ipsec проблема

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Dolphin_BSD
ст. сержант
Сообщения: 353
Зарегистрирован: 2007-04-26 9:09:10
Откуда: Kiev
Контактная информация:

ipsec проблема

Непрочитанное сообщение Dolphin_BSD » 2007-07-30 9:42:53

Добрый день !

У меня 14 серверов ФРИ весят на тунеле ....

В пятницу вдруг один из туннелей просто погас.

ЛОГ:

Код: Выделить всё

bopota# tail -f /var/log/racoon.log
2007-07-30 08:32:32: INFO: delete phase 2 handler.
2007-07-30 08:33:28: INFO: request for establishing IPsec-SA was queued due to no phase1 found.
2007-07-30 08:33:59: ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 83.218.238.150[0]->83.170.246.54[0]
2007-07-30 08:33:59: INFO: delete phase 2 handler.
2007-07-30 08:34:01: ERROR: phase1 negotiation failed due to time up. aec2d1e3c205d4ae:0000000000000000
2007-07-30 08:34:15: INFO: IPsec-SA request for 83.218.238.150 queued due to no phase1 found.
2007-07-30 08:34:15: INFO: initiate new phase 1 negotiation: 83.170.246.54[500]<=>83.218.238.150[500]
2007-07-30 08:34:15: INFO: begin Identity Protection mode.
2007-07-30 08:34:46: ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 83.218.238.150[0]->83.170.246.54[0]
2007-07-30 08:34:46: INFO: delete phase 2 handler.
На главном тоже самое пишет ..

Код: Выделить всё

bopota# setkey -D
No SAD entries.
bopota# setkey -f /etc/ipsec.conf
bopota# setkey -D
No SAD entries.
bopota#
Как видно ничего не дает ...

Куда копать ? В чем может быть лажа !
_______________________________________________________________________________
Каждая секунда жизни имеет собственную цену, которую необходимо вовремя заплатить.
http://www.ftl.com.ua

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Dolphin_BSD
ст. сержант
Сообщения: 353
Зарегистрирован: 2007-04-26 9:09:10
Откуда: Kiev
Контактная информация:

Re: ipsec проблема

Непрочитанное сообщение Dolphin_BSD » 2007-07-30 9:48:21

Добавлю лог главного сервера

Код: Выделить всё

bopota# tail -f /var/log/racoon.log
2007-07-30 09:46:35: INFO: begin Identity Protection mode.
2007-07-30 09:46:35: INFO: received Vendor ID: DPD
2007-07-30 09:46:54: ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 83.170.246.54[0]->83.218.238.150[0]
2007-07-30 09:46:54: INFO: delete phase 2 handler.
2007-07-30 09:46:54: ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 83.170.192.238[0]->83.218.238.150[0]
2007-07-30 09:46:54: INFO: delete phase 2 handler.
2007-07-30 09:46:55: NOTIFY: the packet is retransmitted by 83.170.246.54[500].
2007-07-30 09:47:05: INFO: request for establishing IPsec-SA was queued due to no phase1 found.
2007-07-30 09:47:14: NOTIFY: the packet is retransmitted by 83.170.246.54[500].
2007-07-30 09:47:27: INFO: request for establishing IPsec-SA was queued due to no phase1 found.
2007-07-30 09:47:34: NOTIFY: the packet is retransmitted by 83.170.246.54[500].
2007-07-30 09:47:36: ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP 83.170.246.54[0]->83.218.238.150[0]
2007-07-30 09:47:36: INFO: delete phase 2 handler.
2007-07-30 09:47:38: INFO: request for establishing IPsec-SA was queued due to no phase1 found.
_______________________________________________________________________________
Каждая секунда жизни имеет собственную цену, которую необходимо вовремя заплатить.
http://www.ftl.com.ua

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipsec проблема

Непрочитанное сообщение Alex Keda » 2007-07-30 10:18:14

файрволл?
===========
юзай кнопочку code
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Dolphin_BSD
ст. сержант
Сообщения: 353
Зарегистрирован: 2007-04-26 9:09:10
Откуда: Kiev
Контактная информация:

Re: ipsec проблема

Непрочитанное сообщение Dolphin_BSD » 2007-07-30 11:13:31

Код: Выделить всё

#######################################################################################################################
$cmd 400 allow ip from $spv to $sf, $dnepr, $podol, $frank, $kix, $lviv, $ulf, $spvlviv, $odessa, $palladina
$cmd 401 allow ip from $sf, $dnepr, $podol, $frank, $kix, $lviv, $ulf, $spvlviv, $odessa, $palladina to $spv
$cmd 500 allow ip from any to any via gif0, gif1, gif2, gif3, gif4, gif5, gif6, gif7, gif8, gif9, gif10
#######################################################################################################################

################################################################################################################################
$cmd 510 allow esp from $sf, $dnepr, $podol, $frank, $kix, $lviv, $ulf, $spvlviv, $odessa to me in via $eif
$cmd 520 allow esp from me to $sf, $dnepr, $podol, $frank, $kix, $lviv, $ulf, $spvlviv, $odessa out via $eif
################################################################################################################################
$cmd 6030 allow udp from $sf, $dnepr, $podol, $frank, $kix, $lviv, $ulf, $spvlviv, $odessa, $palladina to me dst-port 500 in via $eif keep-state


По аналогии сделано и на клиенте !
_______________________________________________________________________________
Каждая секунда жизни имеет собственную цену, которую необходимо вовремя заплатить.
http://www.ftl.com.ua

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipsec проблема

Непрочитанное сообщение Alex Keda » 2007-07-30 11:39:43

мне это ни о чём не сказало...

Код: Выделить всё

ipfw add 1 allow all from any to any
на обоих и смотри - заработает или нет.
Если да - то файрволл.
==============
юзай конопочку code
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Dolphin_BSD
ст. сержант
Сообщения: 353
Зарегистрирован: 2007-04-26 9:09:10
Откуда: Kiev
Контактная информация:

Re: ipsec проблема

Непрочитанное сообщение Dolphin_BSD » 2007-07-30 12:26:01

Не пашет ...

Фаер я не трогал , на остальных 13 серверах все пашет на ура !

У меня впечатление что между сервером клиента и главным нет связи на уровне потере пакетов провайдерами ...

Позвонил поругался ....

Уверен на 90 % что они ничего не сделают ..
Могу ли я как то проверить и устранить ...


Может есть у кого то еще варианты проблемы !

Очень нужна помощь ! !
_______________________________________________________________________________
Каждая секунда жизни имеет собственную цену, которую необходимо вовремя заплатить.
http://www.ftl.com.ua

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipsec проблема

Непрочитанное сообщение Alex Keda » 2007-07-30 12:30:09

tcpdump в зубы - и смотреть происходящее
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Dolphin_BSD
ст. сержант
Сообщения: 353
Зарегистрирован: 2007-04-26 9:09:10
Откуда: Kiev
Контактная информация:

Re: ipsec проблема

Непрочитанное сообщение Dolphin_BSD » 2007-07-30 12:46:24

Спасибо всем , дал пиз ..... провайдеру. Все заработало ... только до ИТ спецов пол для достучаться нереально было ! :twisted: :P :o 8) :mrgreen: :mrgreen: :mrgreen: :mrgreen: :mrgreen:
_______________________________________________________________________________
Каждая секунда жизни имеет собственную цену, которую необходимо вовремя заплатить.
http://www.ftl.com.ua