Доброе время суток уважаемые коллеги!
Столкнулся я с такой, для себя, не тривиальной проблемой. Есть VDS у FIRSTVDS(не для рекламы) работающий в KVM. В контейнере крутится Centos. Стоит задача к этому Centos по IPSEC прикрутить ряд географически разнесенных офисов. В офисах стоят Zywall'ы. Из этого и вытекает что надо использовать IPSEC, так как эти чудные железки ни чего больше не умеют. Уже почти неделю бьюсь над этой задачей. Перепробовал кучу рецептов и примеров настройки. Но чует мое сердце что оплот зла кроется в другом.Openswan был выбран случайно, так как Centos именно его пропагандирует, убран из своих репозиториев racoon входящий в состав ipsec-tools. Приступим:
Процедуры по редактированию /etc/sysctl.conf были произведеныnet.ipv4.ip_forward = 1 # разрешить пересылку пакетов между интерфейсами
net.ipv4.conf.all.send_redirects = 0 # отключаем icmp redirect
net.ipv4.conf.all.accept_redirects = 0 # отключаем icmp redirect
net.ipv4.conf.default.send_redirects = 0 # отключаем icmp redirect
net.ipv4.conf.default.accept_redirects = 0 # отключаем icmp redirectВ фаерволе порты открыты
iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPTНа Centos'e ни каких виртуальных интерфейсов нет, поэтому в настойках ipsec.conf
left=1.1.1.1 # Указываем внешний ip адрес
leftsubnet=1.1.1.1/32 # указываем внутреннюю подсеть
У второй стороны все как подобает
right=2.2.2.2
rightsubnet=10.1.1.0/24
Авторизация по паролю
/etc/ipsec.secrets
2.2.2.2 1.1.1.1: PSK "pre_shared_key"
esp=des-sha1
ike=des-sha1-modp1024В общем все достаточно стандартно, но туннель не поднимается. А самое интересное что при настройки туннели перестают возможными пинги со второй стороны. Как только удаляешь настройки туннеля, пинги снова идут.
Помогите разобраться с данным вопросом. Есть подозрения что моя концепция по решению данного вопроса не верна и есть более верный и простой способ
не спец в этом вопросе, но вроде там в опенсване был баг, насколько помню, непофикшеный. может, знатоки поправят, если я ошибаюсь
http://bugs.centos.org/view.php?id=5832
Доброе!Уже давно есть LibreSwan, также есть StrongSwan.
Вы бы лучше реальный конфиг показали (IP и там можно сменить), и логи!1. https://github.com/xelerance/Openswan/wiki
2. https://libreswan.org/wiki/Configuration_examples
3. https://wiki.strongswan.org/projects/strongswan/wiki/UserDoc...
> Доброе!
> Уже давно есть LibreSwan, также есть StrongSwan.
> Вы бы лучше реальный конфиг показали (IP и там можно сменить), и
> логи!
> 1. https://github.com/xelerance/Openswan/wiki
> 2. https://libreswan.org/wiki/Configuration_examples
> 3. https://wiki.strongswan.org/projects/strongswan/wiki/UserDoc...Ок. Я понял что сего зверя мне не победить. Во всяком случаи пока что. Оставим его на лабораторные испытания. Подскажите тогда на чем можно поднять IPSEC.
Из последних трабл - не хочет генерировать RSA длиной 1024 bit. Подозреваю что и работать с меньшим не захочет. Минимум сколько делает это 2192. А Zywall максимум 2048 переваривает.
> В фаерволе порты открыты
> iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT
> iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT
> iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPTПри чем тут udp порт 50?
Вы вообще понимаете что делаете:
protocol 50 if you use ESP encryption and/or authentication (the typical case)
protocol 51 if you use AH packet-level authenticationне порт 50 udp надо открыть, а протокол 50.
iptables -A INPUT -p 50 -j ACCEPT
Куда этот мир катится...
>[оверквотинг удален]
>> iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT
>> iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT
>> iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPT
> При чем тут udp порт 50?
> Вы вообще понимаете что делаете:
> protocol 50 if you use ESP encryption and/or authentication (the typical case)
> protocol 51 if you use AH packet-level authentication
> не порт 50 udp надо открыть, а протокол 50.
> iptables -A INPUT -p 50 -j ACCEPT
> Куда этот мир катится...Конечно же нет.
Тогда давайте по другому. Чем можно связать zyxell zywall 300, 50 и 2 по VPN c Centos???
Мое мнение касательно этих железок крайне негативное. Более менее разобравшись с openswan я уперся в не поддержку des на openswan и отсутствие альтернатив на данных железках.Люди, выручайте.
> > я уперся в не поддержку des на openswan и отсутствие альтернативэто не так. У меня бежит не одня сотня туннелей на сване (strongswan) и среди них куча старых железок. Часть из них на 3des.
Скорее всего это просто неправильные конфиги.
>> > я уперся в не поддержку des на openswan и отсутствие альтернатив
> это не так. У меня бежит не одня сотня туннелей на сване
> (strongswan) и среди них куча старых железок. Часть из них на
> 3des.
> Скорее всего это просто неправильные конфиги.Конфиг правильный. Просто на Zywall отключена поддержка 3des и всего остального. На офф сайте есть по этому вопросу комменты. Но на мое счастье нашел другую статью(вернее носом добрые люди ткнули) http://zyxel.ru/kb/2224 где нашлось решение всех моих проблем.
Так что всем спасибо! Вопрос можно снимать с повестки дня.
>>> > я уперся в не поддержку des на openswan и отсутствие альтернатив
>> это не так. У меня бежит не одня сотня туннелей на сване
>> (strongswan) и среди них куча старых железок. Часть из них на
>> 3des.
>> Скорее всего это просто неправильные конфиги.
> Конфиг правильный. Просто на Zywall отключена поддержка 3des и всего остального. На
> офф сайте есть по этому вопросу комменты. Но на мое счастье
> нашел другую статью(вернее носом добрые люди ткнули) http://zyxel.ru/kb/2224 где
> нашлось решение всех моих проблем.
> Так что всем спасибо! Вопрос можно снимать с повестки дня.К сожалению страница не открылась (404).
Поделитесь информацией, как решили задачу, предстоит аналогичная.
> К сожалению страница не открылась (404).Странно, у меня открывается http://zyxel.ru/kb/2224 можно в правильном поисковике набрать zywall usg 3 des
Ну или вот так оно делается через CLI
Username: admin
Password:Router> configure terminal
Router(config)# crypto algorithm-hide disable% The setting has been changed. You should reboot device to apply setting.
Router(config)# write
Router(config)# reboot> Поделитесь информацией, как решили задачу, предстоит аналогичная.
А задачу решил заменой оборудования. Так то получилось кое-что высасать из ентой конструкции. В туннельном он роутил подсети, но мне нужно было другое. Поднять IPSEC в транспортном режиме между zywall и openswan не получилось. По каким-то странным обстоятельсвам не получилось на концах туннеля поставить ип адреса и как-то маршрутизировать через туннель. Так как ни чего кроме подсети на в туннеле больше ни чего в нее не инкапсулировалось. И еще много много разных НО.
Выклянчил mikrotik во все офисы - и буквально за пол дня все перенастроил и оттестировал. Теперь между офисами IPSEC в транспортном режиме. В нем GRE. Через GRE гоняю трафик и OSPF. Жизнь нет нет, а наладилась!