Настройка VPN IPSec для cisco vpn clients

[Mad_caterpillar]

http://www.lissyara.su/?id=1887
Настройка VPN IPSec концентратора на FreeBSD 6.2 для клиента cisco с использованием ipsec-tools и авторизацией в активной директории.
Конструктивная критика и пожелания приветствуется

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Артемий Васюков]

В статье Вы сказали, что из-за особенности реализации VPN в Cisco их софтовый клиент и racoon не будут работать. Действительно, такая проблема есть и она очень актуальна для меня вот по какой причине: мне требуется инициировать VPN IPsec ДО логина пользователся в систему. К сожалению, я не нашел ни одного VPN клиента, который бы был совместим с racoon и в то же время позволял бы (как это позволяет Cisco VPN Client) инициировать VPN IPsec до логина пользователя в систему. Не подскажете выход из ситуации?

[Mad_caterpillar]

Если Вы имеете в виду опцию "Enable start before logon", то я только что проверил - работает. Может быть проблема в другом?

[buryanov]

я как понял, это пач для 6, а на семёрке как быть? попробовал поставить

Код: Выделить всё

--------------------------
|Index: netinet6/ah_input.c
|===================================================================
|RCS file: /home/ncvs/src/sys/netinet6/ah_input.c,v
|retrieving revision 1.20
|diff -b -u -p -r1.20 ah_input.c
|--- netinet6/ah_input.c        7 Jan 2005 02:30:34 -0000       1.20
|+++ netinet6/ah_input.c        31 May 2007 13:08:50 -0000
--------------------------
File to patch:

Код: Выделить всё

[root@backup-bsd /usr/src/sys]# uname -a
FreeBSD backup-bsd.hq.telesens.lan 7.1-RELEASE FreeBSD 7.1-RELEASE #0: Wed Feb  4 12:18:56 UTC 2009     root@backup-bsd.hq.telesens.lan:/usr/obj/usr/src/sys/i386.v1  i386

[zingel]

а дай ссылку на патч

(p.s. я не уверен что в 7 он вообще нужен)

[Mad_caterpillar]

Попробуйте зайти http://vanhu.free.fr/FreeBSD/
Семерку еще не тестировал. Протестирую - отпишу.

[zingel]

пишите тогда...

p.s. круто как он баннер в апачский вставил в DirectoryListing....

[buryanov]

я как понял весь прикол в

options IPSEC_NAT_T

посмотрел по 7.1, ненашел его. Поискал по инету, в NetBSD она присуьтсвует.

[zingel]

если очень захотеть можно модуль ядра собрать, только я 1 не буду...

[buryanov]

я бы с радостью, но никогда таким не занимался и незнаю как делать

[karagodov]

всем привет

если очень захотеть можно модуль ядра собрать, только я 1 не буду...

как?
есть фриибсд releng_7 из cvs
нужна эта фича

спасибо

[zingel]

что как, берём код и встраиваем в модульный каркас, подгружаем динамически, через loader.conf потом или kldload

[karagodov]

что как, берём код и встраиваем в модульный каркас, подгружаем динамически, через loader.conf потом или kldload

ничего не понял
матершина какая-то
но, при открытии http://ipsec-tools.sf.net/freebsd6-natt.diff попадаем сюда - http://vanhu.free.fr/FreeBSD/
а там есть патч для 7-ки
который успешно накладывается на cvs-нутую версию releng_7, правда с offset-ами
буду тестить ...

[gmn]

У меня с патчем с http://vanhu.free.fr/FreeBSD/ не заработало. Ну может не так что-то делал.
А вот с http://people.freebsd.org/~vanhu/NAT-T/ ... 05-12.diff на FreeBSD 7.2 заработал NAT-T с racoon.
И заработал client-to-site IPSec VPN (практически по статье с данного сайта).

Все бы хорошо. Но смущает одна вещь.
Racoon собран с DPD, в конфиге "dpd_delay 20".
Подключаюсь через Cisco VPN client - все хорошо.
Но после отключения остается "установленное соединение".

Код: Выделить всё

2009-11-23 19:40:10: INFO: IPsec-SA established: ESP/Tunnel 10.0.0.115[0]->10.0.0.51[0] spi=36958550(0x233f156)
2009-11-23 19:40:10: INFO: IPsec-SA established: ESP/Tunnel 10.0.0.51[500]->10.0.0.115[1607] spi=3907668875(0xe8ea4b8b)
2009-11-23 19:40:10: ERROR: such policy does not already exist: "192.168.4.2/32[0] 0.0.0.0/0[0] proto=any dir=in"
2009-11-23 19:40:10: ERROR: such policy does not already exist: "0.0.0.0/0[0] 192.168.4.2/32[0] proto=any dir=out"
2009-11-23 19:40:12: ERROR: delete payload with invalid doi:0.
2009-11-23 19:40:12: INFO: ISAKMP-SA expired 10.0.0.51[500]-10.0.0.115[1607] spi:87da24876e81223c:3607420e8e36dc39
2009-11-23 19:40:13: INFO: ISAKMP-SA deleted 10.0.0.51[500]-10.0.0.115[1607] spi:87da24876e81223c:3607420e8e36dc39
2009-11-23 19:40:13: INFO: Released port 0

Что так и должно быть - я сомневаюсь.
Тогда что не так?
Пробовал менять dpd_delay - не дает результата.

Cisco VPN client с DPD работает, т.е. передает инфу:

Код: Выделить всё

2009-11-23 19:36:46: INFO: respond new phase 1 negotiation: 10.0.0.51[500]<=>10.0.0.115[1578]
2009-11-23 19:36:46: INFO: begin Aggressive mode.
2009-11-23 19:36:46: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
2009-11-23 19:36:46: INFO: received Vendor ID: DPD
2009-11-23 19:36:46: INFO: received broken Microsoft ID: FRAGMENTATION
2009-11-23 19:36:46: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02

2009-11-23 19:36:46: INFO: received Vendor ID: CISCO-UNITY
2009-11-23 19:36:46: INFO: Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02

2009-11-23 19:36:46: INFO: Adding remote and local NAT-D payloads.
2009-11-23 19:36:46: INFO: Hashing 10.0.0.115[1578] with algo #2
2009-11-23 19:36:46: INFO: Hashing 10.0.0.51[500] with algo #2
2009-11-23 19:36:46: INFO: Adding xauth VID payload.

[gmn]

Включил лог на клиенте - DPD пакеты ходят.
Но смущает наличие SAD после разрыва (отключения, корректного) со стороны клиента:

Код: Выделить всё

10.0.0.51 10.0.0.135
        esp mode=tunnel spi=2217133514(0x8426c5ca) reqid=0(0x00000000)
        E: aes-cbc  bed6f972 bb25166a 28cd8c52 f1b92126 5eb2148f 749e5d1a 91ee1606 11cd1e83
        A: hmac-md5  85b4978e 25c60825 77e19843 5de2ceec
        seq=0x00000009 replay=4 flags=0x00000000 state=mature
        created: Nov 24 12:10:20 2009   current: Nov 24 12:10:38 2009
        diff: 18(s)     hard: 2147483(s)        soft: 1717986(s)
        last: Nov 24 12:10:32 2009      hard: 0(s)      soft: 0(s)
        current: 1272(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 9    hard: 0 soft: 0
        sadb_seq=1 pid=74115 refcnt=2
10.0.0.135 10.0.0.51
        esp mode=tunnel spi=86446906(0x0527133a) reqid=0(0x00000000)
        E: aes-cbc  a5209954 a84c5ea1 5fb0545b 634bd225 aab3fd9a 44e1437d c477cf34 efa9885a
        A: hmac-md5  ba5473d3 c57a7c76 80a27243 a7ec5932
        seq=0x00000009 replay=4 flags=0x00000000 state=mature
        created: Nov 24 12:10:20 2009   current: Nov 24 12:10:38 2009
        diff: 18(s)     hard: 2147483(s)        soft: 1717986(s)
        last: Nov 24 12:10:32 2009      hard: 0(s)      soft: 0(s)
        current: 936(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 9    hard: 0 soft: 0
        sadb_seq=0 pid=74115 refcnt=1

[gmn]

Охренеть. Уже и хост, с которого поднимал туннель, выключил, а на фришке он, как бы, есть.

Код: Выделить всё

10.0.0.51 10.0.0.135
        esp mode=tunnel spi=1889651539(0x70a1cb53) reqid=0(0x00000000)
        E: aes-cbc  e40b299b b7d06f6d 8d496fbc 863f1303 7d972999 99679bef 43002631 57024a5a
        A: hmac-md5  4063199c 1780cedf 8d230c67 137efb01
        seq=0x00000007 replay=4 flags=0x00000000 state=mature
        created: Nov 24 14:08:19 2009   current: Nov 25 09:22:25 2009
        diff: 69246(s)  hard: 2147483(s)        soft: 1717986(s)
        last: Nov 24 14:08:23 2009      hard: 0(s)      soft: 0(s)
        current: 1272(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 7    hard: 0 soft: 0
        sadb_seq=1 pid=77226 refcnt=2
10.0.0.135 10.0.0.51
        esp mode=tunnel spi=29790874(0x01c6929a) reqid=0(0x00000000)
        E: aes-cbc  2982ddb0 4b645f99 0d1a3465 5f6fbbff 309e312f db371d99 68b5fd10 c1992e30
        A: hmac-md5  ed18aeb8 2db0213f fe6a6cf0 4812d540
        seq=0x00000007 replay=4 flags=0x00000000 state=mature
        created: Nov 24 14:08:19 2009   current: Nov 25 09:22:25 2009
        diff: 69246(s)  hard: 2147483(s)        soft: 1717986(s)
        last: Nov 24 14:08:23 2009      hard: 0(s)      soft: 0(s)
        current: 706(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 7    hard: 0 soft: 0
        sadb_seq=0 pid=77226 refcnt=1

[gmn]

Еще экспериментировал ...
Так как вышла 8-ка, и где-то читал, что NAT-T уже встроен в ядро у нее, то решил проверить.

Поставил.
Перекомпилил ядро с "IPSEC" (в GENERIC его нет. Аргументируют overhead .., т.е. кому надо - ядро пересобирать надо всеравно).
Но для NAT-T патчить ядро уже не надо.
Поставил ipsec-tools.
Взял рабочие конфиги с freebsd 7.2 для ракуна.
Авторизация на радиусе через IAS. Добавил на IAS клиента, все готово.
Запускаю cisco vpn client - авторизацию не проходит.
Менаю в конфиге ракуна авторизацию с радиуса на локальную - все проходит нормально.
Возвращаю обратно на радиус.
Запускаю tcpdump и что я вижу - не шлет ракун на радиус никакие запросы.
Вот это номер ...
Повторюсь - конфиги рабочие брал. Локально авторизация проходит.
Пока забил, так как на 8-ке мне это не актуально на данный момент завести все.
Просто проверил, есть ли в ядре уже поддержка NAT-T - есть.

[BI_J]

Добрый день.
Не собирается у меня ipsec-tools под FreeBSD 7.2
пишет такую бяку:

Код: Выделить всё

checking whether to support NAT-T... yes
configure: error: NAT-T requested, but no kernel support! Aborting.
===>  Script "configure" failed unexpectedly.
Please report the problem to vanhu@netasq.com [maintainer] and attach the
"/usr/ports/security/ipsec-tools/work/ipsec-tools-0.7.1/config.log" including
the output of the failure of your make command. Also, it might be a good idea
to provide an overview of all packages installed on your system (e.g. an `ls
/var/db/pkg`).
*** Error code 1

Ядро собрано с параметрами:
options IPSEC
device crypto
options IPSEC_DEBUG

Что не так ??

[gmn]

Для поддержки NAT-T в 7.2 надо патчить ядро. Патч применяли, ядро пересобирали?

[BI_J]

Патч не применял.

Где его можно взять, и с какими параметрами пере собрать?
Спасибо !

[BI_J]

Выполнил обновление как написано тут:

Код: Выделить всё

http://security.freebsd.org/advisories/FreeBSD-SA-09:17.freebsd-update.asc

Было скачало 67 исправлений, я так понимаю и для IPSEC тоже.
в конце написало:

Код: Выделить всё

The following files will be updated as part of updating to 7.2-RELEASE-p6

После этого снова пытался собрать ядро, пишет: unknown option "IPSEC_NAT_T"
Что еще я делаю не так ?

[gmn]

Я патчил ядро.
После этого заработало. И сейчас работает ...

[BI_J]

gmn
Подскажите какой Вы использовали ПАЧ
Вот этот:

Код: Выделить всё

http://security.freebsd.org/advisories/FreeBSD-SA-08:04.ipsec.asc

Вот с этим почему-то не получаеться

[gmn]

Для 7.2 - patch-natt-7.2-2009-05-12.diff
http://people.freebsd.org/~vanhu/NAT-T/

[gmn]

Если есть возможность, то проверьте 8-ку. Там уже все есть в системе и патчить ничего не надо.