Настройка VPN IPSec для cisco vpn clients
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
BI_J
- сержант
- Сообщения: 154
- Зарегистрирован: 2008-09-19 12:21:10
Re: Настройка VPN IPSec для cisco vpn clients
Спасибо большое. Буду пробовать!
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
BI_J
- сержант
- Сообщения: 154
- Зарегистрирован: 2008-09-19 12:21:10
Re: Настройка VPN IPSec для cisco vpn clients
День добрый господа.
Установил FreeBSD 8.0 все собралось и установилось.
Задача
Настроить IPSEC между FreeBSD 8.0 outIP:1.2.3.4 inIP:10.1.3.97 и Juniper outIP: 81.23.29.62 inIP:не дают (мол и так должно работать)
/etc/rc.conf
/etc/ipsec.conf
/usr/local/etc/racoon/racoon.conf
/usr/local/etc/racoon/psk.txt
/var/log/racoon.log
Подскажите как это побороть.
Спасибо
Установил FreeBSD 8.0 все собралось и установилось.
Задача
Настроить IPSEC между FreeBSD 8.0 outIP:1.2.3.4 inIP:10.1.3.97 и Juniper outIP: 81.23.29.62 inIP:не дают (мол и так должно работать)
/etc/rc.conf
Код: Выделить всё
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="1.2.3.4 81.23.29.62"
ifconfig_gif0="inet 10.1.3.97 10.20.10.???(что тут указать не знаю) netmask 0xffffffff"/etc/ipsec.conf
Код: Выделить всё
flush;
spdflush;
spdadd 10.1.3.0/24 10.20.10.0/24 any -P out ipsec esp/tunnel/1.2.3.4-81.23.29.62/use;
spdadd 10.20.10.0/24 10.1.3.0/24 any -P in ipsec esp/tunnel/81.23.29.62-1.2.3.4/use;Код: Выделить всё
path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
log debug;
#################################################################
padding {
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
listen {
isakmp 1.2.3.4 [500];
isakmp_natt 1.2.3.4 [4500];
}
timer {
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per a send.
phase1 30 sec;
phase2 15 sec;
}
remote 81.23.29.62 [500] {
exchange_mode aggressive,main,base;
doi ipsec_doi;
situation identity_only;
my_identifier address 1.2.3.4;
peers_identifier address 81.23.29.62;
nonce_size 16;
lifetime time 1440 min; # sec,min,hour
initial_contact on;
support_proxy on;
proposal_check obey; # obey, strict or claim
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous {
pfs_group 2;
lifetime time 36 hour;
encryption_algorithm 3des,blowfish,des;
authentication_algorithm hmac_md5,hmac_sha1;
compression_algorithm deflate;
}Код: Выделить всё
81.23.29.62 bla-bla$
Код: Выделить всё
2010-03-02 18:06:36: DEBUG: ===
2010-03-02 18:06:36: DEBUG: 340 bytes message received from 81.23.29.62[500] to 1.2.3.4[500]
2010-03-02 18:06:36: DEBUG:
148d38d3 06afec88 02dbec44 0bb28b44 08102001 98c16a24 00000154 e05960ea
4b6c1310 be6cb18a fe21e6f2 54b942ae 360241e5 9ceebbf7 65152601 bd77b852
2e3395ba 53e23619 e1837526 b748bc16 94598d3d 5f503b6c 3678641d d988d5e0
f661f7f8 f99480b8 b1f2e700 6bfc5478 54a0163b afda842e fbb3e545 ae9b816d
05aa14dd 8d3fded0 5d1dcd84 a0c27d2d 985a46b3 60b1619c e0a11a76 e4a380f0
d9dd992a c3ba9e0d 3aeb50b6 1fe8fb52 a3f09949 0e8f06d7 db111323 39bef228
d14b074b 3056744e d7a0aa19 51b9cb20 be4cc3d6 bb84ab24 7047ed4c 4c0e50e6
eed0acea b8b34eca 2861397b 5416f112 1b2a863f 1a0691f2 646b9ed8 32dd81ce
d62e90d5 3063dba9 bae9a472 301a7ea7 ae0fcfb0 e631040c c2cf8d03 30ec085d
d7929a8d 388c8475 4e95176a d83bf315 7fef3502 43948adf 6f66cf1a 7d755b0a
29bcf628 d8c239c1 f35a7f84 18f2ce8f b6888698
2010-03-02 18:06:36: DEBUG: compute IV for phase2
2010-03-02 18:06:36: DEBUG: phase1 last IV:
2010-03-02 18:06:36: DEBUG:
dcf97632 c05153fb 98c16a24
2010-03-02 18:06:36: DEBUG: hash(md5)
2010-03-02 18:06:36: DEBUG: encryption(3des)
2010-03-02 18:06:36: DEBUG: phase2 IV computed:
2010-03-02 18:06:36: DEBUG:
ee8393b9 3e1cf4bf
2010-03-02 18:06:36: DEBUG: ===
2010-03-02 18:06:36: INFO: respond new phase 2 negotiation: 1.2.3.4[500]<=>81.23.29.62[500]
2010-03-02 18:06:36: DEBUG: begin decryption.
2010-03-02 18:06:36: DEBUG: encryption(3des)
2010-03-02 18:06:36: DEBUG: IV was saved for next processing:
2010-03-02 18:06:36: DEBUG:
18f2ce8f b6888698
2010-03-02 18:06:36: DEBUG: encryption(3des)
2010-03-02 18:06:36: DEBUG: with key:
2010-03-02 18:06:36: DEBUG:
00b38414 d13c9790 9c44ec2c 01da5f9d 107dcd6c 4835ad68
2010-03-02 18:06:36: DEBUG: decrypted payload by IV:
2010-03-02 18:06:36: DEBUG:
ee8393b9 3e1cf4bf
2010-03-02 18:06:36: DEBUG: decrypted payload, but not trimed.
2010-03-02 18:06:36: DEBUG:
01000014 4cf40ee0 9c7081e5 1b003cf5 641dbb6e 0a000038 00000001 00000001
0000002c 01030401 44176119 00000020 01030000 80050001 80010001 00020004
00015180 80030002 80040001 04000044 a81faa98 4206da16 910d54b9 79c40004
96fe2da2 59cea21d 1ef1b968 2f2dc6d8 79c12c71 bac299ae 14c3c7d9 72056245
1775704e f9d533e2 430d8fdb ac77fa24 05000084 50ed1d4e eb2b289d 821f6e0a
c5ee8021 aac6ff86 f1e62a45 9dbaa3ba 871261b9 64d7a3de 972efeb8 1ee4d345
1882efa2 5812138b 14fa09aa 4a688139 d5a0c168 11fd95cb a07f1b0a 88765644
7c7f79b8 82c66926 43fa048b 02877fa2 fd690e5b beb6d0df 501abe6a 2eb364bf
05fbf7ff 2c0d45e3 18f75551 122341a2 e4c87869 05000010 04000000 00000000
00000000 00000010 04000000 00000000 00000000 00000000
2010-03-02 18:06:36: DEBUG: padding len=0
2010-03-02 18:06:36: DEBUG: skip to trim padding.
2010-03-02 18:06:36: DEBUG: decrypted.
2010-03-02 18:06:36: DEBUG:
148d38d3 06afec88 02dbec44 0bb28b44 08102001 98c16a24 00000154 01000014
4cf40ee0 9c7081e5 1b003cf5 641dbb6e 0a000038 00000001 00000001 0000002c
01030401 44176119 00000020 01030000 80050001 80010001 00020004 00015180
80030002 80040001 04000044 a81faa98 4206da16 910d54b9 79c40004 96fe2da2
59cea21d 1ef1b968 2f2dc6d8 79c12c71 bac299ae 14c3c7d9 72056245 1775704e
f9d533e2 430d8fdb ac77fa24 05000084 50ed1d4e eb2b289d 821f6e0a c5ee8021
aac6ff86 f1e62a45 9dbaa3ba 871261b9 64d7a3de 972efeb8 1ee4d345 1882efa2
5812138b 14fa09aa 4a688139 d5a0c168 11fd95cb a07f1b0a 88765644 7c7f79b8
82c66926 43fa048b 02877fa2 fd690e5b beb6d0df 501abe6a 2eb364bf 05fbf7ff
2c0d45e3 18f75551 122341a2 e4c87869 05000010 04000000 00000000 00000000
00000010 04000000 00000000 00000000 00000000
2010-03-02 18:06:36: DEBUG: begin.
2010-03-02 18:06:36: DEBUG: seen nptype=8(hash)
2010-03-02 18:06:36: DEBUG: seen nptype=1(sa)
2010-03-02 18:06:36: DEBUG: seen nptype=10(nonce)
2010-03-02 18:06:36: DEBUG: seen nptype=4(ke)
2010-03-02 18:06:36: DEBUG: seen nptype=5(id)
2010-03-02 18:06:36: DEBUG: seen nptype=5(id)
2010-03-02 18:06:36: DEBUG: succeed.
2010-03-02 18:06:36: DEBUG: received IDci2:2010-03-02 18:06:36: DEBUG:
04000000 00000000 00000000
2010-03-02 18:06:36: DEBUG: received IDcr2:2010-03-02 18:06:36: DEBUG:
04000000 00000000 00000000
2010-03-02 18:06:36: DEBUG: HASH(1) validate:2010-03-02 18:06:36: DEBUG:
4cf40ee0 9c7081e5 1b003cf5 641dbb6e
2010-03-02 18:06:36: DEBUG: HASH with:
2010-03-02 18:06:36: DEBUG:
98c16a24 0a000038 00000001 00000001 0000002c 01030401 44176119 00000020
01030000 80050001 80010001 00020004 00015180 80030002 80040001 04000044
a81faa98 4206da16 910d54b9 79c40004 96fe2da2 59cea21d 1ef1b968 2f2dc6d8
79c12c71 bac299ae 14c3c7d9 72056245 1775704e f9d533e2 430d8fdb ac77fa24
05000084 50ed1d4e eb2b289d 821f6e0a c5ee8021 aac6ff86 f1e62a45 9dbaa3ba
871261b9 64d7a3de 972efeb8 1ee4d345 1882efa2 5812138b 14fa09aa 4a688139
d5a0c168 11fd95cb a07f1b0a 88765644 7c7f79b8 82c66926 43fa048b 02877fa2
fd690e5b beb6d0df 501abe6a 2eb364bf 05fbf7ff 2c0d45e3 18f75551 122341a2
e4c87869 05000010 04000000 00000000 00000000 00000010 04000000 00000000
00000000
2010-03-02 18:06:36: DEBUG: hmac(hmac_md5)
2010-03-02 18:06:36: DEBUG: HASH computed:
2010-03-02 18:06:36: DEBUG:
4cf40ee0 9c7081e5 1b003cf5 641dbb6e
2010-03-02 18:06:36: DEBUG: configuration found for 81.23.29.62.
2010-03-02 18:06:36: DEBUG: getsainfo params: loc='0.0.0.0/0', rmt='0.0.0.0/0', peer='81.23.29.62', id=0
2010-03-02 18:06:36: DEBUG: getsainfo pass #1
2010-03-02 18:06:36: DEBUG: evaluating sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', peer='ANY', id=0
2010-03-02 18:06:36: DEBUG: getsainfo pass #2
2010-03-02 18:06:36: DEBUG: evaluating sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', peer='ANY', id=0
2010-03-02 18:06:36: DEBUG: selected sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', peer='ANY', id=0
2010-03-02 18:06:36: DEBUG: get a src address from ID payload 0.0.0.0[0] prefixlen=0 ul_proto=255
2010-03-02 18:06:36: DEBUG: get dst address from ID payload 0.0.0.0[0] prefixlen=0 ul_proto=255
2010-03-02 18:06:36: DEBUG: sub:0xbfbfe294: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
2010-03-02 18:06:36: DEBUG: db: 0x28548148: 10.20.10.0/24[0] 10.1.3.0/24[0] proto=any dir=in
2010-03-02 18:06:36: DEBUG: 0xbfbfe294 masked with /24: 0.0.0.0[0]
2010-03-02 18:06:36: DEBUG: 0x28548148 masked with /24: 10.20.10.0[0]
2010-03-02 18:06:36: DEBUG: sub:0xbfbfe294: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
2010-03-02 18:06:36: DEBUG: db: 0x285483c8: 10.1.3.0/24[0] 10.20.10.0/24[0] proto=any dir=out
2010-03-02 18:06:36: ERROR: no policy found: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
2010-03-02 18:06:36: ERROR: failed to get proposal for responder.
2010-03-02 18:06:36: ERROR: failed to pre-process packet.
2010-03-02 18:06:36: DEBUG: IV freedСпасибо
-
gmn
- сержант
- Сообщения: 239
- Зарегистрирован: 2007-02-28 18:01:37
- Откуда: UA, Kiev
- Контактная информация:
Re: Настройка VPN IPSec для cisco vpn clients
Никаких gif не надо.
/etc/ipsec.conf
И параметры в racoon.conf должны совпадать на обеих сторонах.
/etc/ipsec.conf
Код: Выделить всё
spdadd твоя_внутр._сеть их_внутр_сеть any -P out ipsec esp/tunnel/твой_внешний_IP-их_внешний_IP/require;
spdadd ... Тоже, что и выше, только в обратном порядке и "in".
Код: Выделить всё
Isakmp policy:
encryption_algorithm ...
hash_algorithm ...
authentication_method pre_shared_key
dh_group 2
Lifetime ...
IPSEC policy:
pfs_group 2
lifetime time ...
encryption_algorithm ...
authentication_algorithm ...
Peer - ...-
BI_J
- сержант
- Сообщения: 154
- Зарегистрирован: 2008-09-19 12:21:10
Re: Настройка VPN IPSec для cisco vpn clients
Убрал с rc.conf создания gif перегрузил машину.
Картина не изменилась:
/var/log/racoon.log
setkey -PD
Подскажите пожалуйста какой признак нормальной работы туннеля?
Спасибо
Картина не изменилась:
/var/log/racoon.log
Код: Выделить всё
2010-03-03 22:08:18: DEBUG: configuration found for 81.23.29.62.
2010-03-03 22:08:18: DEBUG: getsainfo params: loc='0.0.0.0/0', rmt='0.0.0.0/0', peer='81.23.29.62', id=0
2010-03-03 22:08:18: DEBUG: getsainfo pass #1
2010-03-03 22:08:18: DEBUG: evaluating sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', peer='ANY', id=0
2010-03-03 22:08:18: DEBUG: getsainfo pass #2
2010-03-03 22:08:18: DEBUG: evaluating sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', peer='ANY', id=0
2010-03-03 22:08:18: DEBUG: selected sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', peer='ANY', id=0
2010-03-03 22:08:18: DEBUG: get a src address from ID payload 0.0.0.0[0] prefixlen=0 ul_proto=255
2010-03-03 22:08:18: DEBUG: get dst address from ID payload 0.0.0.0[0] prefixlen=0 ul_proto=255
2010-03-03 22:08:18: DEBUG: sub:0xbfbfe294: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
2010-03-03 22:08:18: DEBUG: db: 0x28548148: 10.20.10.0/24[0] 10.1.3.0/24[0] proto=any dir=in
2010-03-03 22:08:18: DEBUG: 0xbfbfe294 masked with /24: 0.0.0.0[0]
2010-03-03 22:08:18: DEBUG: 0x28548148 masked with /24: 10.20.10.0[0]
2010-03-03 22:08:18: DEBUG: sub:0xbfbfe294: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
2010-03-03 22:08:18: DEBUG: db: 0x285483c8: 10.1.3.0/24[0] 10.20.10.0/24[0] proto=any dir=out
2010-03-03 22:08:18: ERROR: no policy found: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
2010-03-03 22:08:18: ERROR: failed to get proposal for responder.
2010-03-03 22:08:18: ERROR: failed to pre-process packet.
2010-03-03 22:08:18: DEBUG: IV freed
Код: Выделить всё
10.20.10.0/24[any] 10.1.3.0/24[any] any
in ipsec
esp/tunnel/81.23.29.62-82.144.198.142/use
spid=2 seq=1 pid=1021
refcnt=1
10.1.3.0/24[any] 10.20.10.0/24[any] any
out ipsec
esp/tunnel/82.144.198.142-81.23.29.62/use
spid=1 seq=0 pid=1021
refcnt=1Спасибо
-
gmn
- сержант
- Сообщения: 239
- Зарегистрирован: 2007-02-28 18:01:37
- Откуда: UA, Kiev
- Контактная информация:
Re: Настройка VPN IPSec для cisco vpn clients
Для вашего случая (10.20.10.0/24 - сеть назначения, 10.1.3.0/24 - ваша сеть):
Параметры encryption_algorithm, hash_algorithm, authentication_algorithm, lifetime и т.д. должны совпадать у вас и на другой стороне (это должны были согласовать так же, как и preshared key). Это обязательное условие.
И в firewall должны быть открыты порты 500 и 4500 по udp, и протокол esp.
Если канал поднимается, то вывод "setkey -D" должен показывать инфу.
Код: Выделить всё
flush;
spdflush;
spdadd 10.1.3.0/24 10.20.10.0/24 any -P out ipsec esp/tunnel/82.144.198.142-81.23.29.62/require;
spdadd 10.20.10.0/24 10.1.3.0/24 any -P in ipsec esp/tunnel/81.23.29.62-82.144.198.142/require;И в firewall должны быть открыты порты 500 и 4500 по udp, и протокол esp.
Если канал поднимается, то вывод "setkey -D" должен показывать инфу.
-
BI_J
- сержант
- Сообщения: 154
- Зарегистрирован: 2008-09-19 12:21:10
Re: Настройка VPN IPSec для cisco vpn clients
Сегодня выпросил кусок лога с жунипера, к которому я пытаюсь подключиться.
У меня ошибка все та же, не вижу граблей 
Не понимаю как оно может без gif работать.
Тут сказано что он нужен http://www.freebsd.org/doc/ru_RU.KOI8-R ... ipsec.html
Что же тут не так ?
Код: Выделить всё
4.198.142:500
Mar 4 15:29:58 ike_send_packet: Start, send SA = { 86583c98 0a14d3c6 - 44f85da6 f4e8d720}, nego = 0, src = 81.23.29.62:500, dst = 82.144.198.142:500
Mar 4 15:30:03 Quick mode negotiation timed out for (retry once) p1_local=ipv4(udp:500,[0..3]=81.23.29.62) p1_remote=ipv4(udp:500,[0..3]=82.144.198.142) p2_local=ipv4_subnet(any:0,[0..7]=0.0.0.0/0) p2_remote=ipv4_subnet(any:0,[0..7]=0.0.0.0/0)
Mar 4 15:30:03 No IPSec SAs between local gw 81.23.29.62 and remote gw 82.144.198.142, send initial contact
Mar 4 15:30:03 ike_send_packet: Start, send SA = { 43f8418c 82f9d0e7 - 00000000 00000000}, nego = -1, src = 81.23.29.62:500, dst = 82.144.198.142:500
Mar 4 15:30:03 81.23.29.62:500 (Initir) <-ato> 82.144.198.142:500 { 61cf3e87 b719bd3f - f63c076b 8302dba8 [0] / 0xae96bd20 } QM; Error = Timeout (8197)
Mar 4 15:30:03 ike_send_packet: Start, send SA = { 43f8418c 82f9d0e7 - 6380c715 68679a13}, nego = -1, src = 81.23.29.62:500, dst = 82.144.198.142:500
Mar 4 15:30:04 ike_find_pre_shared_key: Find pre shared key key for 81.23.29.62:500, id = ipv4(udp:500,[0..3]=81.23.29.62) -> 82.144.198.142:500, id = No Id
Mar 4 15:30:04 ike_send_packet: Start, send SA = { 43f8418c 82f9d0e7 - 6380c715 68679a13}, nego = -1, src = 81.23.29.62:500, dst = 82.144.198.142:500
Mar 4 15:30:04 81.23.29.62:500 (Initiator) <-> 82.144.198.142:500 { 43f8418c 82f9d0e7 - 6380c715 68679a13 [-1] / 0x00000000 } IP; Warning, junk after packet len = 40, decoded = 32
Mar 4 15:30:04 81.23.29.62:500 (Initiator) <-> 82.144.198.142:500 { 43f8418c 82f9d0e7 - 6380c715 68679a13 [-1] / 0x00000000 } IP; MESSAGE: Phase 1 version = 1.0, auth_method = Pre shared keys, cipher = 3des-cbc, hash = md5, prf = hmac-md5, life = 0 kB / 3600 sec, key le
Mar 4 15:30:04 Phase-1 negotiation succeeded for p1_local=ipv4(udp:500,[0..3]=81.23.29.62) p1_remote=ipv4(udp:500,[0..3]=82.144.198.142)
Mar 4 15:30:04 ike_send_packet: Start, send SA = { 43f8418c 82f9d0e7 - 6380c715 68679a13}, nego = 0, src = 81.23.29.62:500, dst = 82.144.198.142:500
Mar 4 15:30:09 ike_send_packet: Start, retransmit previous packet SA = { 43f8418c 82f9d0e7 - 6380c715 68679a13}, nego = 0, src = 81.23.29.62:500, dst = 82.144.198.142:500
Mar 4 15:30:19 ike_send_packet: Start, retransmit previous packet SA = { 43f8418c 82f9d0e7 - 6380c715 68679a13}, nego = 0, src = 81.23.29.62:500, dst = 82.144.198.142:500
Mar 4 15:30:20 Phase-1 negotiation succeeded for p1_local=ipv4(udp:500,[0..3]=81.23.29.62) p1_remote=ipv4(udp:500,[0..3]=82.144.198.142)
Mar 4 15:30:29 ike_send_packet: Start, retransmit previous packet SA = { 43f8418c 82f9d0e7 - 6380c715 68679a13}, nego = 0, src = 81.23.29.62:500, dst = 82.144.198.142:500
Mar 4 15:30:39 ike_send_packet: Start, retransmit previous packet SA = { 43f8418c 82f9d0e7 - 6380c715 68679a13}, nego = 0, src = 81.23.29.62:500, dst = 82.144.198.142:500Код: Выделить всё
2010-03-04 17:49:00: DEBUG: configuration found for 81.23.29.62.
2010-03-04 17:49:00: DEBUG: getsainfo params: loc='0.0.0.0/0', rmt='0.0.0.0/0', peer='81.23.29.62', id=0
2010-03-04 17:49:00: DEBUG: getsainfo pass #1
2010-03-04 17:49:00: DEBUG: evaluating sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', peer='ANY', id=0
2010-03-04 17:49:00: DEBUG: getsainfo pass #2
2010-03-04 17:49:00: DEBUG: evaluating sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', peer='ANY', id=0
2010-03-04 17:49:00: DEBUG: selected sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', peer='ANY', id=0
2010-03-04 17:49:00: DEBUG: get a src address from ID payload 0.0.0.0[0] prefixlen=0 ul_proto=255
2010-03-04 17:49:00: DEBUG: get dst address from ID payload 0.0.0.0[0] prefixlen=0 ul_proto=255
2010-03-04 17:49:00: DEBUG: sub:0xbfbfe494: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
2010-03-04 17:49:00: DEBUG: db: 0x28548148: 10.1.3.0/24[0] 10.20.10.0/24[0] proto=any dir=out
2010-03-04 17:49:00: DEBUG: sub:0xbfbfe494: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
2010-03-04 17:49:00: DEBUG: db: 0x285483c8: 10.20.10.0/24[0] 10.1.3.0/24[0] proto=any dir=in
2010-03-04 17:49:00: DEBUG: 0xbfbfe494 masked with /24: 0.0.0.0[0]
2010-03-04 17:49:00: DEBUG: 0x285483c8 masked with /24: 10.20.10.0[0]
2010-03-04 17:49:00: ERROR: no policy found: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
2010-03-04 17:49:00: ERROR: failed to get proposal for responder.
2010-03-04 17:49:00: ERROR: failed to pre-process packet.
2010-03-04 17:49:00: DEBUG: IV freed
Тут сказано что он нужен http://www.freebsd.org/doc/ru_RU.KOI8-R ... ipsec.html
Что же тут не так ?
-
gmn
- сержант
- Сообщения: 239
- Зарегистрирован: 2007-02-28 18:01:37
- Откуда: UA, Kiev
- Контактная информация:
Re: Настройка VPN IPSec для cisco vpn clients
Если gif сделать, то можно трафик по туннелю гонять и без шифрования.
Что касается логов с жунипера. Настораживает вот эта строчка, например:
Первая фаза проходит. А вторая -нет.
Порты ( у вас) все открыты?
Что касается логов с жунипера. Настораживает вот эта строчка, например:
Код: Выделить всё
Phase-1 negotiation succeededПорты ( у вас) все открыты?
-
BI_J
- сержант
- Сообщения: 154
- Зарегистрирован: 2008-09-19 12:21:10
Re: Настройка VPN IPSec для cisco vpn clients
Правила в фаэрволе:
Подправил вот так:
Ничего не изменилось
проверял доступность удаленного хоста таким образом:
Код: Выделить всё
ipfw add 2 allow udp from ${IpOut} to 81.23.29.62 isakmp
ipfw add 2 allow udp from 81.23.29.62 to ${IpOut} isakmpКод: Выделить всё
ipfw add 2 allow udp from me to 81.23.29.62
ipfw add 2 allow udp from 81.23.29.62 to me
ipfw add 2 allow esp from me to 81.23.29.62
ipfw add 2 allow esp from 81.23.29.62 to me
ipfw add 2 allow ah from me to 81.23.29.62
ipfw add 2 allow ah from 81.23.29.62 to me
ipfw add 2 allow ipencap from me to 81.23.29.62
ipfw add 2 allow ipencap from 81.23.29.62 to meпроверял доступность удаленного хоста таким образом:
Код: Выделить всё
hping 81.23.29.62 --udp -p 500
HPING 81.23.29.62 (sk0 81.23.29.62): udp mode set, 28 headers + 0 data bytes
len=368 ip=81.23.29.62 ttl=59 id=16075 seq=0 rtt=0.0 ms
len=368 ip=81.23.29.62 ttl=59 id=16509 seq=0 rtt=0.0 ms
-
gmn
- сержант
- Сообщения: 239
- Зарегистрирован: 2007-02-28 18:01:37
- Откуда: UA, Kiev
- Контактная информация:
Re: Настройка VPN IPSec для cisco vpn clients
Попробуйте открыть на firewall все порты и протоколы то вас на IP назначения и обратно.
Этим исключите firewall.
Можете у себя в сети сделать ipsec с другим хостом, чтобы понять, что у вас все правильно (или не правильно, но тогда найдете ошибку).
Этим исключите firewall.
Можете у себя в сети сделать ipsec с другим хостом, чтобы понять, что у вас все правильно (или не правильно, но тогда найдете ошибку).
-
BI_J
- сержант
- Сообщения: 154
- Зарегистрирован: 2008-09-19 12:21:10
Re: Настройка VPN IPSec для cisco vpn clients
Последовал Вашему совету и поднял IPSEC на виртуалках с такимиже настройками как мне дал админ со стороны "жунипера". Всё чюдно заработало, как с gif0 так и без него.
А вот с "жунипером" ну никак не хочет, первая фаза проходит и все валиться
А вот с "жунипером" ну никак не хочет, первая фаза проходит и все валиться
Код: Выделить всё
2010-03-11 17:35:48: DEBUG: anonymous configuration selected for 81.23.29.62.
2010-03-11 17:35:48: DEBUG: getsainfo params: loc='0.0.0.0/0', rmt='0.0.0.0/0', peer='81.23.29.62', id=0
2010-03-11 17:35:48: DEBUG: getsainfo pass #1
2010-03-11 17:35:48: DEBUG: evaluating sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', peer='ANY', id=0
2010-03-11 17:35:48: DEBUG: getsainfo pass #2
2010-03-11 17:35:48: DEBUG: evaluating sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', peer='ANY', id=0
2010-03-11 17:35:48: DEBUG: selected sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', peer='ANY', id=0
2010-03-11 17:35:48: DEBUG: get a src address from ID payload 0.0.0.0[0] prefixlen=0 ul_proto=255
2010-03-11 17:35:48: DEBUG: get dst address from ID payload 0.0.0.0[0] prefixlen=0 ul_proto=255
2010-03-11 17:35:48: DEBUG: sub:0xbfbfe284: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
2010-03-11 17:35:48: DEBUG: db: 0x28548148: 10.20.10.0/24[0] 10.1.3.0/24[0] proto=any dir=in
2010-03-11 17:35:48: DEBUG: 0xbfbfe284 masked with /24: 0.0.0.0[0]
2010-03-11 17:35:48: DEBUG: 0x28548148 masked with /24: 10.20.10.0[0]
2010-03-11 17:35:48: DEBUG: sub:0xbfbfe284: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
2010-03-11 17:35:48: DEBUG: db: 0x285483c8: 10.1.3.0/24[0] 10.20.10.0/24[0] proto=any dir=out
2010-03-11 17:35:48: ERROR: no policy found: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
2010-03-11 17:35:48: ERROR: failed to get proposal for responder.
2010-03-11 17:35:48: ERROR: failed to pre-process packet.
2010-03-11 17:35:48: DEBUG: IV freed-
carnivore
- проходил мимо
Re: Настройка VPN IPSec для cisco vpn clients
вопросик: а какой файл патчить??gmn писал(а):У меня с патчем с http://vanhu.free.fr/FreeBSD/ не заработало. Ну может не так что-то делал.
А вот с http://people.freebsd.org/~vanhu/NAT-T/ ... 05-12.diff на FreeBSD 7.2 заработал NAT-T с racoon.
И заработал client-to-site IPSec VPN (практически по статье с данного сайта).[/code]
-
AlexPap
- рядовой
- Сообщения: 26
- Зарегистрирован: 2007-07-26 15:39:54
- Контактная информация:
Re: Настройка VPN IPSec для cisco vpn clients
Добрый день. Такая же фигня. cisco 871, FreeBSD 8.1-STABLE-201008. Ракун собрал без поддержки nat_t.
Когда прописываю в /etc/ipsec.confи в конфе ракуна
Туннель поднимается, но шифруется весь трафик. Как следствие - машина не может ни с кем устанавливать никакие соединения. Доступ к ней через ssh только через туннель на внутренний ИП. Если указать конкретные сети, то не проходит вторая фаза IKE. В логах смущает эта строчка:
Когда прописываю в /etc/ipsec.conf
Код: Выделить всё
flush;
spdflush;
spdadd 0.0.0.0/0 0.0.0.0/0 any -P out ipsec esp/tunnel/A.B.C.D-W.X.Y.Z/require;
spdadd 0.0.0.0/0 0.0.0.0/0 any -P in ipsec esp/tunnel/W.X.Y.Z-A.B.C.D/require;
Код: Выделить всё
.....
sainfo address 0.0.0.0/0 any address 0.0.0.0/0 any
.....
Не подскажете что мне нужно изменить, чтоб шифровался трафик только с/на нужную сеть?......
2010-09-06 16:35:48: DEBUG: sub:0xbfbfe284: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
2010-09-06 16:35:48: DEBUG: db: 0x285483c8: 10.3.2.0/24[0] 10.3.1.0/24[0] proto=any dir=out
2010-09-06 16:35:48: ERROR: no policy found: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
2010-09-06 16:35:48: ERROR: failed to get proposal for responder.
2010-09-06 16:35:48: ERROR: failed to pre-process packet.
-
golds
- проходил мимо
Re: Настройка VPN IPSec для cisco vpn clients
туннель с Cisco 871, рабочий конфиг (без нат-т, авторизация по preshared-key):
на фре (FreeBSD 7.0):
ipsec.conf:
-------------------------------------------------------------
spdadd 10.10.7.0/24 10.45.47.0/24 any -P out ipsec
esp/tunnel/79.165.193.162-82.56.72.179/unique;
spdadd 10.45.47.0/24 10.10.7.0/24 any -P in ipsec
esp/tunnel/82.56.72.179-79.165.193.162/unique;
--------------------------------------------------------------
кусок racoon.conf:
--------------------------------------------
remote 82.56.72.179
{
exchange_mode main;
doi ipsec_doi;
situation identity_only;
my_identifier address;
peers_identifier address;
passive off;
nonce_size 16;
proposal_check obey;
initial_contact on;
support_proxy on;
lifetime time 28800 sec;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
lifetime time 28800 sec;
}
}
--------------------------------------------------
кусок конфига Cisco:
--------------------------------------------------
crypto isakmp policy 100
encr 3des
authentication pre-share
group 2
lifetime 28800
crypto isakmp key bla-bla-key address 79.165.193.162
crypto isakmp keepalive 60
!
crypto ipsec security-association lifetime kilobytes 51200
!
crypto ipsec transform-set COOL esp-3des esp-sha-hmac
!
crypto map KKKK local-address FastEthernet4
crypto map KKKK 20 ipsec-isakmp
set peer 79.165.193.162
set transform-set COOL
set pfs group2
match address RRRR
!
interface FastEthernet4
description INET$FW_OUTSIDE$$ES_WAN$
ip address 82.56.72.179 255.255.255.248
ip nat outside
ip virtual-reassembly
ip route-cache flow
ip policy route-map NETFLOW
duplex auto
speed auto
no cdp enable
crypto map KKKK
!
ip access-list extended RRRR
permit ip 10.45.47.0 0.0.0.255 10.10.7.0 0.0.0.255
на фре (FreeBSD 7.0):
ipsec.conf:
-------------------------------------------------------------
spdadd 10.10.7.0/24 10.45.47.0/24 any -P out ipsec
esp/tunnel/79.165.193.162-82.56.72.179/unique;
spdadd 10.45.47.0/24 10.10.7.0/24 any -P in ipsec
esp/tunnel/82.56.72.179-79.165.193.162/unique;
--------------------------------------------------------------
кусок racoon.conf:
--------------------------------------------
remote 82.56.72.179
{
exchange_mode main;
doi ipsec_doi;
situation identity_only;
my_identifier address;
peers_identifier address;
passive off;
nonce_size 16;
proposal_check obey;
initial_contact on;
support_proxy on;
lifetime time 28800 sec;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
lifetime time 28800 sec;
}
}
--------------------------------------------------
кусок конфига Cisco:
--------------------------------------------------
crypto isakmp policy 100
encr 3des
authentication pre-share
group 2
lifetime 28800
crypto isakmp key bla-bla-key address 79.165.193.162
crypto isakmp keepalive 60
!
crypto ipsec security-association lifetime kilobytes 51200
!
crypto ipsec transform-set COOL esp-3des esp-sha-hmac
!
crypto map KKKK local-address FastEthernet4
crypto map KKKK 20 ipsec-isakmp
set peer 79.165.193.162
set transform-set COOL
set pfs group2
match address RRRR
!
interface FastEthernet4
description INET$FW_OUTSIDE$$ES_WAN$
ip address 82.56.72.179 255.255.255.248
ip nat outside
ip virtual-reassembly
ip route-cache flow
ip policy route-map NETFLOW
duplex auto
speed auto
no cdp enable
crypto map KKKK
!
ip access-list extended RRRR
permit ip 10.45.47.0 0.0.0.255 10.10.7.0 0.0.0.255
-
AlexPap
- рядовой
- Сообщения: 26
- Зарегистрирован: 2007-07-26 15:39:54
- Контактная информация:
Re: Настройка VPN IPSec для cisco vpn clients
To golds:
Как организованы маршруты на циске и фре? У меня получилось только так:
FreeBSD 8.1 (с.с.с.с - внешний адрес циски, f.f.f.f внешний адрес FreeBSD)
/etc/ipsec.confШифровать только gre туннель а не весь траффик.
/etc/rc.confИнтересно, но после перезагрузки фри, приходится через ssh2 ручками поднимать туннель, хотя up присутствует. Я так и не разобрался почему фря не поднимает его автоматом.
В ракуне особых изменений нет.
На Циске:Я где-то читал, что советовали умные люди - не использовать crypto map. Вместо него использовать crypto profile, потому, что он выполняет практически ту же функцию, но, то ли менее глючный, то ли еще по каким-то причинам. У меня еще один туннель но на другую циску, так там тоже самое, только добавлен режим: tunnel mode ipsec ipv4. Если я добавляю эту строчку в этот туннель, не проходит IKE.
Как организованы маршруты на циске и фре? У меня получилось только так:
FreeBSD 8.1 (с.с.с.с - внешний адрес циски, f.f.f.f внешний адрес FreeBSD)
/etc/ipsec.conf
Код: Выделить всё
spdadd c.c.c.c/32 f.f.f.f/32 gre -P in ipsec esp/tunnel/c.c.c.c-f.f.f.f/require;
spdadd f.f.f.f/32 c.c.c.c/32 gre -P out ipsec esp/tunnel/f.f.f.f-c.c.c.c/require;/etc/rc.conf
Код: Выделить всё
cloned_interfaces="gre102"
ifconfig_gre102="10.3.0.2/30 10.3.0.1 link1 tunnel f.f.f.f c.c.c.c grekey xxx up"
В ракуне особых изменений нет.
На Циске:
Код: Выделить всё
crypto isakmp policy 20
encr 3des
hash md5
authentication pre-share
group 2
crypto isakmp key bla-bla-key address f.f.f.f
!
crypto ipsec transform-set 3des-md5 esp-3des esp-md5-hmac
!
crypto ipsec profile 3des-md5
set transform-set 3des-md5
set pfs group2
!
interface Tunnel102
bandwidth 10000
ip address 10.3.0.1 255.255.255.252
ip tcp adjust-mss 1360
tunnel source FastEthernet4
tunnel destination f.f.f.f
tunnel key xxx
tunnel protection ipsec profile 3des-md5