https://opennet.me/openforum/vsluhforumID6/19319.html Добрый день. Нужно поднять VPN IPSec tunnel между CISCO 2821 и Linux чтобы пробросит сетку удаленную 192.168.0.0/24 и 10.0.1.0/24<br><br>Первая фаза проходит успешно, а вот на втором этапе циска предлагает <br><br>Jul 22 16:13:44 10.1.1.1 135367: local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),<br>Jul 22 16:13:44 10.1.1.1 135368: remote_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),<br><br>то есть вместо нужных адресов сетей подставляет 0.0.0.0, на что ракун с другой стороны соответственно ругается, потому что с стороны ракуна описаны правила на определенные сети.<br><br>Jul 22 16:12:37 mon racoon: ERROR: no policy found: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in<br>Jul 22 16:12:37 mon racoon: ERROR: failed to get proposal for responder.<br>Jul 22 16:12:37 mon racoon: ERROR: failed to pre-process packet.<br><br>Конфиг циски (на ней параллельно живут и работают ВПН для виндовых клиентов):<br>X.X.X.X - внешний адрес Linux<br>Y.Y.Y.Y - внешний адрес Cisco<br>выкладываю часть, которая относится к ВПНам.<br><br>vpdn enable<br>vpdn logging<br>!<br>vpdn-group VPDN https://opennet.me/openforum/vsluhforumID6/19319.html#38 Thu, 23 Jul 2009 14:44:52 GMT &gt;[оверквотинг удален]<br>&gt;64 bytes from X.X.X.X: icmp_seq=5 ttl=255 time=0.859 ms <br>&gt;64 bytes from X.X.X.X: icmp_seq=6 ttl=255 time=0.965 ms <br>&gt;64 bytes from X.X.X.X: icmp_seq=7 ttl=255 time=0.868 ms <br>&gt;64 bytes from X.X.X.X: icmp_seq=8 ttl=255 time=0.821 ms <br>&gt;64 bytes from X.X.X.X: icmp_seq=9 ttl=255 time=0.926 ms <br>&gt;<br>&gt;тоесть отвечает внешний интерфейс а не тот адрес который я пингую <br>&gt;<br>&gt;Я на линуксе ввобще выключил ракун, но циска пингует этот адрес - <br>&gt;у меня уже крыша едет... <br><br>Подправил файрволи и аксес листы - все заработало))). То есть основной момент был таки в тех тунелях... отак вот...<br><br>Долго гуглил и нашел похожую ситуацию<br>amkbailey:<br>AT&T finally got the DSL up and running. Turns out the problem was caused by another tunnel's ACL that I added before this one. That tunnel wasn't needed anymore so I deleted the tunnel and applicable ACL's for it and the new tunnel started working.<br> https://opennet.me/openforum/vsluhforumID6/19319.html#37 Thu, 23 Jul 2009 13:59:36 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Jul 23 15:41:30 10.1.1.1 174242: 122296: Jul 23 14:41:29.881 PCTime: ISAKMP:(0:7:SW:1): phase <br>&gt;&gt;2 SA policy not acceptable! (local Y.Y.Y.Y rem <br>&gt;&gt;ote X.X.X.X) <br>&gt;<br>&gt;ПАБЕДА!! <br>&gt;<br>&gt;В общем у меня оставались два инетрефейса тенль0 и тунель1 . Они <br>&gt;были выключены, но по ходу как то путались криптомапы. В первомт <br>&gt;енль0 тоже было прописано destinaton X.X.X.X , вот оно и путалось. <br>&gt;Удалил два виртуальных интерфейса - и все заработало))) <br><br>ТАКИ не победа. Меня ужо глючит. После сноса интерфейса при попытке пингонуть с линукса<br>[root@mon]~# ping 10.1.1.1<br>PING 10.1.1.1 (10.1.1.1) 56(84) bytes of data.<br>64 bytes from X.X.X.X: icmp_seq=1 ttl=255 time=1.21 ms<br>64 bytes from X.X.X.X: icmp_seq=2 ttl=255 time=0.897 ms<br>64 bytes from X.X.X.X: icmp_seq=3 ttl=255 time=0.899 ms<br>64 bytes from X.X.X.X: icmp_seq=4 ttl=255 time=0.853 ms<br>64 bytes from X.X.X.X: icmp_seq=5 ttl=255 time=0.859 ms<br>64 bytes from X.X.X.X: icmp_seq=6 ttl=255 time=0.965 ms<br>64 bytes from X.X.X.X: icmp_seq=7 ttl=255 t https://opennet.me/openforum/vsluhforumID6/19319.html#36 Thu, 23 Jul 2009 13:46:53 GMT &gt;[оверквотинг удален]<br>&gt;Jul 23 15:41:30 10.1.1.1 174239: 122293: Jul 23 14:41:29.881 PCTime: CryptoEngine0: validate <br>&gt;proposal request <br>&gt;Jul 23 15:41:30 10.1.1.1 174240: 122294: Jul 23 14:41:29.881 PCTime: IPSEC(validate_transform_proposal): no <br>&gt;IPSEC cryptomap exists for local addres <br>&gt;s Y.Y.Y.Y <br>&gt;Jul 23 15:41:30 10.1.1.1 174241: 122295: Jul 23 14:41:29.881 PCTime: ISAKMP:(0:7:SW:1): IPSec <br>&gt;policy invalidated proposal <br>&gt;Jul 23 15:41:30 10.1.1.1 174242: 122296: Jul 23 14:41:29.881 PCTime: ISAKMP:(0:7:SW:1): phase <br>&gt;2 SA policy not acceptable! (local Y.Y.Y.Y rem <br>&gt;ote X.X.X.X) <br><br>ПАБЕДА!!<br><br>В общем у меня оставались два инетрефейса тенль0 и тунель1 . Они были выключены, но по ходу как то путались криптомапы. В первомт енль0 тоже было прописано destinaton X.X.X.X , вот оно и путалось. Удалил два виртуальных интерфейса - и все заработало)))<br> https://opennet.me/openforum/vsluhforumID6/19319.html#35 Thu, 23 Jul 2009 12:44:44 GMT &gt;[оверквотинг удален]<br>&gt;<br>&gt;Использование описывается в setkey <br>&gt;Вот пример когда включена компресия <br>&gt;spdadd 172.16.2.0/24 172.16.1.0/24 any -P out ipsec <br>&gt; ipcomp/transport//use <br>&gt; esp/tunnel/1.2.3.5-1.2.3.4/require; <br>&gt;<br>&gt;В моем случае ее нету. <br>&gt;<br>&gt;Помогите разобраться почему не работает(((( <br><br>В общем со стороны линукса пингуется(и приходять ответы). а от с стороны линукса не пингуется<br><br>Jul 23 15:41:30 10.1.1.1 174239: 122293: Jul 23 14:41:29.881 PCTime: CryptoEngine0: validate proposal request<br>Jul 23 15:41:30 10.1.1.1 174240: 122294: Jul 23 14:41:29.881 PCTime: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local addres<br>s Y.Y.Y.Y<br>Jul 23 15:41:30 10.1.1.1 174241: 122295: Jul 23 14:41:29.881 PCTime: ISAKMP:(0:7:SW:1): IPSec policy invalidated proposal<br>Jul 23 15:41:30 10.1.1.1 174242: 122296: Jul 23 14:41:29.881 PCTime: ISAKMP:(0:7:SW:1): phase 2 SA policy not acceptable! (local Y.Y.Y.Y rem<br>ote X.X.X.X)<br> https://opennet.me/openforum/vsluhforumID6/19319.html#34 Thu, 23 Jul 2009 08:53:38 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Вторая машина не моя. Я просто у себя поднял тестовый линукс и <br>&gt;&gt;пробую завязать. А реальная машина с которой я буду завязывать работает <br>&gt;&gt;на Линукс + Ракун + ИПСекТулс и никто там не будет <br>&gt;&gt;менять нечего, только пропишут необходимые настройки. <br>&gt;<br>&gt;Что то у меня подрозрение на то, что CISCO router 2800 не <br>&gt;поддерживают сжатие compression_algorithm deflate; <br>&gt;<br>&gt;А Ракун только с ним и может работать. Отключить в ракуне не <br>&gt;можна. А циске либо никакого сжатия, либо IP_COMPRESSION (COMP-LZS) <br><br>Таки нет.То что он описан в ракун не означает что он используеться.<br>Использование описывается в setkey<br>Вот пример когда включена компресия <br>spdadd 172.16.2.0/24 172.16.1.0/24 any -P out ipsec<br>ipcomp/transport//use<br>esp/tunnel/1.2.3.5-1.2.3.4/require;<br><br>В моем случае ее нету.<br><br>Помогите разобраться почему не работает((((<br> https://opennet.me/openforum/vsluhforumID6/19319.html#33 Thu, 23 Jul 2009 08:39:44 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt;found. <br>&gt;&gt;&gt;Jul 23 10:25:58 mon racoon: ERROR: Y.Y.Y.Y give up to get IPsec-SA <br>&gt;&gt;&gt;due to time up to wait. <br>&gt;&gt;<br>&gt;&gt; Может дело в Linux-е, попробуйте может openswan заработает? <br>&gt;<br>&gt;Вторая машина не моя. Я просто у себя поднял тестовый линукс и <br>&gt;пробую завязать. А реальная машина с которой я буду завязывать работает <br>&gt;на Линукс + Ракун + ИПСекТулс и никто там не будет <br>&gt;менять нечего, только пропишут необходимые настройки. <br><br>Что то у меня подрозрение на то, что CISCO router 2800 не поддерживают сжатие compression_algorithm deflate;<br><br>А Ракун только с ним и может работать. Отключить в ракуне не можна. А циске либо никакого сжатия, либо IP_COMPRESSION (COMP-LZS)<br> https://opennet.me/openforum/vsluhforumID6/19319.html#32 Thu, 23 Jul 2009 07:49:03 GMT &gt;[оверквотинг удален]<br>&gt;&gt;Jul 23 10:25:42 mon racoon: INFO: ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:e7ccebec074add40:66341efea9e314 <br>&gt;&gt;0a <br>&gt;&gt;Jul 23 10:25:42 mon racoon: ERROR: unknown Informational exchange received. <br>&gt;&gt;Jul 23 10:25:43 mon racoon: INFO: initiate new phase 2 negotiation: X.X.X.X[500]&lt;=&gt;Y.Y.Y.Y[500]<br>&gt;&gt;Jul 23 10:25:43 mon racoon: ERROR: unknown notify message, no phase2 handle <br>&gt;&gt;found. <br>&gt;&gt;Jul 23 10:25:58 mon racoon: ERROR: Y.Y.Y.Y give up to get IPsec-SA <br>&gt;&gt;due to time up to wait. <br>&gt;<br>&gt; Может дело в Linux-е, попробуйте может openswan заработает? <br><br>Вторая машина не моя. Я просто у себя поднял тестовый линукс и пробую завязать. А реальная машина с которой я буду завязывать работает на Линукс + Ракун + ИПСекТулс и никто там не будет менять нечего, только пропишут необходимые настройки.<br> https://opennet.me/openforum/vsluhforumID6/19319.html#31 Thu, 23 Jul 2009 07:44:43 GMT &gt;[оверквотинг удален]<br>&gt;Jul 23 10:25:42 mon racoon: INFO: received Vendor ID: DPD <br>&gt;Jul 23 10:25:42 mon racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt <br>&gt;Jul 23 10:25:42 mon racoon: INFO: ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:e7ccebec074add40:66341efea9e314 <br>&gt;0a <br>&gt;Jul 23 10:25:42 mon racoon: ERROR: unknown Informational exchange received. <br>&gt;Jul 23 10:25:43 mon racoon: INFO: initiate new phase 2 negotiation: X.X.X.X[500]&lt;=&gt;Y.Y.Y.Y[500]<br>&gt;Jul 23 10:25:43 mon racoon: ERROR: unknown notify message, no phase2 handle <br>&gt;found. <br>&gt;Jul 23 10:25:58 mon racoon: ERROR: Y.Y.Y.Y give up to get IPsec-SA <br>&gt;due to time up to wait. <br><br> Может дело в Linux-е, попробуйте может openswan заработает?<br> https://opennet.me/openforum/vsluhforumID6/19319.html#30 Thu, 23 Jul 2009 07:28:47 GMT &gt;&gt;&gt;а почему опять dynamic-map? <br>&gt;&gt;&gt;я ж дал пример. <br>&gt;&gt;<br>&gt;&gt;А как я туда впихну своих виндовых? Там пример без них. А <br>&gt;&gt;они то все на одном внешнем интерфейсе живут. <br>&gt;<br>&gt;ну что ты за странный человек.... <br>&gt;ты хоть попробовал, один и тот же мап, с разными приоритетами, но <br>&gt;второй без dynamic <br>&gt;ты хоть пробуй чтоль. <br><br>Попробовал.<br>Не работает. Описую все симптомы.<br><br>Конфиг циски:<br>crypto isakmp policy 10<br> encr 3des<br> hash md5<br> authentication pre-share<br> group 2<br> lifetime 3600<br>!<br>crypto isakmp policy 20<br> encr 3des<br> authentication pre-share<br> group 2<br>!<br>crypto isakmp policy 30<br> encr 3des<br> hash md5<br> authentication pre-share<br> group 2<br>!<br>crypto isakmp key SECRETKEY1 address X.X.X.X<br>crypto isakmp key SECRETKEY2 address 0.0.0.0 0.0.0.0<br>!<br>!<br>crypto ipsec transform-set L2TP esp-3des esp-md5-hmac<br> mode transport<br>crypto ipsec transform-set L2TP_V ah-sha-hmac esp-3des esp-sha-hmac<br> mode transport<br>crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac<br> mode transport<br>!<br>crypto dynamic-m