- Cisco router + IPSEC + linux,
 khalaltsk, 20:06 , 19-Июл-10 (1)в режиме дебага пишет: 2010-07-19 23:05:41: DEBUG: pfkey X_SPDDUMP failed: No such file or directory
- Cisco router + IPSEC + linux, j_vw, 20:30 , 19-Июл-10 (2)
>в режиме дебага пишет: 2010-07-19 23:05:41: DEBUG: pfkey X_SPDDUMP failed: No such
>file or directory Ну, ощущение, что по первой фазе не договариваются...
В Униксах не спец, так что дайте debug crypto isakmp в момент коннекта.... P.S. Есть работающие тунели Cis - Unix....
Но, со стороны Cis, строил я, а со стороны *nix - Униксовый админ....
P.P.S. И мы строили GRE over IPSEC.
- Cisco router + IPSEC + linux, khalaltsk, 20:44 , 19-Июл-10 (3)
*Jul 19 16:43:05.225: ISAKMP: set new node 0 to QM_IDLE
*Jul 19 16:43:05.225: ISAKMP:(7043): sitting IDLE. Starting QM immediately (QM_IDLE )
*Jul 19 16:43:05.225: ISAKMP:(7043):beginning Quick Mode exchange, M-ID of -1061490714
*Jul 19 16:43:05.225: ISAKMP:(7043):QM Initiator gets spi
*Jul 19 16:43:05.225: ISAKMP:(7043): sending packet to 10.10.0.91 my_port 500 peer_port 500 (I) QM_IDLE
*Jul 19 16:43:05.225: ISAKMP:(7043):Node -1061490714, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
*Jul 19 16:43:05.225: ISAKMP:(7043):Old State = IKE_QM_READY New State = IKE_QM_I_QM1
*Jul 19 16:43:05.269: ISAKMP:(7043): retransmitting phase 2 QM_IDLE 687866144 ...
*Jul 19 16:43:05.269: ISAKMP (0:7043): incrementing error counter on node, attempt 3 of 5: retransmit phase 2
*Jul 19 16:43:05.269: ISAKMP (0:7043): incrementing error counter on sa, attempt 3 of 5: retransmit phase 2
*Jul 19 16:43:05.269: ISAKMP:(7043): retransmitting phase 2 687866144 QM_IDLE
*Jul 19 16:43:05.269: ISAKMP:(7043): sending packet to 10.10.0.91 my_port 500 peer_port 500 (I) QM_IDLE
*Jul 19 16:43:15.225: ISAKMP:(7043): retransmitting phase 2 QM_IDLE -1061490714 ...
*Jul 19 16:43:15.225: ISAKMP (0:7043): incrementing error counter on node, attempt 1 of 5: retransmit phase 2
*Jul 19 16:43:15.225: ISAKMP (0:7043): incrementing error counter on sa, attempt 4 of 5: retransmit phase 2
*Jul 19 16:43:15.225: ISAKMP:(7043): retransmitting phase 2 -1061490714 QM_IDLE
*Jul 19 16:43:15.225: ISAKMP:(7043): sending packet to 10.10.0.91 my_port 500 peer_port 500 (I) QM_IDLE
*Jul 19 16:43:15.269: ISAKMP:(7043): retransmitting phase 2 QM_IDLE 687866144 ...
*Jul 19 16:43:15.269: ISAKMP (0:7043): incrementing error counter on node, attempt 4 of 5: retransmit phase 2
*Jul 19 16:43:15.269: ISAKMP (0:7043): incrementing error counter on sa, attempt 5 of 5: retransmit phase 2
*Jul 19 16:43:15.269: ISAKMP:(7043): retransmitting phase 2 687866144 QM_IDLE
*Jul 19 16:43:15.269: ISAKMP:(7043): sending packet to 10.10.0.91 my_port 500 peer_port 500 (I) QM_IDLE
- Cisco router + IPSEC + linux, Andrew Kolchoogin, 11:25 , 20-Июл-10 (4)
>Пытаюсь связать Cisco Router 3845 и линукс машину по ipsec Что ж, дело хорошее... :) >interface Tunnel0
> tunnel mode ipip
> tunnel checksum
> crypto map tunnel0 Мнда. :) Тяжко тебе будет, без знания матчасти-то... :))) Во-первых, вы уж определитесь -- либо писать, либо трахаться. Если, как и все, трахаться, то: а) tunnel mode ipsec ipv4
b) никаких tunnel checksum -- оно глючное и кривое.
c) никаких crypto map -- tunnel protection ipsec profile <имя профиля> Вместо crypto map создайте ipsec profile -- практически так же, как и crypto map, он будет устроен. Если, как маленькие, только писать, то: a) interface Tunnel0 _вообще не нужен_ -- IP Security работает и БЕЗ выделенного интерфейса (впрочем, из-за этого и появляется главный недостаток "чистого" IPSec -- через IPSec Tunnel Mode ходят ТОЛЬКО Юникасты).
b) crypto map вешается на ИСХОДЯЩИЙ ИНТЕРФЕЙС С ПУБЛИЧНЫМ IP-АДРЕСОМ: Fa0/Gi3/Se1/1/0/Di5/и так далее. И вообще, книги надо читать ДО того, как что-то собираешься настраивать, а не ПОСЛЕ, и уж тем более не ВМЕСТО. :)
- Cisco router + IPSEC + linux, khalal, 13:30 , 20-Июл-10 (5)
у меня была задача создать ipip туннель между двумя площадками, по нему пустить трафик между сетями и зашифровать его. что собственно я и сделал. задача кстати решена. а шифровать весь трафик на физическоим интерфейсе мне не нужно.
- Cisco router + IPSEC + linux, khalal, 14:54 , 20-Июл-10 (6)
создал полиси. только один вопрос остался: как привязать access-list к ipsec policy ?а то теперь линукс не хочет состыковыватся и пишет такую бяку
Jul 20 17:53:33 vmlinux racoon: DEBUG: getsainfo params: loc='0.0.0.0/0', rmt='0.0.0.0/0', peer='10.10.0.92', id=0
Jul 20 17:53:33 vmlinux racoon: DEBUG: getsainfo pass #1
Jul 20 17:53:33 vmlinux racoon: DEBUG: evaluating sainfo: loc='172.16.1.0/24', rmt='192.168.1.0/24', peer='ANY', id=0
Jul 20 17:53:33 vmlinux racoon: DEBUG: getsainfo pass #2
Jul 20 17:53:33 vmlinux racoon: DEBUG: evaluating sainfo: loc='172.16.1.0/24', rmt='192.168.1.0/24', peer='ANY', id=0
Jul 20 17:53:33 vmlinux racoon: DEBUG: check and compare ids : value mismatch (IPv4_subnet)
- Cisco router + IPSEC + linux, karen durinyan, 15:13 , 20-Июл-10 (7)
>[оверквотинг удален]
>Jul 20 17:53:33 vmlinux racoon: DEBUG: getsainfo params: loc='0.0.0.0/0', rmt='0.0.0.0/0', peer='10.10.0.92', id=0
>
>Jul 20 17:53:33 vmlinux racoon: DEBUG: getsainfo pass #1
>Jul 20 17:53:33 vmlinux racoon: DEBUG: evaluating sainfo: loc='172.16.1.0/24', rmt='192.168.1.0/24', peer='ANY', id=0
>
>Jul 20 17:53:33 vmlinux racoon: DEBUG: getsainfo pass #2
>Jul 20 17:53:33 vmlinux racoon: DEBUG: evaluating sainfo: loc='172.16.1.0/24', rmt='192.168.1.0/24', peer='ANY', id=0
>
>Jul 20 17:53:33 vmlinux racoon: DEBUG: check and compare ids : value
>mismatch (IPv4_subnet) v crypto map ....
match address acl_name/number
- Cisco router + IPSEC + linux, khalaltsk, 17:09 , 20-Июл-10 (8)
В том и дело что мудрые товарищи говорят не юзать crypto map на интерфейсе типа tunnel
- Cisco router + IPSEC + linux, Andrew Kolchoogin, 18:46 , 20-Июл-10 (9)
> В том и дело что мудрые товарищи говорят не юзать crypto map
> на интерфейсе типа tunnel Тут дело вот в чём. Тут ведь дело, как я уже говорил, в незнании матчасти. IP Security в IPv4 умеет, как известно, работать в четырёх режимах. Первый и второй режимы -- транспортные. Можно ничего не шифровать, только контрольные суммы криптографически считать, тогда получим AH Transport Mode (AH == Authentication Header). Можно и пошифровать, тогда получим ESP Transport Mode (ESP == Encapsulated Security Payload). Третий и четвёртый режимы -- туннельные. AH Tunnel Mode и ESP Tunnel Mode соответственно. Если посмотреть в конфиги, то видно из них буквально следующее: на Линуксе "по образцу из Интернета" сконфигурирован IPSec ESP Tunnel Mode. А в ответ ему на Циске сконфигурировано непонятно, что. Если вам нужно затуннелить (то есть, пробросить поверх публичной сети пакеты с приватной адресацией) трафик, тогда зачем вам IP-IP? Почему бы просто не воспользоваться IPSec Tunnel Mode? Если вы хотите таки IP-IP-туннель, то покажите настройки IP-IP-декапсулятора на Линуксе и определитесь, как вы будете передавать УЖЕ ЗАИНКАПСУЛИРОВАННЫЙ В IP-IP трафик -- транспортом или туннелем? Если транспортом, тогда SA в Линуксе будет не таким. Если туннелем -- то где ЕЩЁ ОДНА пара IP-адресов для туннелирования?-)
- Cisco router + IPSEC + linux, khalal, 14:19 , 21-Июл-10 (10)
crypto keyring key_tunnel0
pre-shared-key address 10.10.0.91 key cisco
!
crypto isakmp policy 1
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key cisco address 10.10.0.91
crypto isakmp profile isakmp_tunnel0
keyring key_tunnel0
match identity address 10.10.0.91 255.255.255.255
local-address 10.10.0.92
!
!
crypto ipsec transform-set VPN esp-3des esp-md5-hmac
!
crypto ipsec profile ipsec_tunnel0
set transform-set VPN
set pfs group2
set isakmp-profile isakmp_tunnel0
!
interface Tunnel0
ip address 192.168.3.1 255.255.255.252
ip mtu 1460
ip ospf authentication
ip ospf authentication-key 7 110A1016141D
tunnel source 10.10.0.92
tunnel destination 10.10.0.91
tunnel mode ipsec ipv4
tunnel checksum
! на стороне циски прописал на линуксе дописал sainfo address 192.168.3.2/32 any address 192.168.3.1/32 any {
# sainfo anonymous {
pfs_group 2; # pfs_group modp768;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
в итоге tunnel0 даже не поднимается. в дауне. куда копать?
к сожалению на ICND про ipsec не читали, а настроить край надо :(
|
Версия для распечатки
Cisco router + IPSEC + linux, 
