IPSec FreeBSD6.1 проблема

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Ответить
Аватара пользователя
sidor-r
мл. сержант
Сообщения: 145
Зарегистрирован: 2006-09-05 9:50:17
Контактная информация:
Контактная информация пользователя sidor-r

IPSec FreeBSD6.1 проблема

Непрочитанное сообщение sidor-r » 2007-01-26 17:28:39

Добрый день.
Начну по порядку.
Имеются три сети СЕТЬ№1(192.168.111.0),СЕТЬ№2(192.168.101.0),СЕТЬ№3(192.168.121.0) и их шлюзы ШЛЮЗ№1(89.A.A.A 192.168.111.2), ШЛЮЗ№2(89.B.B.B
192.168.101.2), ШЛЮЗ№3(89.C.C.C 192.168.121.2), на каждом шлюзе установлена FreeBSD 6.1
На данный момент СЕТЬ№1 и СЕТЬ№2 соеденены тунелем IPSec, всё настроено и прекрасно работает.
Необходимо соеденить такимже тунелем СЕТЬ№1 и СЕТЬ№3
Для этого я сделал:
на ШЛЮЗ№3 установил ipsec-tools
отредактировал файлы
rc.conf
  • #cat /etc/rc.conf
    ......
    gif_interfaces="gif0"
    gifconfig_gif0="89.C.C.C 89.A.A.A"
    ifconfig_gif0="192.168.121.2 192.168.111.2 netmask 0xffffffff"
    static_routes="vpn"
    route_vpn="192.168.111.0/24 192.168.111.2"
    ipsec_enable="YES"
    ipsec_file="/etc/ipsec.conf"
    racoon_enable="YES"
    ......
ipsec.conf
  • #cat /etc/ipsec.conf
    spdadd 192.168.121.0/24 192.168.111.0/24 any -P out ipsec esp/tunnel/89.C.C.C-89.A.A.A/require;
    spdadd 192.168.111.0/24 192.168.121.0/24 any -P in ipsec esp/tunnel/89.A.A.A-89.C.C.C/require;
racoon.conf
  • #cat /usr/local/etc/racoon/racoon.conf
    path include "/usr/local/etc/racoon" ;
    path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
    #path certificate "/usr/local/etc/cert" ;
    log debug;
    padding
    {
    maximum_length 20;
    randomize off;
    strict_check off;
    exclusive_tail off;
    }

    listen
    {
    isakmp 89.C.C.C [500];
    }

    timer
    {
    counter 5;
    interval 20 sec;
    persend 1;
    phase1 30 sec;
    phase2 15 sec;
    }

    remote 89.A.A.A
    {
    exchange_mode aggressive,main;
    doi ipsec_doi;
    situation identity_only;

    my_identifier address 89.C.C.C;
    peers_identifier address 89.A.A.A;

    nonce_size 16;lifetime time 1 hour;
    initial_contact on;
    proposal_check obey;

    proposal {
    encryption_algorithm 3des;
    hash_algorithm sha1;
    authentication_method pre_shared_key ;
    dh_group 2 ;
    }
    }
    sainfo anonymous
    {

    pfs_group 1;
    lifetime time 3600 sec;
    encryption_algorithm 3des ;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate ;
    }
psk.txt
  • #cat /usr/local/etc/racoon/psk.txt
    89.A.A.A password
firewall
  • .....
    ${FwCMD} add allow ip from any to any via gif0
    ${FwCMD} add allow udp from 89.C.C.C to 89.A.A.A 500
    ${FwCMD} add allow udp from 89.A.A.A to 89.C.C.C 500
    ${FwCMD} add allow esp from 89.C.C.C to 89.A.A.A
    ${FwCMD} add allow esp from 89.A.A.A to 89.C.C.C
    .....
Терерь файлы которые редактировал на ШЛЮЗ№1(всё что выделено это я добавил к основному сонфигу)
rc.conf
  • #cat /etc/rc.conf
    .....
    gif_interfaces="gif0 gif1"
    gifconfig_gif0="89.A.A.A 89.B.B.B"
    ifconfig_gif0="192.168.111.2 192.168.101.2 netmask 0xffffffff"
    gifconfig_gif1="89.A.A.A 89.C.C.C"
    ifconfig_gif1="192.168.111.2 192.168.121.2 netmask 0xffffffff"
    static_routes="vpn opt"
    route_vpn="192.168.101.0/24 192.168.101.2"
    route_opt="192.168.121.0/24 192.168.121.2"
    ipsec_enable="YES"
    ipsec_file="/etc/ipsec.conf"
    racoon_enable="YES"
    .....
ipsec.conf
  • #cat /etc/ipsec.conf
    spdadd 192.168.111.0/24 192.168.101.0/24 any -P out ipsec esp/tunnel/89.A.A.A-89.B.B.B/require;
    spdadd 192.168.101.0/24 192.168.111.0/24 any -P in ipsec esp/tunnel/89.B.B.B-89.A.A.A/require;
    spdadd 192.168.111.0/24 192.168.121.0/24 any -P out ipsec esp/tunnel/89.A.A.A-89.C.C.C/require;
    spdadd 192.168.121.0/24 192.168.111.0/24 any -P in ipsec esp/tunnel/89.C.C.C-89.A.A.A/require;
racoon.conf
  • #cat /usr/local/etc/racoon/racoon.conf
    path include "/usr/local/etc/racoon" ;
    path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
    #path certificate "/usr/local/etc/cert" ;
    log debug;
    padding
    {
    maximum_length 20;
    randomize off;
    strict_check off;
    exclusive_tail off;
    }

    listen
    {
    isakmp 89.A.A.A [500];
    }

    timer
    {
    counter 5;
    interval 20 sec;
    persend 1;
    phase1 30 sec;
    phase2 15 sec;
    }

    remote 89.B.B.B
    {
    exchange_mode aggressive,main;
    doi ipsec_doi;
    situation identity_only;

    my_identifier address 89.A.A.A;
    peers_identifier address 89.B.B.B;

    nonce_size 16;lifetime time 1 hour;
    initial_contact on;
    proposal_check obey;

    proposal {
    encryption_algorithm 3des;
    hash_algorithm sha1;
    authentication_method pre_shared_key ;
    dh_group 2 ;
    }
    }
    remote 89.C.C.C
    {
    exchange_mode aggressive,main;
    doi ipsec_doi;
    situation identity_only;

    my_identifier address 89.A.A.A;
    peers_identifier address 89.C.C.C;

    nonce_size 16;lifetime time 1 hour;
    initial_contact on;
    proposal_check obey;

    proposal {
    encryption_algorithm 3des;
    hash_algorithm sha1;
    authentication_method pre_shared_key ;
    dh_group 2 ;
    }
    }

    sainfo anonymous
    {

    pfs_group 1;
    lifetime time 3600 sec;
    encryption_algorithm 3des ;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate ;
    }
psk.txt
  • 89.B.B.B password
    89.C.C.C password
firewall
  • .....
    ${FwCMD} add allow ip from any to any via gif0
    ${FwCMD} add allow udp from 89.A.A.A to 89.B.B.B 500
    ${FwCMD} add allow udp from 89.B.B.B to 89.A.A.A 500
    ${FwCMD} add allow esp from 89.A.A.A to 89.B.B.B
    ${FwCMD} add allow esp from 89.B.B.B to 89.A.A.A

    ${FwCMD} add allow ip from any to any via gif1
    ${FwCMD} add allow udp from 89.A.A.A to 89.C.C.C 500
    ${FwCMD} add allow udp from 89.C.C.C to 89.A.A.A 500
    ${FwCMD} add allow esp from 89.A.A.A to 89.C.C.C
    ${FwCMD} add allow esp from 89.C.C.C to 89.A.A.A

    .....
С такими конфигами не удается соеденить СЕТЬ№1 и СЕТЬ№3
а СЕТЬ№1 и СЕТЬ№2 прекрасно работают.
подскажите в чем может быть проблема?
Вернуться к началу
Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Вернуться к началу
Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35456
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:
Контактная информация пользователя Alex Keda

Непрочитанное сообщение Alex Keda » 2007-01-26 21:17:05

ниасаилил...
юзай кнопочку code...
могу предположить - в маршрутах?
Убей их всех! Бог потом рассортирует...
Вернуться к началу
Аватара пользователя
zorg
лейтенант
Сообщения: 665
Зарегистрирован: 2006-03-01 22:25:36
Откуда: Санкт-Петербург

Непрочитанное сообщение zorg » 2007-01-26 23:32:35

тоже не смог!! но тоже предположу:
а ты на компе шлюз1 сети 1 добавил ещё одни настройки для сети 3???
Всё дело в перце!! :)
Вернуться к началу
Аватара пользователя
sidor-r
мл. сержант
Сообщения: 145
Зарегистрирован: 2006-09-05 9:50:17
Контактная информация:
Контактная информация пользователя sidor-r

Непрочитанное сообщение sidor-r » 2007-01-27 8:32:13

zorg писал(а):тоже не смог!! но тоже предположу:
а ты на компе шлюз1 сети 1 добавил ещё одни настройки для сети 3???
Да, добавил.
Я уже разобрался, надо было поменять прова на psk.txt на ШЛЮЗ№3
chmod 600 psk.txt
Тему можно снимать.
Вернуться к началу