txt
# IPv4/v6 addresses
10.1.0.1 superkeyФайл racoon.conf
# $KAME: racoon.conf.in,v 1.18 2001/08/16 06:33:40 itojun Exp $path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
log notify;padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
listen
{
#isakmp ::1 [7000];
isakmp 10.1.0.2 [500];
#admin [7002]; # administrative port for racoonctl.
#strict_address; # requires that all addresses must be bound.
}timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per send.# maximum time to wait for completing each phase.
phase1 30 sec;
phase2 15 sec;
}
#remote anonymous
remote 10.1.0.1
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;my_identifier address 10.1.0.2;
#certificate_type x509 "my.cert.pem" "my.key.pem";nonce_size 16;
initial_contact on;
proposal_check obey; # obey, strict, or claimproposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
#sainfo address 10.1.0.2 any address 10.1.0.1 any
{
pfs_group 2;
lifetime time 30 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}Файл ipsec-tools.conf
#!/usr/sbin/setkey -fflush;
spdflush;spdadd 10.1.0.2 10.1.0.1 any -P out ipsec esp/tunnel/10.1.0.2-10.1.0.1/require;
spdadd 10.1.0.1 10.1.0.2 any -P in ipsec esp/tunnel/10.1.0.1-10.1.0.2/require;
Прювет.
На циске ты намудрил. На линуксе не скажу.Есть у меня хароший ман, как должен выглядеть конф со стороны циско.
Куда скинуть?
>Прювет.
>
>На циске ты намудрил. На линуксе не скажу.
>
>Есть у меня хароший ман, как должен выглядеть конф со стороны циско.
>
>
>Куда скинуть?можно сюда mordor_war@ukr.net
вот это зачем?
ip route 192.168.100.0 255.255.255.0 10.1.0.2туннель сделайте с маской /30
и дайте адреса не из сети, которая за тунелью с той стороны.и
ip ro add 192.168.0.0 255.255.255.0 tun1а то у вас маршрут на эту сеть вообще странно идет, а учитывая то что в ACL у Вас только gre разрешено, то непонятно как вообще работает такой маршрут.
>[оверквотинг удален]
>туннель сделайте с маской /30
>и дайте адреса не из сети, которая за тунелью с той стороны.
>
>
>и
>ip ro add 192.168.0.0 255.255.255.0 tun1
>
>а то у вас маршрут на эту сеть вообще странно идет, а
>учитывая то что в ACL у Вас только gre разрешено, то
>непонятно как вообще работает такой маршрут.всем спасибо! разобрался. Помогла пере прошивка нового IOS на Циске.