URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID6
Нить номер: 9423
[ Назад ]

Исходное сообщение
"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Юлия , 15-Дек-05 20:36

Не могу найти в чем проблема, буду очень признательна за любые подсказки...
ПОМОГИТЕ!
Есть:
Linux Suse 8(2.4.21-138-smp) c ipsec (freeswan-1.98_0.9.14-341) и
Сisco 2651. Нужен VpN+IPSec.
Проблема - все время реконнект фазы 2... Впечатление, что Линукс отвечает на предыдущий пакет, а циска СА уже сбросила и сделала новый...
md5 и группу 2 ставила, но (может из-за того что ipsec в ядре) несмотря на
то что они прописаны в конфиге, линукс все равно предлагает ah-sha-hmac и группу 5.
cisco-
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 12345 address 192.168.100.2
!
crypto ipsec transform-set Samara08 ah-sha-hmac esp-3des
    mode tunnel
!
crypto map Sam08 1 ipsec-isakmp
set peer 192.168.100.2
set transform-set Samara08
set pfs group2
match address tun8
!
interface Tunnel8
ip address 192.168.180.1 255.255.255.252
keepalive 300 50
tunnel source 192.168.100.1
tunnel destination 192.168.100.2
tunnel mode ipip
crypto map Sam08
!
interface FastEthernet0/0
ip address 172.36.1.1 255.255.255.0
!
interface FastEthernet0/1
ip address 192.168.100.1 255.255.255.252
keepalive 300
crypto map Sam08
----------------------
ip route 172.38.2.0 255.255.255.0 192.168.180.2
----------------------
ip access-list extended tun8
permit ip host 192.168.100.1 host 192.168.100.2
permit ip host 192.168.100.2 host 192.168.100.1
permit ip 172.36.1.0 0.0.0.255 172.38.2.0 0.0.0.255
permit ip 172.38.2.0 0.0.0.255 172.36.1.0 0.0.0.255
===========================
Linux
Ipsec.conf
config setup
    interfaces="ipsec0=eth0"
    klipsdebug=all
    plutodebug=all
    plutoload=%search
    plutostart=%search
    uniqueids=yes
# ESP
conn conn_GU
        type=tunnel
        auth=ah
        authby=secret
        keyexchange=ike
    auto=start
        left=192.168.100.2
        leftsubnet=172.38.2.0/24
        leftnexthop=192.168.100.1
        right=192.168.100.1
        rightsubnet=172.36.1.0/24
    rightnexthop=
    pfs=yes
        lifetime=3600
        esp=3des-md5-96
        ah=hmac-sha-1-96
--------
Ipsec.secrets
192.168.100.2 192.168.100.1 “12345”
================================================
# ipsec look
cat: /proc/net/ipsec_spigrp:  No such file or directory
cat:  /proc/net/ipsec_eroute:  No such file or directory
grep:  /proc/net/ipsec_tncfg:  No such file or directory
sort:  open failed:  /proc/net/ipsec_spi:  No such file or directory
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.100.2   0.0.0.0         UG       40 0          0 ipsec0
172.36.1.0      192.168.100.1   255.255.255.0   UG       40 0          0 ipsec0
192.168.100.0   0.0.0.0         255.255.255.252 U        40 0          0 eth0
192.168.100.0   0.0.0.0         255.255.255.252 U        40 0          0 ipsec0
======================
Linux - messages
Dec 15 11:22:22 ers_herm pluto[1176]: "conn_GU" #1: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xeb9b46ad (perhaps this is a duplicated packet)
======================
41w0d: ISAKMP (0:3): Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
41w0d: ISAKMP (0:3): Old State = IKE_R_MM5  New State = IKE_P1_COMPLETE
scmIkeTunnelCreate ikeidx:1202
41w0d: ISAKMP (0:3): Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
41w0d: ISAKMP (0:3): Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
41w0d: ISAKMP (0:3): received packet from 192.168.100.2 dport 500 sport 500 Global (R) QM_IDLE
41w0d: ISAKMP: set new node -1451715169 to QM_IDLE
41w0d: CryptoEngine0: generate hmac context for conn id 3
41w0d: ISAKMP (0:3): processing HASH payload. message ID = -1451715169
41w0d: ISAKMP (0:3): processing SA payload. message ID = -1451715169
41w0d: ISAKMP (0:3): Checking IPSec proposal 0
41w0d: ISAKMP: transform 0, AH_SHA
41w0d: ISAKMP:   attributes in transform:
41w0d: ISAKMP:      group is 2
41w0d: ISAKMP:      encaps is 1 (Tunnel)
41w0d: ISAKMP:      SA life type in seconds
41w0d: ISAKMP:      SA life duration (basic) of 3600
41w0d: ISAKMP:      authenticator is HMAC-SHA
41w0d: CryptoEngine0: validate proposal
41w0d: ISAKMP (0:3): atts are acceptable.
41w0d: ISAKMP (0:3): Checking IPSec proposal 0
41w0d: ISAKMP: transform 0, ESP_3DES
41w0d: ISAKMP:   attributes in transform:
41w0d: ISAKMP:      group is 2
41w0d: ISAKMP:      encaps is 1 (Tunnel)
41w0d: ISAKMP:      SA life type in seconds
41w0d: ISAKMP:      SA life duration (basic) of 3600
41w0d: CryptoEngine0: validate proposal
41w0d: ISAKMP (0:3): atts are acceptable.
41w0d: IPSEC(validate_proposal_request): proposal part #1,
  (key eng. msg.) INBOUND local= 192.168.100.1, remote= 192.168.100.2,
    local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4),
    protocol= AH, transform= ah-sha-hmac  (Tunnel),
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x22
41w0d: IPSEC(validate_proposal_request): proposal part #2,
  (key eng. msg.) INBOUND local= 192.168.100.1, remote= 192.168.100.2,
    local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des  (Tunnel),
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x22
41w0d: CryptoEngine0: validate proposal request
41w0d: IPSEC(kei_proxy): head = Sam08, map->ivrf = , kei->ivrf =
41w0d: CryptoEngine0: generate alg parameter
41w0d: CRYPTO_ENGINE: Dh phase 1 status: 0
41w0d: CRYPTO_ENGINE: Dh phase 1 status: 0
41w0d: ISAKMP (0:3): processing NONCE payload. message ID = -1451715169
41w0d: ISAKMP (0:3): processing KE payload. message ID = -1451715169
41w0d: CryptoEngine0: generate alg parameter
Dec 15 12:22:28: %SEC-6-IPACCESSLOGP: list s0.1-in denied tcp 172.200.1.59(1790) (Serial0/0.100 ) -> 172.40.207.65(445), 1 packet
41w0d: ISAKMP (0:3): processing ID payload. message ID = -1451715169
41w0d: ISAKMP (0:3): processing ID payload. message ID = -1451715169
41w0d: ISAKMP (0:3): asking for 2 spis from ipsec
41w0d: ISAKMP (0:3): Node -1451715169, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
41w0d: ISAKMP (0:3): Old State = IKE_QM_READY  New State = IKE_QM_SPI_STARVE
41w0d: IPSEC(key_engine): got a queue event...
41w0d: IPSEC(spi_response): getting spi 2097673135 for SA
        from 192.168.100.1   to 192.168.100.2   for prot 2
41w0d: IPSEC(spi_response): getting spi 86976991 for SA
        from 192.168.100.1   to 192.168.100.2   for prot 3
41w0d: ISAKMP: received ke message (2/2)
41w0d: CryptoEngine0: generate hmac context for conn id 3
41w0d: CryptoEngine0: ipsec allocate flow
41w0d: CryptoEngine0: ipsec allocate flow
41w0d: CryptoEngine0: clear dh number for conn id 1
41w0d: ISAKMP (0:3): Creating IPSec SAs
41w0d:         inbound SA from 192.168.100.2 to 192.168.100.1 (f/i)  0/ 0
        (proxy 172.38.2.0 to 172.36.1.0)
41w0d:         has spi 0x7D07F3AF and conn_id 2016 and flags 23
41w0d:         lifetime of 3600 seconds
41w0d:         has client flags 0x0
41w0d:         outbound SA from 192.168.100.1   to 192.168.100.2   (f/i)  0/ 0 (proxy 172.36.1.0      to 172.38.2.0     )
41w0d:         has spi -195858819 and conn_id 2017 and flags 2B
41w0d:         lifetime of 3600 seconds
41w0d:         has client flags 0x0
41w0d: ISAKMP (0:3): Creating IPSec SAs
41w0d:         inbound SA from 192.168.100.2 to 192.168.100.1 (f/i)  0/ 0
        (proxy 172.38.2.0 to 172.36.1.0)
41w0d:         has spi 0x52F29DF and conn_id 2018 and flags 23
41w0d:         lifetime of 3600 seconds
41w0d:         has client flags 0x0
41w0d:         outbound SA from 192.168.100.1   to 192.168.100.2   (f/i)  0/ 0 (proxy 172.36.1.0      to 172.38.2.0     )
41w0d:         has spi -195858818 and conn_id 2019 and flags 2B
41w0d:         lifetime of 3600 seconds
41w0d:         has client flags 0x0
41w0d: ISAKMP (0:3): sending packet to 192.168.100.2 my_port 500 peer_port 500 (R) QM_IDLE
41w0d: ISAKMP (0:3): Node -1451715169, Input = IKE_MESG_FROM_IPSEC, IKE_SPI_REPLY
41w0d: ISAKMP (0:3): Old State = IKE_QM_SPI_STARVE  New State = IKE_QM_R_QM2
41w0d: IPSEC(key_engine): got a queue event...
41w0d: IPSEC(initialize_sas): ,
  (key eng. msg.) INBOUND local= 192.168.100.1, remote= 192.168.100.2,
    local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4),
    protocol= AH, transform= ah-sha-hmac  (Tunnel),
    lifedur= 3600s and 0kb,
    spi= 0x7D07F3AF(2097673135), conn_id= 2016, keysize= 0, flags= 0x23
41w0d: IPSEC(initialize_sas): ,
  (key eng. msg.) OUTBOUND local= 192.168.100.1, remote= 192.168.100.2,
    local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4),
    protocol= AH, transform= ah-sha-hmac  (Tunnel),
    lifedur= 3600s and 0kb,
    spi= 0xF4536E7D(4099108477), conn_id= 2017, keysize= 0, flags= 0x2B
41w0d: IPSEC(initialize_sas): ,
  (key eng. msg.) INBOUND local= 192.168.100.1, remote= 192.168.100.2,
    local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des  (Tunnel),
    lifedur= 3600s and 0kb,
    spi= 0x52F29DF(86976991), conn_id= 2018, keysize= 0, flags= 0x23
41w0d: IPSEC(initialize_sas): ,
  (key eng. msg.) OUTBOUND local= 192.168.100.1, remote= 192.168.100.2,
    local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des  (Tunnel),
    lifedur= 3600s and 0kb,
    spi= 0xF4536E7E(4099108478), conn_id= 2019, keysize= 0, flags= 0x2B
41w0d: IPSEC(kei_proxy): head = Sam08, map->ivrf = , kei->ivrf =
………………………………..
41w0d: IPSEC(crypto_ipsec_sa_find_ident_head): reconnecting with the same proxies and 192.168.100.2
41w0d: IPSEC(create_sa): sa created,
  (sa) sa_dest= 192.168.100.1, sa_prot= 51,
    sa_spi= 0x7D07F3AF(2097673135),
    sa_trans= ah-sha-hmac , sa_conn_id= 2016
41w0d: IPSEC(create_sa): sa created,
  (sa) sa_dest= 192.168.100.2, sa_prot= 51,
    sa_spi= 0xF4536E7D(4099108477),
    sa_trans= ah-sha-hmac , sa_conn_id= 2017
41w0d: IPSEC(create_sa): sa created,
  (sa) sa_dest= 192.168.100.1, sa_prot= 50,
    sa_spi= 0x52F29DF(86976991),
    sa_trans= esp-3des , sa_conn_id= 2018
41w0d: IPSEC(create_sa): sa created,
  (sa) sa_dest= 192.168.100.2, sa_prot= 50,
    sa_spi= 0xF4536E7E(4099108478),
    sa_trans= esp-3des , sa_conn_id= 2019
41w0d: ISAKMP (0:3): received packet from 192.168.100.2 dport 500 sport 500 Global (R) QM_IDLE
41w0d: CryptoEngine0: generate hmac context for conn id 3
41w0d: ISAKMP (0:3): deleting node -1451715169 error FALSE reason "quick mode done (await)"
41w0d: ISAKMP (0:3): Node -1451715169, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
41w0d: ISAKMP (0:3): Old State = IKE_QM_R_QM2  New State = IKE_QM_PHASE2_COMPLETE
41w0d: IPSEC(key_engine): got a queue event...
41w0d: IPSEC(key_engine_enable_outbound): rec'd enable notify from ISAKMP
41w0d: IPSEC(key_engine_enable_outbound): enable SA with spi 4099108477/51 for 192.168.100.2
41w0d: IPSEC(add_sa): have new SAs -- expire existing in 30 sec.,
  (sa) sa_dest= 192.168.100.1, sa_prot= 51,
    sa_spi= 0x6101A0A(101718538),
    sa_trans= ah-sha-hmac , sa_conn_id= 2012,
  (identity) local= 192.168.100.1, remote= 192.168.100.2,
    local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4)
  (sa) sa_dest= 192.168.100.1, sa_prot= 51,
    sa_spi= 0x6101A0A(101718538),
    sa_trans= ah-sha-hmac , sa_conn_id= 2012
41w0d: IPSEC(delete_sa): deleting SA,
  (sa) sa_dest= 192.168.100.2, sa_prot= 51,
    sa_spi= 0xF4536E7B(4099108475),
    sa_trans= ah-sha-hmac , sa_conn_id= 2013
41w0d: IPSEC(delete_sa): deleting SA,
  (sa) sa_dest= 192.168.100.1, sa_prot= 50,
    sa_spi= 0x8A8C6E0C(2324459020),
    sa_trans= esp-3des , sa_conn_id= 2014
41w0d: IPSEC(delete_sa): deleting SA,
  (sa) sa_dest= 192.168.100.2, sa_prot= 50,
    sa_spi= 0xF4536E7C(4099108476),
    sa_trans= esp-3des , sa_conn_id= 2015
41w0d: ISAKMP: received ke message (3/2)
41w0d: ISAKMP: set new node 1458435346 to QM_IDLE
41w0d: CryptoEngine0: generate hmac context for conn id 3
41w0d: ISAKMP (0:3): sending packet to 192.168.100.2 my_port 500 peer_port 500 (R) QM_IDLE
41w0d: ISAKMP (0:3): Input = IKE_MESG_FROM_IPSEC, IKE_PHASE2_DEL
41w0d: ISAKMP (0:3): Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
41w0d: ISAKMP (0:3): retransmitting phase 2 QM_IDLE       1458435346 ...
41w0d: ISAKMP (0:3): incrementing error counter on node: retransmit phase 2
41w0d: ISAKMP (0:3): incrementing error counter on sa: retransmit phase 2
41w0d: ISAKMP (0:3): retransmitting phase 2 1458435346 QM_IDLE
41w0d: ISAKMP (0:3): sending packet to 192.168.100.2 my_port 500 peer_port 500 (R) QM_IDLE
……………………………………..

Содержание

IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!,toor99, 22:50 , 15-Дек-05
IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!,toor99, 00:43 , 16-Дек-05
- IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!,Изгой, 11:44 , 16-Дек-05
  - IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!,Изгой, 11:47 , 16-Дек-05
- IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!,Юлия, 12:02 , 16-Дек-05
  - IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!,toor99, 12:15 , 16-Дек-05
    - IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!,toor99, 12:16 , 16-Дек-05
      - IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,Изгой, 12:51 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,Изгой, 12:54 , 16-Дек-05
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,Юлия, 13:48 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,Изгой, 13:58 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,Юлия, 14:38 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,toor99, 14:40 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,toor99, 14:30 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,Изгой, 14:32 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,toor99, 14:36 , 16-Дек-05
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,Изгой, 14:36 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,Юлия, 14:47 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,toor99, 14:36 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,Изгой, 14:46 , 16-Дек-05
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,Юлия, 14:57 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,toor99, 15:11 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,Юлия, 15:24 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,toor99, 15:47 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,Изгой, 16:05 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,Юлия, 16:20 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,Изгой, 17:00 , 16-Дек-05
        
        IPSec+VPN (Suse <-> Cisco 2651)  Прошу помочь!!!,Юлия, 10:44 , 19-Дек-05
Попытался воспроизвести.,toor99, 17:32 , 17-Дек-05
- Попыталась воспроизвести.,Юлия, 11:21 , 19-Дек-05
  - Попыталась воспроизвести.,Изгой, 11:52 , 19-Дек-05
    - Попыталась воспроизвести.,Юлия, 17:53 , 20-Дек-05
  - Попыталась воспроизвести.,toor99, 12:53 , 19-Дек-05
    - Попыталась воспроизвести.,Изгой, 09:21 , 21-Дек-05
      - Попыталась воспроизвести.,toor99, 10:58 , 21-Дек-05
        
        Попыталась воспроизвести.,Изгой, 11:41 , 21-Дек-05

Сообщения в этом обсуждении

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено toor99 , 15-Дек-05 22:50

Вы уверены, что вам вообще нужен AH ?
Если нет, уберите его. Или поставьте выше него другой трансформ, что-то вроде
crypto ipsec transform-set Samara08-M esp-3des esp-md5-hmac

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено toor99 , 16-Дек-05 00:43

Кстати, еще два замечания. Во-первых, это не дело ставить криптомап на виртуальный интерфейс tun - работать это может, но не обязано; ставьте его на физический интерфейс.
Во-вторых, режим IPSec в такой ситуации, по логике вещей, должен быть транспортным. Хотя, не знаю, поддерживает ли его FreeSWAN по-нормальному. Не удивлюсь, если нет.

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Изгой , 16-Дек-05 11:44

>Кстати, еще два замечания. Во-первых, это не дело ставить криптомап на виртуальный
>интерфейс tun - работать это может, но не обязано; ставьте его
>на физический интерфейс.
>Во-вторых, режим IPSec в такой ситуации, по логике вещей, должен быть транспортным.
>Хотя, не знаю, поддерживает ли его FreeSWAN по-нормальному. Не удивлюсь, если
>нет.

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Изгой , 16-Дек-05 11:47

А сделать попроще на циско нельзя ? у вас тунель ip в ip потом загоняеться в туннель айписек , а если начать с более простого и накручивать - непробывали?

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Юлия , 16-Дек-05 12:02

Сняла мап на туннеле, попробовала mode transport, да, похоже freeswan не хочет с ним работать, канал вообще не подымается...
Freeswan вообще себя странно ведет - я не могу снять AH и поставить auth=esp, и не могу задать AH через md5, потому что несмотря на то , что все это прописано в ipsec.conf, пакеты на циску приходят все равно с предложением AH-SHA, и начинет ругаться на несоответствие в полиси...
так же и насчет группы. только с 5-ой группой доходит до фазы 2.
Говорит, что фаза 2 -комплит, а потом такое впечатление, что когда Линукс пытается ответить, соединение на циске уже убито, и создано новое... и ID сообщений уже не совпадают... И снова фаза 2...
<< Или поставьте выше него другой трансформ, что-то вроде
<<crypto ipsec transform-set Samara08-M esp-3des esp-md5-hmac
т.е. я могу просто поставить 2 трансформа и потом оба применить на мапе?
а как они тогда будут вместе жить?

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено toor99 , 16-Дек-05 12:15

>Сняла мап на туннеле, попробовала mode transport, да, похоже freeswan не хочет
>с ним работать, канал вообще не подымается...
>Freeswan вообще себя странно ведет - я не могу снять AH
>и поставить auth=esp, и не могу задать AH через md5, потому
>что несмотря на то , что все это прописано в ipsec.conf,
>пакеты на циску приходят все равно с предложением AH-SHA, и начинет
>ругаться на несоответствие в полиси...
Странно. Сейчас не помню подробностей, но таких проблем, вроде бы, не было.
>так же и насчет группы. только с 5-ой группой доходит до фазы
>2.
>Говорит, что фаза 2 -комплит, а потом такое впечатление, что когда Линукс
>пытается ответить, соединение на циске уже убито, и создано новое... и
>ID сообщений уже не совпадают... И снова фаза 2...
>
><< Или поставьте выше него другой трансформ, что-то вроде
><<crypto ipsec transform-set Samara08-M esp-3des esp-md5-hmac
>
>т.е. я могу просто поставить 2 трансформа и потом оба применить на
>мапе?
>а как они тогда будут вместе жить?
Будут перебираться по очереди, до согласования параметров. Как-то так:
crypto ipsec transform-set mytransform1 esp-3des esp-sha-hmac
crypto ipsec transform-set mytransform2 esp-3des esp-md5-hmac
...
crypto map MyCryptomap 10 ipsec-isakmp
set peer 1.2.3.4
set transform-set mytransform1
set pfs group5
match address такой-то ACL
crypto map vpn 20 ipsec-isakmp
set peer 1.2.3.4
set transform-set mytransform2
set pfs group5
match address такой-то ACL
crypto map vpn 30 ipsec-isakmp
И так далее...
!

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено toor99 , 16-Дек-05 12:16

> crypto map vpn 20 ipsec-isakmp
В смысле, crypto map MyCryptomap 20 ipsec-isakmp , конечно!

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Изгой , 16-Дек-05 12:51

>> crypto map vpn 20 ipsec-isakmp
>В смысле, crypto map MyCryptomap 20 ipsec-isakmp , конечно!
ip access-list extended tun8
permit ip host 192.168.100.1 host 192.168.100.2
permit ip host 192.168.100.2 host 192.168.100.1
permit ip 172.36.1.0 0.0.0.255 172.38.2.0 0.0.0.255
permit ip 172.38.2.0 0.0.0.255 172.36.1.0 0.0.0.255
попробуйте перевести в транспортный режим ,
permit ip host 192.168.100.1 host 192.168.100.2 и в акцессе оставить только вот эту строку. на люнексе наоборот 100.2 - 100.1

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Изгой , 16-Дек-05 12:54

>>> crypto map vpn 20 ipsec-isakmp
>>В смысле, crypto map MyCryptomap 20 ipsec-isakmp , конечно!
>ip access-list extended tun8
>permit ip host 192.168.100.1 host 192.168.100.2
>permit ip host 192.168.100.2 host 192.168.100.1
>permit ip 172.36.1.0 0.0.0.255 172.38.2.0 0.0.0.255
>permit ip 172.38.2.0 0.0.0.255 172.36.1.0 0.0.0.255
>
>попробуйте перевести в транспортный режим ,
>
>permit ip host 192.168.100.1 host 192.168.100.2 и в акцессе оставить только
>вот эту строку. на люнексе наоборот 100.2 - 100.1
а да забыл
вместо ip в случае гре туннеля ставиться permit gre host 192.168.100.1 host 192.168.100.2 в вашем случае нужно посмотреть.

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Юлия , 16-Дек-05 13:48

>попробуйте перевести в транспортный режим ,
>
>permit ip host 192.168.100.1 host 192.168.100.2 и в акцессе оставить только
>вот эту строку. на люнексе наоборот 100.2 - 100.1
на линуксе файрвола пока нет, все пропускает...
а в транспортном режиме соединение даже не подымается... кстати, ничего, что я циску не перегружаю при изменениях? Просто она в онлайне щаз на 50 филиалов, не могу ее дергать...

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Изгой , 16-Дек-05 13:58

>>попробуйте перевести в транспортный режим ,
>>
>>permit ip host 192.168.100.1 host 192.168.100.2  и в акцессе оставить только
>>вот эту строку. на люнексе наоборот 100.2 - 100.1
>
>на линуксе файрвола пока нет, все пропускает...
>а в транспортном режиме соединение даже не подымается... кстати, ничего, что я
>циску не перегружаю при изменениях?  Просто она в онлайне щаз
>на 50 филиалов, не могу ее дергать...
В туннельном режиме
permit ipinip (или цифра 4 ) host 192.168.100.1 host 192.168.100.2  и в акцессе оставить только вот эту строку. на люнексе наоборот 100.2 - 100.1
попробуйте так. Да передёргивать не надо .

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Юлия , 16-Дек-05 14:38

в акцессе оставила одну строку. Все по-прежнему,  но появилась новая гадость (которая вроде отношения к этому иметь не должна... хм...)

(key eng. msg.) INBOUND local= 192.168.100.1, remote= 192.168.100.2,
    local_proxy= 172.36.1.0/255.255.255.0/0/0 (type=4),
    remote_proxy= 172.38.2.0/255.255.255.0/0/0 (type=4),
    protocol= ESP, transform= esp-3des  (Tunnel),
    lifedur= 0s and 0kb,
    spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x42
18:51:34: CryptoEngine0: validate proposal request
18:51:34: IPSEC(kei_proxy): head = Sam08, map->ivrf = , kei->ivrf =
18:51:34: IPSEC(validate_transform_proposal): proxy identities not supported
18:51:34: ISAKMP (0:1): IPSec policy invalidated proposal
А во входящем на эзернет 172.36.1.0 акцессе тоже нужно поставить ipinip?
или там эти пермиты вообще не нужны?

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено toor99 , 16-Дек-05 14:40

Чтобы уточнить ваше понимание процессов - access-list в контексте криптомапы означает следующее: "Шифровать все пакеты, попадающие под действие этого access-list'а".

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено toor99 , 16-Дек-05 14:30

>>попробуйте перевести в транспортный режим ,
>>
>>permit ip host 192.168.100.1 host 192.168.100.2 и в акцессе оставить только
>>вот эту строку. на люнексе наоборот 100.2 - 100.1
>
>на линуксе файрвола пока нет, все пропускает...
>а в транспортном режиме соединение даже не подымается... кстати, ничего, что я
>циску не перегружаю при изменениях? Просто она в онлайне щаз
>на 50 филиалов, не могу ее дергать...
Не надо ее перезагружать, вы что. Изменения вступают в силу немедленно.

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Изгой , 16-Дек-05 14:32

>>>попробуйте перевести в транспортный режим ,
>>>
>>>permit ip host 192.168.100.1 host 192.168.100.2 и в акцессе оставить только
>>>вот эту строку. на люнексе наоборот 100.2 - 100.1
>>
>>на линуксе файрвола пока нет, все пропускает...
>>а в транспортном режиме соединение даже не подымается... кстати, ничего, что я
>>циску не перегружаю при изменениях? Просто она в онлайне щаз
>>на 50 филиалов, не могу ее дергать...
>
>Не надо ее перезагружать, вы что. Изменения вступают в силу немедленно.
А я написал разве надо )))

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено toor99 , 16-Дек-05 14:36

>>Не надо ее перезагружать, вы что. Изменения вступают в силу немедленно.
>А я написал разве надо )))
Дык я и не вам отвечал :-)

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Изгой , 16-Дек-05 14:36

>>>>попробуйте перевести в транспортный режим ,
>>>>
>>>>permit ip host 192.168.100.1 host 192.168.100.2  и в акцессе оставить только
>>>>вот эту строку. на люнексе наоборот 100.2 - 100.1
>>>
>>>на линуксе файрвола пока нет, все пропускает...
>>>а в транспортном режиме соединение даже не подымается... кстати, ничего, что я
>>>циску не перегружаю при изменениях?  Просто она в онлайне щаз
>>>на 50 филиалов, не могу ее дергать...
>>
>>Не надо ее перезагружать, вы что. Изменения вступают в силу немедленно.
>А я написал разве надо )))

Да и всё же Юля , я б посоветовал бы сначала поднять  туннель айписек а потом , уже накручивать , если уж вам нужен туннель ipip , неужели IPV6 используете?
Да и ещё я не силён в Люнексе , но где там прописан общий ключ ? такой же как на циско? он должен быть одинаковым и присутствовать и там и на люне.

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Юлия , 16-Дек-05 14:47

ага, одинаковый.
Ipsec.secrets
192.168.100.2 192.168.100.1 “12345”
вы предлагаете просто снять Mode ipip?
или под этим еще что-то кроется?

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено toor99 , 16-Дек-05 14:36

Вот вам для примера кусок реально работающего конфига циски. Единственно что - на другой стороне не линукс, а FreeBSD (соответственно, за ISAKMP отвечает racoon).
crypto isakmp policy 10
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key такой-то address такой-то
...
crypto ipsec transform-set moscow-hub esp-3des
mode transport
...
crypto map moscow-hub 1 ipsec-isakmp
set peer такой-то
set transform-set moscow-hub
set pfs group2
match address MOSCOW-HUB
...
interface Tunnel0
description Tunnel to Moscow hub
ip address 10.0.0.2 255.255.255.252
ip mtu 1280
ip tcp adjust-mss 1226
ip ospf network non-broadcast
ip ospf cost 100
tunnel source адрес-роутера-cisco
tunnel destination адрес-роутера-FreeBSD
tunnel mode ipip
...
ip access-list extended MOSCOW-HUB
permit ip host адрес-роутера-cisco host адрес-роутера-FreeBSD
Как видите, всё тривиально. Криптомап наложен на физ. интерфейс циски (e0).

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Изгой , 16-Дек-05 14:46

>Вот вам для примера кусок реально работающего конфига циски. Единственно что -
>на другой стороне не линукс, а FreeBSD (соответственно, за ISAKMP отвечает
>racoon).
>
>crypto isakmp policy 10
> encr 3des
> authentication pre-share
> group 2
> lifetime 3600
>crypto isakmp key такой-то address такой-то
>...
>crypto ipsec transform-set moscow-hub esp-3des
> mode transport
>...
>crypto map moscow-hub 1 ipsec-isakmp
> set peer такой-то
> set transform-set moscow-hub
> set pfs group2
> match address MOSCOW-HUB
>...
>interface Tunnel0
> description Tunnel to Moscow hub
> ip address 10.0.0.2 255.255.255.252
> ip mtu 1280
> ip tcp adjust-mss 1226
> ip ospf network non-broadcast
> ip ospf cost 100
> tunnel source адрес-роутера-cisco
> tunnel destination адрес-роутера-FreeBSD
> tunnel mode ipip
>...
>ip access-list extended MOSCOW-HUB
> permit ip host адрес-роутера-cisco host адрес-роутера-FreeBSD
>
>Как видите, всё тривиально. Криптомап наложен на физ. интерфейс циски (e0).
# ESP
conn conn_GU
        type=tunnel
        auth=ah
        authby=secret
        keyexchange=ike
auto=start
        left=192.168.100.2
        leftsubnet=172.38.2.0/24
        leftnexthop=192.168.100.1
        right=192.168.100.1
        rightsubnet=172.36.1.0/24
rightnexthop=
pfs=yes
        lifetime=3600
        esp=3des-md5-96
        ah=hmac-sha-1-96
--------
Ipsec.secrets
192.168.100.2 192.168.100.1 “12345” о увидел проглядел.
crypto isakmp policy 1
encr 3des
authentication pre-share
group 2
lifetime 3600
crypto isakmp key 12345 address 192.168.100.2
!
crypto ipsec transform-set Samara08 ah-sha-hmac esp-3des   похоже что у ва с на второй вазе разногласие идёт .
    mode tunnel
!
crypto map Sam08 1 ipsec-isakmp
set peer 192.168.100.2
set transform-set Samara08
set pfs group2
match address tun8

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Юлия , 16-Дек-05 14:57

nterface Tunnel0
description Tunnel to Moscow hub
ip address 10.0.0.2 255.255.255.252
ip mtu 1280
а с чем у вас связан такой MTU?

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено toor99 , 16-Дек-05 15:11

>nterface Tunnel0
>description Tunnel to Moscow hub
>ip address 10.0.0.2 255.255.255.252
>ip mtu 1280
>
>а с чем у вас связан такой MTU?
Это местные заморочки. Радиолинк. Не обращайте внимания.

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Юлия , 16-Дек-05 15:24

ну почему же... Wi-Fi? у меня там тоже радиолинк торчать будет после настройки ipsec... и принимать на линуксах в 4-х филиалах тоже будут точки... поэтому и интересуюсь, есть ли ньюансы

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено toor99 , 16-Дек-05 15:47

>ну почему же... Wi-Fi? у меня там тоже радиолинк торчать будет после
>настройки ipsec... и принимать на линуксах в 4-х филиалах тоже
>будут точки... поэтому и интересуюсь, есть ли ньюансы
В том месте, где этот роутер, местные "провайдеры" не совсем вменяемые ребята... Впечатление такое, что у них где-то перекрыты все ICMP. В результате возникает проблема с размером MTU в туннеле. Если у вас будет такая же проблема, вы это заметите очень быстро, не сомневайтесь.

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Изгой , 16-Дек-05 16:05

>>ну почему же... Wi-Fi? у меня там тоже радиолинк торчать будет после
>>настройки ipsec... и принимать на линуксах в 4-х филиалах тоже
>>будут точки... поэтому и интересуюсь, есть ли ньюансы
>
>В том месте, где этот роутер, местные "провайдеры" не совсем вменяемые ребята...
>Впечатление такое, что у них где-то перекрыты все ICMP. В результате
>возникает проблема с размером MTU в туннеле. Если у вас будет
>такая же проблема, вы это заметите очень быстро, не сомневайтесь.
Ага быстро ))) а вот некоторым голову сносит ) почему туда ууууууу а оттуда ху)

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Юлия , 16-Дек-05 16:20

убрала int tunnel 8
та же грустная картина :(
А не может это быть из-за того, что Ipsec ядра какой-нибудь урезанный?
Что-то он не весь конфиг freeswan понимает (md5, transport)
И еще - сообщений об ошибках нет, кроме 2-х подозрительных моментов -
1.
# ipsec look
cat: /proc/net/ipsec_spigrp:  No such file or directory
cat:  /proc/net/ipsec_eroute:  No such file or directory
grep:  /proc/net/ipsec_tncfg:  No such file or directory
sort:  open failed:  /proc/net/ipsec_spi:  No such file or directory
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         192.168.100.2   0.0.0.0         UG       40 0          0 ipsec0
172.36.1.0      192.168.100.1   255.255.255.0   UG       40 0          0 ipsec0
192.168.100.0   0.0.0.0         255.255.255.252 U        40 0          0 eth0
192.168.100.0   0.0.0.0         255.255.255.252 U        40 0          0 ipsec0
2. ipsec-plutorun: "conn_GU" :ignoring informational payload, type IPSEC_RESPONDER_LIFETIME
от этого может зависеть?
И еще - на линуксе файрвол не стоит, ipsec же тогда должен все пакеты пропускать?

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Изгой , 16-Дек-05 17:00

>убрала int tunnel 8
>та же грустная картина :(
>
>А не может это быть из-за того, что Ipsec ядра какой-нибудь урезанный?
>
>Что-то он не весь конфиг freeswan понимает (md5, transport)
>
>И еще - сообщений об ошибках нет, кроме 2-х подозрительных моментов -
>
>
>1.
># ipsec look
>
>cat: /proc/net/ipsec_spigrp:  No such file or directory
>cat:  /proc/net/ipsec_eroute:  No such file or directory
>grep:  /proc/net/ipsec_tncfg:  No such file or directory
>sort:  open failed:  /proc/net/ipsec_spi:  No such file or directory
>
>
>Destination     Gateway
>  Genmask
>Flags   MSS Window  irtt Iface
>0.0.0.0         192.168.100.2
>0.0.0.0         UG
>     40 0
>     0 ipsec0
>172.36.1.0      192.168.100.1   255.255.255.0
>UG       40 0
>       0 ipsec0
>192.168.100.0   0.0.0.0
>255.255.255.252 U        40 0
>         0 eth0
>
>192.168.100.0   0.0.0.0
>255.255.255.252 U        40 0
>         0 ipsec0
>
>
>2. ipsec-plutorun: "conn_GU" :ignoring informational payload, type IPSEC_RESPONDER_LIFETIME
>
>от этого может зависеть?
>
>И еще - на линуксе файрвол не стоит, ipsec же тогда должен
>все пакеты пропускать?
Туннель оставте , тут я посмотрел между фриисваном и циской туннель все применяют , попробуйте политики на циски выставить разные с приоритетом ,
потом надо будет разбираться со второй фазой.
к варианту политики на кошке encr  des, 3des   hash - md5, sha-I
метод у вас общии ключи
Параметр обмена ключами Группа 1 , Группа 2
время можно по умолчанию
это с политикой
Вторая фаза .. пора домой ) извините.

"IPSec+VPN (Suse <-> Cisco 2651) Прошу помочь!!!"
Отправлено Юлия , 19-Дек-05 10:44

С политикой попробую, но группу 1 и 2 фрисван (в моем случае) не понимает, дебаг показывает, что шлются на киску пакеты группы 5, и ругается на полиси , если там 1 или 2.

"Попытался воспроизвести."
Отправлено toor99 , 17-Дек-05 17:32

Я вот попытался воспроизвести вашу схему - с одной стороны Linux SuSE 9.3, с другой 1720 (за неимением 2651);IOS C1700-K9SY7-M, Version 12.2(15)T14.
1)
В /etc/ipsec.conf все крайне дефолтово:
conn ampfing
       left=%defaultroute
       right=адрес-роутера-cisco
       type=transport
       authby=secret
       auto=start
2) Кусок конфига циски:
crypto isakmp key какойтотамключ address адрес-роутера-linux no-xauth
...
crypto ipsec transform-set mytransformTEST esp-3des esp-md5-hmac
mode transport
...
crypto map MyVPN NN ipsec-isakmp
set peer адрес-роутера-linux
set transform-set mytransformTEST
set pfs group2
match address LINUX
...
ip access-list extended LINUX
permit ip host адрес-роутера-cisco host адрес-роутера-linux
Оно немедленно взлетело, без малейших проблем.
Как видите, всё крайне просто...

"Попыталась воспроизвести."
Отправлено Юлия , 19-Дек-05 11:21

Все снесла, решила проверить вариант, который работает у вас. Все еще хуже стало. Фазу 1 даже не проходит...
Может, нужно копать со стороны Линукса?
то что IPsec в ядре, может он урезанный какой-нибудь?

: Scanning profiles for xauth ...
3d15h: ISAKMP (0:84): Checking ISAKMP transform 0 against priority 1 policy
3d15h: ISAKMP:      life type in seconds
3d15h: ISAKMP:      life duration (basic) of 3600
3d15h: ISAKMP:      encryption 3DES-CBC
3d15h: ISAKMP:      hash SHA
3d15h: ISAKMP:      auth pre-share
3d15h: ISAKMP:      default group 5
3d15h: ISAKMP (0:84): Authentication method offered does not match policy!
3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3
3d15h: ISAKMP (0:84): Checking ISAKMP transform 1 against priority 1 policy
3d15h: ISAKMP:      life type in seconds
3d15h: ISAKMP:      life duration (basic) of 3600
3d15h: ISAKMP:      encryption 3DES-CBC
3d15h: ISAKMP:      hash MD5
3d15h: ISAKMP:      auth pre-share
3d15h: ISAKMP:      default group 5
3d15h: ISAKMP (0:84): Hash algorithm offered does not match policy!
3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3
3d15h: ISAKMP (0:84): Checking ISAKMP transform 2 against priority 1 policy
3d15h: ISAKMP:      life type in seconds
3d15h: ISAKMP:      life duration (basic) of 3600
3d15h: ISAKMP:      encryption 3DES-CBC
3d15h: ISAKMP:      hash SHA
3d15h: ISAKMP:      auth pre-share
3d15h: ISAKMP:      default group 2
3d15h: ISAKMP (0:84): Authentication method offered does not match policy!
3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3
3d15h: ISAKMP (0:84): Checking ISAKMP transform 3 against priority 1 policy
3d15h: ISAKMP:      life type in seconds
3d15h: ISAKMP:      life duration (basic) of 3600
3d15h: ISAKMP:      encryption 3DES-CBC
3d15h: ISAKMP:      hash MD5
3d15h: ISAKMP:      auth pre-share
3d15h: ISAKMP:      default group 2
3d15h: ISAKMP (0:84): Hash algorithm offered does not match policy!
3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 0
3d15h: ISAKMP (0:84): Checking ISAKMP transform 0 against priority 65535 policy
3d15h: ISAKMP:      life type in seconds
3d15h: ISAKMP:      life duration (basic) of 3600
3d15h: ISAKMP:      encryption 3DES-CBC
3d15h: ISAKMP:      hash SHA
3d15h: ISAKMP:      auth pre-share
3d15h: ISAKMP:      default group 5
3d15h: ISAKMP (0:84): Encryption algorithm offered does not match policy!
3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3
3d15h: ISAKMP (0:84): Checking ISAKMP transform 1 against priority 65535 policy
3d15h: ISAKMP:      life type in seconds
3d15h: ISAKMP:      life duration (basic) of 3600
3d15h: ISAKMP:      encryption 3DES-CBC
3d15h: ISAKMP:      hash MD5
3d15h: ISAKMP:      auth pre-share
3d15h: ISAKMP:      default group 5
3d15h: ISAKMP (0:84): Encryption algorithm offered does not match policy!
3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3
3d15h: ISAKMP (0:84): Checking ISAKMP transform 2 against priority 65535 policy
3d15h: ISAKMP:      life type in seconds
3d15h: ISAKMP:      life duration (basic) of 3600
3d15h: ISAKMP:      encryption 3DES-CBC
3d15h: ISAKMP:      hash SHA
3d15h: ISAKMP:      auth pre-share
3d15h: ISAKMP:      default group 2
3d15h: ISAKMP (0:84): Encryption algorithm offered does not match policy!
3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 3
3d15h: ISAKMP (0:84): Checking ISAKMP transform 3 against priority 65535 policy
3d15h: ISAKMP:      life type in seconds
3d15h: ISAKMP:      life duration (basic) of 3600
3d15h: ISAKMP:      encryption 3DES-CBC
3d15h: ISAKMP:      hash MD5
3d15h: ISAKMP:      auth pre-share
3d15h: ISAKMP:      default group 2
3d15h: ISAKMP (0:84): Encryption algorithm offered does not match policy!
3d15h: ISAKMP (0:84): atts are not acceptable. Next payload is 0
3d15h: ISAKMP (0:84): no offers accepted!
3d15h: ISAKMP (0:84): phase 1 SA policy not acceptable! (local 192.168.100.1 remote 192.168.100.2)

"Попыталась воспроизвести."
Отправлено Изгой , 19-Дек-05 11:52

Юлия , вы должны точно знать, что у вас совпадает 1 фаза , 2 фаза на Циско и Люнексе , то есть если на Циско все ясно то так же ясно для вас должны быть настройке на Люнексе,к  примеру первая фаза encr 3des . hash md5 . pre shere . group 2
(первая фаза ) - тоже самое для Люникса
2 фаза trans esp-3des . esp-sha-hmac . group 2 . трафик ( match adress  )
и на Люнексе тоже самое . Если всё это согласуете у вас будет работать и в туннельном режиме.
Вы можете описать трансформации и политику на люнексе ?
1 опишите политику -
2 опишите трансформацию -
Найдёте ответ на свой вопрос.
К примеру что за дефолтовая группа в Люнексе под номером 5
к примеру на Циске группа два - group 2 обозначает обмен ключами Дж Хафмана )  - точно не помню как его по имени и отчеству ) - 168 битными ключами - ну это на память ) group 1 - по умолчанию использует циско там поменьше

"Попыталась воспроизвести."
Отправлено Юлия , 20-Дек-05 17:53

Сорри, что не ответила - была в отъезде...
Нашла интересное -
SuSE integrated the USAGI patches into the service pack 2 of SuSE Linux Enterprise Server 8 (the enterprise product of SuSE). Update kernels to SuSE Linux 8.1 since June 2003 also include the USAGI patches.
(мой случай)
и дальше...
The new IPsec kernel module unfortunately breaks FreeS/WAN, due to a different pfkey protocol. Keys for connections can be managed by the pfkey utility, but we've also created adapted FreeS/WAN packages. These won't work on normal kernels, nor will normal FreeS/WAN packages work on a USAGI/CGL kernel.
Я так понимаю, мне стоит еще задать pfkey, несмотря на настройки фрисвана...

"Попыталась воспроизвести."
Отправлено toor99 , 19-Дек-05 12:53

Понятно.
На циске поставьте в самый верх
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 5
Это отвечает именно за фазу 1 ISAKMP.
"в самый верх" означает, что остальные "crypto isakmp policy" желательно чтобы имели номера >1.

"Попыталась воспроизвести."
Отправлено Изгой , 21-Дек-05 09:21

>Понятно.
>На циске поставьте в самый верх
>
>crypto isakmp policy 1
> encr 3des
> hash md5
> authentication pre-share
> group 5
>
>Это отвечает именно за фазу 1 ISAKMP.
>"в самый верх" означает, что остальные "crypto isakmp policy" желательно чтобы имели номера >1.
Ещё раз
Вот ваш конфиг на Люне
# ESP
conn conn_GU
        type=tunnel
        auth=ah
        authby=secret
        keyexchange=ike
auto=start
        left=192.168.100.2
        leftsubnet=172.38.2.0/24
        leftnexthop=192.168.100.1
        right=192.168.100.1
        rightsubnet=172.36.1.0/24
rightnexthop=
pfs=yes
        lifetime=3600
        esp=3des-md5-96
        ah=hmac-sha-1-96
--------
Ipsec.secrets
192.168.100.2 192.168.100.1 “12345”
Опишите для себя первую фазу , вторую фазу , елси бы я разбирался в Люнексе , меня бы уже не было здесь. Кое что для меня понятно из конфига но что то мои догадки.

"Попыталась воспроизвести."
Отправлено toor99 , 21-Дек-05 10:58

>>Понятно.
>>На циске поставьте в самый верх
>>
>>crypto isakmp policy 1
>> encr 3des
>> hash md5
>> authentication pre-share
>> group 5
>>
>>Это отвечает именно за фазу 1 ISAKMP.
>>"в самый верх" означает, что остальные "crypto isakmp policy" желательно чтобы имели номера >1.
>
>Ещё раз
>
>Вот ваш конфиг на Люне
># ESP
>conn conn_GU
>        type=tunnel
>        auth=ah
>        authby=secret
>        keyexchange=ike
>auto=start
>        left=192.168.100.2
>        leftsubnet=172.38.2.0/24
>        leftnexthop=192.168.100.1
>        right=192.168.100.1
>        rightsubnet=172.36.1.0/24
>rightnexthop=
>pfs=yes
>        lifetime=3600
>        esp=3des-md5-96
>        ah=hmac-sha-1-96
>--------
>Ipsec.secrets
>192.168.100.2 192.168.100.1 “12345”
>
>Опишите для себя первую фазу , вторую фазу , елси бы я
>разбирался в Люнексе , меня бы уже не было здесь. Кое
>что для меня понятно из конфига но что то мои догадки.
>
Спасибо, но с фазами у меня полное понимание :)  Ты не тому отвечаешь.

"Попыталась воспроизвести."
Отправлено Изгой , 21-Дек-05 11:41

>>>Понятно.
>>>На циске поставьте в самый верх
>>>
>>>crypto isakmp policy 1
>>> encr 3des
>>> hash md5
>>> authentication pre-share
>>> group 5
>>>
>>>Это отвечает именно за фазу 1 ISAKMP.
>>>"в самый верх" означает, что остальные "crypto isakmp policy" желательно чтобы имели номера >1.
>>
>>Ещё раз
>>
>>Вот ваш конфиг на Люне
>># ESP
>>conn conn_GU
>>        type=tunnel
>>        auth=ah
>>        authby=secret
>>        keyexchange=ike
>>auto=start
>>        left=192.168.100.2
>>        leftsubnet=172.38.2.0/24
>>        leftnexthop=192.168.100.1
>>        right=192.168.100.1
>>        rightsubnet=172.36.1.0/24
>>rightnexthop=
>>pfs=yes
>>        lifetime=3600
>>        esp=3des-md5-96
>>        ah=hmac-sha-1-96
>>--------
>>Ipsec.secrets
>>192.168.100.2 192.168.100.1 “12345”
>>
>>Опишите для себя первую фазу , вторую фазу , елси бы я
>>разбирался в Люнексе , меня бы уже не было здесь. Кое
>>что для меня понятно из конфига но что то мои догадки.
>>
>
>Спасибо, но с фазами у меня полное понимание :)  Ты не
>тому отвечаешь.
toor99 ) Ну понятно что это для Юли , прости если обидел:)