Добрый день.
Чисто в образовательных целях пытаюсь создать IPSEC туннель
между машинами 172.18.18.102 и 172.18.18.206.Вот конфиги с машины 172.18.18.102.
# file for pre-shared keys used for IKE authentication
# format is: 'identifier' 'key'
# For example:
#
# 10.1.1.1 flibbertigibbet
# www.example.com 12345
# foo@www.example.com micropachycephalosaurus
172.18.18.206 pass12345# Racoon IKE daemon configuration file.
# See 'man racoon.conf' for a description of the format and entries.
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
#path certificate "/etc/racoon/certs";log debug;
remote 172.18.18.206
{
exchange_mode aggressive,main,base;
lifetime time 24 hour;
proposal
{
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}sainfo address 172.18.18.102 any address 172.18.18.206 any
{
pfs_group 2;
lifetime time 12 hour ;
encryption_algorithm 3des, blowfish 448l ;
authentication_algorithm hmac_sha1, hmac_md5 ;
compression_algorithm deflate ;
}На машине 172.18.18.206 подобный конфиг, только адреса наоборот.
Туннель не работает.
Вот кусок лога. В чем может быть дело?racoon: INFO: isakmp.c:1048:isakmp_ph2begin_r(): respond new phase 2 negotiation: 172.18.18.102[0]<=>172.18.18.206[0]
racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey UPDATE failed: No buffer space available
racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey ADD failed: No buffer space available
racoon: INFO: pfkey.c:1389:pk_recvexpire(): IPsec-SA expired: ESP/Tunnel 172.18.18.206->172.18.18.102 spi=1043980(0xfee0c)
racoon: WARNING: pfkey.c:1417:pk_recvexpire(): the expire message is received but the handler has not been established.
racoon: ERROR: pfkey.c:740:pfkey_timeover(): 172.18.18.206 give up to get IPsec-SA due to time up to wait.
racoon: INFO: isakmp.c:1048:isakmp_ph2begin_r(): respond new phase 2 negotiation: 172.18.18.102[0]<=>172.18.18.206[0]
racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey UPDATE failed: No buffer space available
racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey ADD failed: No buffer space available
racoon: INFO: pfkey.c:1389:pk_recvexpire(): IPsec-SA expired: ESP/Tunnel 172.18.18.206->172.18.18.102 spi=211126392(0xc958878)
racoon: WARNING: pfkey.c:1417:pk_recvexpire(): the expire message is received but the handler has not been established.
racoon: ERROR: pfkey.c:740:pfkey_timeover(): 172.18.18.206 give up to get IPsec-SA due to time up to wait.
racoon: INFO: isakmp.c:1048:isakmp_ph2begin_r(): respond new phase 2 negotiation: 172.18.18.102[0]<=>172.18.18.206[0]
racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey UPDATE failed: No buffer space available
racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey ADD failed: No buffer space available
Вот это как то нехорошо выглядит
> racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey UPDATE failed: No buffer space available
> racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey ADD failed: No buffer space availableМожет чтото с ядром или модулями. Попробуйте другое ядро.
> Вот это как то нехорошо выглядит
>> racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey UPDATE failed: No buffer space available
>> racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey ADD failed: No buffer space available
> Может чтото с ядром или модулями. Попробуйте другое ядро.Спасибо за совет.
А можно ли как-то посмотреть ядро собранно с поддержкой IPSEC или нет?
Или толко самому собирать другое ядро.
> Спасибо за совет.
> А можно ли как-то посмотреть ядро собранно с поддержкой IPSEC или нет?
> Или толко самому собирать другое ядро.Ну было бы намного проще вам помочь если бы вы написали что у вас за ось и что за ядро
>> Спасибо за совет.
>> А можно ли как-то посмотреть ядро собранно с поддержкой IPSEC или нет?
>> Или толко самому собирать другое ядро.
> Ну было бы намного проще вам помочь если бы вы написали что
> у вас за ось и что за ядроДистрибутив Mandrake Linux 10.0.3.3.2-6mdk
ядро 2.6.3-4mdk
>> Вот это как то нехорошо выглядит
>>> racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey UPDATE failed: No buffer space available
>>> racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey ADD failed: No buffer space available
>> Может чтото с ядром или модулями. Попробуйте другое ядро.
> Спасибо за совет.
> А можно ли как-то посмотреть ядро собранно с поддержкой IPSEC или нет?
> Или толко самому собирать другое ядро.В ядре судя по всему нет поддержки сокетов типа PF_KEY/AF_KEY.
Сделайте modprobe -l |grep af_key или попробуйте modprobe af_key.
А вообще, не плохо было знать версию ядра и дистрибутив
>>> Вот это как то нехорошо выглядит
>>>> racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey UPDATE failed: No buffer space available
>>>> racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey ADD failed: No buffer space available
>>> Может чтото с ядром или модулями. Попробуйте другое ядро.
>> Спасибо за совет.
>> А можно ли как-то посмотреть ядро собранно с поддержкой IPSEC или нет?
>> Или толко самому собирать другое ядро.
> В ядре судя по всему нет поддержки сокетов типа PF_KEY/AF_KEY.
> Сделайте modprobe -l |grep af_key или попробуйте modprobe af_key.
> А вообще, не плохо было знать версию ядра и дистрибутивДистрибутив Mandrake Linux 10.0.3.3.2-6mdk
ядро 2.6.3-4mdk
>[оверквотинг удален]
>>>>> racoon: ERROR: pfkey.c:209:pfkey_handler(): pfkey ADD failed: No buffer space available
>>>> Может чтото с ядром или модулями. Попробуйте другое ядро.
>>> Спасибо за совет.
>>> А можно ли как-то посмотреть ядро собранно с поддержкой IPSEC или нет?
>>> Или толко самому собирать другое ядро.
>> В ядре судя по всему нет поддержки сокетов типа PF_KEY/AF_KEY.
>> Сделайте modprobe -l |grep af_key или попробуйте modprobe af_key.
>> А вообще, не плохо было знать версию ядра и дистрибутив
> Дистрибутив Mandrake Linux 10.0.3.3.2-6mdk
> ядро 2.6.3-4mdkГдеж вы его древний такой взяли-то?
Возьмие посвежее дистрибутив, центось 5.5 например или что-нибудь еще там все из коробки работает.
P.S: modprobe af_key что пишет? Если пишет что нет такого модуля ( а в новых ядрах он обычно есть, и лежит в /`uname-r`/kernel/net/key/af_key.ko), то ни чего иного как установить более новый дистрибутив вы на вряд ли сделаете.
>[оверквотинг удален]
>>> А вообще, не плохо было знать версию ядра и дистрибутив
>> Дистрибутив Mandrake Linux 10.0.3.3.2-6mdk
>> ядро 2.6.3-4mdk
> Гдеж вы его древний такой взяли-то?
> Возьмие посвежее дистрибутив, центось 5.5 например или что-нибудь еще там все из
> коробки работает.
> P.S: modprobe af_key что пишет? Если пишет что нет такого модуля (
> а в новых ядрах он обычно есть, и лежит в /`uname-r`/kernel/net/key/af_key.ko),
> то ни чего иного как установить более новый дистрибутив вы на
> вряд ли сделаете.Да дистрибутив давно покупался, тогда весь софт с лотков продовался.
# modprobe -l|grep af_key
/lib/modules/2.6.3-4mdk/kernel/net/key/af_key.ko.gz
Есть такой модуль.
Вы используете esp протокол защиты проверте еще модули ядра esp & ah4
> Вы используете esp протокол защиты проверте еще модули ядра esp & ah4Я их подгрузил. Все равно не работает. Придется наверно ядро пересобирать.
[root@ekb-w-proxy-gtk log]# lsmod
Module Size Used by
esp 22328 0
ah4 7680 0
deflate 3616 0
zlib_deflate 22904 1 deflate
zlib_inflate 22656 1 deflate
twofish 41824 0
serpent 13920 0
aes 33664 0
blowfish 9760 0
des 11648 0
sha256 12096 0
sha1 7936 0
af_key 31760 0
md5 3872 1
ipv6 232352 13
af_packet 20520 0
iptable_nat 23116 1
ipt_state 1728 12
ip_conntrack 31152 2 iptable_nat,ipt_state
ipt_LOG 5312 6
iptable_filter 2624 1
iptable_mangle 2624 0
ip_tables 16704 5 iptable_nat,ipt_state,ipt_LOG,iptable_filter,iptable_mangle
eepro100 29740 0
mii 4992 1 eepro100
supermount 37876 1
intel-agp 17372 1
agpgart 31016 1 intel-agp
ppa 12296 0
parport_pc 32832 0
imm 12360 0
scsi_mod 114744 2 ppa,imm
parport 38952 3 ppa,parport_pc,imm
ehci-hcd 24196 0
uhci-hcd 29104 0
usbcore 99132 4 ehci-hcd,uhci-hcd
rtc 11576 0
ext3 110376 2
jbd 54328 1 ext3
>[оверквотинг удален]
>> Возьмие посвежее дистрибутив, центось 5.5 например или что-нибудь еще там все из
>> коробки работает.
>> P.S: modprobe af_key что пишет? Если пишет что нет такого модуля (
>> а в новых ядрах он обычно есть, и лежит в /`uname-r`/kernel/net/key/af_key.ko),
>> то ни чего иного как установить более новый дистрибутив вы на
>> вряд ли сделаете.
> Да дистрибутив давно покупался, тогда весь софт с лотков продовался.
> # modprobe -l|grep af_key
> /lib/modules/2.6.3-4mdk/kernel/net/key/af_key.ko.gz
> Есть такой модуль.он загружен у вас?
>[оверквотинг удален]
>>> коробки работает.
>>> P.S: modprobe af_key что пишет? Если пишет что нет такого модуля (
>>> а в новых ядрах он обычно есть, и лежит в /`uname-r`/kernel/net/key/af_key.ko),
>>> то ни чего иного как установить более новый дистрибутив вы на
>>> вряд ли сделаете.
>> Да дистрибутив давно покупался, тогда весь софт с лотков продовался.
>> # modprobe -l|grep af_key
>> /lib/modules/2.6.3-4mdk/kernel/net/key/af_key.ko.gz
>> Есть такой модуль.
> он загружен у вас?да
[root@ekb-w-proxy-gtk etc]# lsmod |grep af_key
af_key 31760 0
>[оверквотинг удален]
>>>> вряд ли сделаете.
>>> Да дистрибутив давно покупался, тогда весь софт с лотков продовался.
>>> # modprobe -l|grep af_key
>>> /lib/modules/2.6.3-4mdk/kernel/net/key/af_key.ko.gz
>>> Есть такой модуль.
>> он загружен у вас?
> да
> [root@ekb-w-proxy-gtk etc]# lsmod |grep af_key
> af_key
> 31760 0lsmod|grep ah
lsmod|grep esp
что пишут?Если ничего, то надо подгрузить модули ah и esp в ядро.
Попробуйте в /etc/modules.conf добавить:
alias-something-ike af_key
alias-something-cryptobasic-49 ah
alias-something-cryptobasic-50 esp
alias-something-crypto-modules-0 crypt_null
pre-install esp modprobe ahи перезагрузите машину.
>[оверквотинг удален]
> lsmod|grep esp
> что пишут?
> Если ничего, то надо подгрузить модули ah и esp в ядро.
> Попробуйте в /etc/modules.conf добавить:
> alias-something-ike af_key
> alias-something-cryptobasic-49 ah
> alias-something-cryptobasic-50 esp
> alias-something-crypto-modules-0 crypt_null
> pre-install esp modprobe ah
> и перезагрузите машину.Попробуйте более новый дистрибутив, ваш очень уж древний.
Любой на ваш выбор =)
>[оверквотинг удален]
> lsmod|grep esp
> что пишут?
> Если ничего, то надо подгрузить модули ah и esp в ядро.
> Попробуйте в /etc/modules.conf добавить:
> alias-something-ike af_key
> alias-something-cryptobasic-49 ah
> alias-something-cryptobasic-50 esp
> alias-something-crypto-modules-0 crypt_null
> pre-install esp modprobe ah
> и перезагрузите машину.Я их вручную подгрузил
[root@ekb-w-proxy-gtk log]# lsmod|grep ah4
ah4 7680 0
[root@ekb-w-proxy-gtk log]# lsmod|grep esp
esp 22328 0попробую добавить в
etc/modules.conf
и перегружу.
>[оверквотинг удален]
> [root@ekb-w-proxy-gtk log]# lsmod|grep ah4
> ah4
> 7680
> 0
> [root@ekb-w-proxy-gtk log]# lsmod|grep esp
> esp
> 22328 0
> попробую добавить в
> etc/modules.conf
> и перегружу.Модули уже загружены, добавлять их в modprobe.conf нет смысла.