Доброе время суток уважаемые коллеги!
Столкнулся я с такой, для себя, не тривиальной проблемой. Есть VDS у FIRSTVDS(не для рекламы) работающий в KVM. В контейнере крутится Centos. Стоит задача к этому Centos по IPSEC прикрутить ряд географически разнесенных офисов. В офисах стоят Zywall'ы. Из этого и вытекает что надо использовать IPSEC, так как эти чудные железки ни чего больше не умеют. Уже почти неделю бьюсь над этой задачей. Перепробовал кучу рецептов и примеров настройки. Но чует мое сердце что оплот зла кроется в другом.

Openswan был выбран случайно, так как Centos именно его пропагандирует, убран из своих репозиториев racoon входящий в состав ipsec-tools. Приступим:
Процедуры по редактированию  /etc/sysctl.conf были произведены

net.ipv4.ip_forward = 1 # разрешить пересылку пакетов между интерфейсами
net.ipv4.conf.all.send_redirects = 0 # отключаем icmp redirect
net.ipv4.conf.all.accept_redirects = 0 # отключаем icmp redirect
net.ipv4.conf.default.send_redirects = 0 # отключаем icmp redirect
net.ipv4.conf.default.accept_redirects = 0 # отключаем icmp redirect

В фаерволе порты открыты

iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT
iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPT

На Centos'e ни каких виртуальных интерфейсов нет, поэтому в настойках ipsec.conf

left=1.1.1.1 # Указываем внешний ip адрес
leftsubnet=1.1.1.1/32 # указываем внутреннюю подсеть
У второй стороны все как подобает
right=2.2.2.2
rightsubnet=10.1.1.0/24
Авторизация по паролю
/etc/ipsec.secrets
2.2.2.2  1.1.1.1: PSK "pre_shared_key"
esp=des-sha1
ike=des-sha1-modp1024

В общем все достаточно стандартно, но туннель не поднимается. А самое интересное что при настройки туннели перестают возможными пинги со второй стороны. Как только удаляешь настройки туннеля, пинги снова идут.

Помогите разобраться с данным вопросом. Есть подозрения что моя концепция по решению данного вопроса не верна и есть более верный и простой способ

• Openswan IPSEC на Centos 6.6 в KVM и Zywall,Exploit, 22:00 , 01-Фев-15
• Openswan IPSEC на Centos 6.6 в KVM и Zywall,Loly, 00:19 , 02-Фев-15
  • Openswan IPSEC на Centos 6.6 в KVM и Zywall,suharik71, 06:34 , 02-Фев-15
• Openswan IPSEC на Centos 6.6 в KVM и Zywall,shadow_alone, 02:57 , 02-Фев-15
  • Openswan IPSEC на Centos 6.6 в KVM и Zywall,suharik71, 05:41 , 02-Фев-15
    • Openswan IPSEC на Centos 6.6 в KVM и Zywall,suharik71, 14:37 , 02-Фев-15
      • Openswan IPSEC на Centos 6.6 в KVM и Zywall,Serge, 21:46 , 02-Фев-15
        • Openswan IPSEC на Centos 6.6 в KVM и Zywall,suharik71, 06:36 , 03-Фев-15
          • Openswan IPSEC на Centos 6.6 в KVM и Zywall,timur_m, 12:33 , 09-Апр-15
            • Openswan IPSEC на Centos 6.6 в KVM и Zywall,suharik71, 06:21 , 10-Апр-15

не спец в этом вопросе, но вроде там в опенсване был баг, насколько помню, непофикшеный. может, знатоки поправят, если я ошибаюсь
http://bugs.centos.org/view.php?id=5832

Доброе!

Уже давно есть LibreSwan, также есть StrongSwan.
Вы бы лучше реальный конфиг показали (IP и там можно сменить), и логи!

1. https://github.com/xelerance/Openswan/wiki
2. https://libreswan.org/wiki/Configuration_examples
3. https://wiki.strongswan.org/projects/strongswan/wiki/UserDoc...

> Доброе!
> Уже давно есть LibreSwan, также есть StrongSwan.
> Вы бы лучше реальный конфиг показали (IP и там можно сменить), и
> логи!
> 1. https://github.com/xelerance/Openswan/wiki
> 2. https://libreswan.org/wiki/Configuration_examples
> 3. https://wiki.strongswan.org/projects/strongswan/wiki/UserDoc...

Ок. Я понял что сего зверя мне не победить. Во всяком случаи пока что. Оставим его на лабораторные испытания. Подскажите тогда на чем можно поднять IPSEC.

Из последних трабл - не хочет генерировать RSA длиной 1024 bit. Подозреваю что и работать с меньшим не захочет. Минимум сколько делает это 2192. А Zywall максимум 2048 переваривает.

> В фаерволе порты открыты
> iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT
> iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT
> iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPT

При чем тут udp порт 50?
Вы вообще понимаете что делаете:
protocol 50 if you use ESP encryption and/or authentication (the typical case)
protocol 51 if you use AH packet-level authentication

не порт 50 udp надо открыть, а протокол 50.

iptables -A INPUT  -p 50 -j ACCEPT
Куда этот мир катится...

>[оверквотинг удален]
>> iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT
>> iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT
>> iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPT
> При чем тут udp порт 50?
> Вы вообще понимаете что делаете:
> protocol 50 if you use ESP encryption and/or authentication (the typical case)
> protocol 51 if you use AH packet-level authentication
> не порт 50 udp надо открыть, а протокол 50.
> iptables -A INPUT  -p 50 -j ACCEPT
> Куда этот мир катится...

Конечно же нет.

Тогда давайте по другому. Чем можно связать zyxell zywall 300, 50 и 2 по VPN c Centos???
Мое мнение касательно этих железок крайне негативное. Более менее разобравшись с openswan я уперся в не поддержку des на openswan и отсутствие альтернатив на данных железках.

Люди, выручайте.

> > я уперся в не поддержку des на openswan и отсутствие альтернатив

это не так. У меня бежит не одня сотня туннелей на сване (strongswan) и среди них куча старых железок. Часть из них на 3des.

Скорее всего это просто неправильные конфиги.

>> > я уперся в не поддержку des на openswan и отсутствие альтернатив
> это не так. У меня бежит не одня сотня туннелей на сване
> (strongswan) и среди них куча старых железок. Часть из них на
> 3des.
> Скорее всего это просто неправильные конфиги.

Конфиг правильный. Просто на Zywall отключена поддержка 3des и всего остального. На офф сайте есть по этому вопросу комменты. Но на мое счастье нашел другую статью(вернее носом добрые люди ткнули)  http://zyxel.ru/kb/2224  где нашлось решение всех моих проблем.

Так что всем спасибо! Вопрос можно снимать с повестки дня.

>>> > я уперся в не поддержку des на openswan и отсутствие альтернатив
>> это не так. У меня бежит не одня сотня туннелей на сване
>> (strongswan) и среди них куча старых железок. Часть из них на
>> 3des.
>> Скорее всего это просто неправильные конфиги.
> Конфиг правильный. Просто на Zywall отключена поддержка 3des и всего остального. На
> офф сайте есть по этому вопросу комменты. Но на мое счастье
> нашел другую статью(вернее носом добрые люди ткнули)  http://zyxel.ru/kb/2224  где
> нашлось решение всех моих проблем.
> Так что всем спасибо! Вопрос можно снимать с повестки дня.

К сожалению страница не открылась (404).
Поделитесь информацией, как решили задачу, предстоит аналогичная.

> К сожалению страница не открылась (404).

Странно, у меня открывается http://zyxel.ru/kb/2224   можно в правильном поисковике набрать zywall usg 3 des

Ну или вот так оно делается через CLI

Username: admin
Password:

Router> configure terminal
Router(config)# crypto algorithm-hide disable

% The setting has been changed. You should reboot device to apply setting.

Router(config)# write
Router(config)# reboot

> Поделитесь информацией, как решили задачу, предстоит аналогичная.

А задачу решил заменой оборудования. Так то получилось кое-что высасать из ентой конструкции. В туннельном он роутил подсети, но мне нужно было другое. Поднять IPSEC в транспортном режиме между zywall и openswan не получилось. По каким-то странным обстоятельсвам не получилось на концах туннеля поставить ип адреса и как-то маршрутизировать через туннель. Так как ни чего кроме подсети на в туннеле больше ни чего в нее не инкапсулировалось. И еще много много разных НО.
Выклянчил mikrotik во все офисы - и буквально за пол дня все перенастроил и оттестировал. Теперь между офисами IPSEC в транспортном режиме. В нем GRE. Через GRE гоняю трафик и OSPF. Жизнь нет нет, а наладилась!