ipsec racoon вопросы

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
papich
рядовой
Сообщения: 40
Зарегистрирован: 2007-08-15 16:32:45
Откуда: Тула

ipsec racoon вопросы

Непрочитанное сообщение papich » 2008-03-24 17:42:10

Добрый день!

Всем, у кого исправно работают IPSEC тунели посвящается :

racoon.log :

Код: Выделить всё

Mar 24 17:32:09 gate racoon: INFO: @(#)ipsec-tools 0.7 (http://ipsec-tools.sourceforge.net)
Mar 24 17:32:09 gate racoon: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
Mar 24 17:32:09 gate racoon: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
Mar 24 17:32:09 gate racoon: DEBUG2: lifetime = 28800
Mar 24 17:32:09 gate racoon: DEBUG2: lifebyte = 0
Mar 24 17:32:09 gate racoon: DEBUG2: encklen=0
Mar 24 17:32:09 gate racoon: DEBUG2: p:1 t:1
Mar 24 17:32:09 gate racoon: DEBUG2: 3DES-CBC(5)
Mar 24 17:32:09 gate racoon: DEBUG2: SHA(2)
Mar 24 17:32:09 gate racoon: DEBUG2: 1024-bit MODP group(2)
Mar 24 17:32:09 gate racoon: DEBUG2: RSA signatures(3)
Mar 24 17:32:09 gate racoon: DEBUG2:
Mar 24 17:32:09 gate racoon: DEBUG: hmac(modp1024)
Mar 24 17:32:09 gate racoon: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.
Mar 24 17:32:09 gate racoon: DEBUG: getsainfo params: loc='ANONYMOUS', rmt='ANONYMOUS', peer='NULL', id=0
Mar 24 17:32:09 gate racoon: DEBUG: getsainfo pass #2
Mar 24 17:32:09 gate racoon: DEBUG2: parse successed.
Mar 24 17:32:09 gate racoon: INFO: 10.250.54.149[500] used as isakmp port (fd=6)
Mar 24 17:32:09 gate racoon: DEBUG: pk_recv: retry[0] recv()
Mar 24 17:32:09 gate racoon: DEBUG: get pfkey X_SPDDUMP message
Mar 24 17:32:09 gate racoon: DEBUG2:  02120000 17000100 01000000 be4d0000 03000500 04180000 10020000 c0a81601 00000000 00000000 03000600 041b0000 10020000 c0a89540 00000000 00000000 07001200 02000100 05400000 00000000 28003200 02020000 10020000 0afa92de 00000000 00000000 10020000 0afa2895 00000000 00000000 04000200 00000000 00000000 00000000 690ed847 00000000 690ed847 00000000 04000300 00000000 00000000 00000000 00000000 00000000 00000000 00000000
Mar 24 17:32:09 gate racoon: DEBUG: pk_recv: retry[0] recv()
Mar 24 17:32:09 gate racoon: DEBUG: get pfkey X_SPDDUMP message
Mar 24 17:32:09 gate racoon: DEBUG2:  02120000 17000100 00000000 be4d0000 03000500 041b0000 10020000 c0a89540 00000000 00000000 03000600 04180000 10020000 c0a81601 00000000 00000000 07001200 02000200 04400000 00000000 28003200 02020000 10020000 0afa2895 00000000 00000000 10020000 0afa92de 00000000 00000000 04000200 00000000 00000000 00000000 690ed847 00000000 690ed847 00000000 04000300 00000000 00000000 00000000 00000000 00000000 00000000 00000000
Mar 24 17:32:09 gate racoon: DEBUG: sub:0xbfbfe570: 192.168.149.64/27[0] 192.168.22.1/24[0] proto=4 dir=out
Mar 24 17:32:09 gate racoon: DEBUG: db :0x80b6408: 192.168.22.1/24[0] 192.168.149.64/27[0] proto=4 dir=in

И на этом тишина... пакеты не ходят.
Куда поковырять непойму. :(

Спасибо.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipsec racoon вопросы

Непрочитанное сообщение Alex Keda » 2008-03-25 13:42:47

файрволл?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
papich
рядовой
Сообщения: 40
Зарегистрирован: 2007-08-15 16:32:45
Откуда: Тула

Re: ipsec racoon вопросы

Непрочитанное сообщение papich » 2008-03-25 16:39:58

фаервол отключал.(ipfilter)

tcpdump ом ничего не видно, что бы пакеты заворачивались в тунель.
Я с ipsec ранее дела не имел, и такая тишина с его стороны заводит в тупик.

вот netstat -rn :

Код: Выделить всё

192.168.22         gif0               US          0        0   gif0
192.168.22.254     192.168.149.94     UH          0      954   gif0
192.168.149.64/27  link#3             UC          0        0    vr0
rc.conf кусочек

Код: Выделить всё

# IPSEC
racoon_enable="YES"
ipsec_enable="YES"
cloned_interfaces="gif0"
gifconfig_gif0="10.250.123.149 10.250.321.222"
route_HOME="192.168.22.0/24 -interface gif0"
Делал по статьям.
Помогите!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipsec racoon вопросы

Непрочитанное сообщение Alex Keda » 2008-03-25 17:08:24

концы туннеля пингуются?
Убей их всех! Бог потом рассортирует...

Аватара пользователя
papich
рядовой
Сообщения: 40
Зарегистрирован: 2007-08-15 16:32:45
Откуда: Тула

Re: ipsec racoon вопросы

Непрочитанное сообщение papich » 2008-03-25 17:24:31

Растолкуйте пожалуйста, так сказать для настройки на волну понимания....

Концы, это машины на которых racoon слушает 500 порт?

Если так, то да.

Я ранее применял только openvpn, по этому реализация ipsec для меня пока интересна.
Получается, что тунель не соединяется пока на него нет пакетов?

Может конфиги выложить? Какие помогут делу?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: ipsec racoon вопросы

Непрочитанное сообщение Alex Keda » 2008-03-25 20:53:02

нет пакетов - нет туннеля.
в статье ясно написано - дял понимания происходящего прочтите старую версию.
там эта особенность чётко описана
Убей их всех! Бог потом рассортирует...