IPSEC - setkey

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
sheva.sv
мл. сержант
Сообщения: 75
Зарегистрирован: 2007-11-20 12:49:14

IPSEC - setkey

Непрочитанное сообщение sheva.sv » 2009-04-07 14:56:02

День добрый господа!
Помогите пожалуйста понять чего мне не хватает для поднятия тунеля между двумя машинами FreeBSD. Нужно было перекинуть работающий ВПН канал на другую тачку (на которой тоже есть ВПН но с другим офисом), когда все конфиги сменил, поубивал интерфейсы gif и создал новые (с новыми айпишниками), переписал файл /etc/ipsec.conf (на двух машинах). Проверяю ключи

Код: Выделить всё

[14:28]  /usr/home/sheva > setkey -D
No SAD entries.
пусто на обоих машинах. Когда ввожу setkey -f ... получаю результат

Код: Выделить всё

/usr/home/sheva > setkey -f /etc/ipsec.conf
The result of line 6: File exists.
The result of line 7: File exists.
может кто-то знает как все-таки установить ключи.

п.с. а вот такой вывод есть:

Код: Выделить всё

/usr/home/sheva > setkey -DP
192.168.1.0/24[any] 192.168.0.0/24[any] any
        in ipsec
        esp/tunnel/X.X.X.X-Y.Y.Y.Y/require
        created: Apr  7 14:28:12 2009  lastused: Apr  7 14:28:12 2009
        lifetime: 0(s) validtime: 0(s)
        spid=16631 seq=1 pid=37111
        refcnt=1
192.168.0.0/24[any] 192.168.1.0/24[any] any
        out ipsec
        esp/tunnel/Y.Y.Y.Y-X.X.X.X/require
        created: Apr  7 14:28:12 2009  lastused: Apr  7 14:52:57 2009
        lifetime: 0(s) validtime: 0(s)
        spid=16630 seq=0 pid=37111
        refcnt=1
не пинайте если мало написал, скажите что нужно , выложу все конфиги (не хотел перегружать информацией)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: IPSEC - setkey

Непрочитанное сообщение snorlov » 2009-04-07 16:04:52

ipsec.conf и raccon.conf в студию... Если используешь ключи, может права забыл на файл ключей поставить...

sheva.sv
мл. сержант
Сообщения: 75
Зарегистрирован: 2007-11-20 12:49:14

Re: IPSEC - setkey

Непрочитанное сообщение sheva.sv » 2009-04-07 17:05:40

Первая тачка:

Код: Выделить всё

cat /etc/ipsec.conf
spdadd 192.168.0.0/24 192.168.1.0/24 any -P out ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/require;
spdadd 192.168.1.0/24 192.168.0.0/24 any -P in ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X/require;
и

Код: Выделить всё

cat /usr/local/etc/racoon/racoon.conf | grep -v '#'
path include "/usr/local/etc/racoon" ;
path certificate "/usr/local/etc/racoon/cert/" ;
log debug2;
padding
{
}
listen
{
        isakmp Y.Y.Y.Y [500];
}
timer
{

        phase1 30 sec;
        phase2 15 sec;
}

remote  X.X.X.X
{
        exchange_mode aggressive,main;
        my_identifier asn1dn;
        peers_identifier asn1dn;
        certificate_type x509 "193.111.250.28.public" "193.111.250.28.private";
        peers_certfile x509 "32.166.public";
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method rsasig;
                dh_group 2 ;
        }
}

sainfo anonymous
{
        pfs_group 5;
        lifetime time 60 min;
        encryption_algorithm 3des ;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate ;
}


Вторая тачка

Код: Выделить всё

spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec esp/tunnel/X.X.X.X-A.A.A.A/require;
spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/A.A.A.A-X.X.X.X/require;
spdadd 192.168.1.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/require;
spdadd 192.168.0.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X/require;
и

Код: Выделить всё

/usr/local/etc/racoon/cert >  cat /usr/local/etc/racoon/racoon.conf | grep -v '#'
path include "/usr/local/etc/racoon" ;
path certificate "/usr/local/etc/racoon/cert/" ;
log debug2;
padding
{
}

listen
{
        isakmp X.X.X.X [500];
}

timer
{

        phase1 30 sec;
        phase2 15 sec;
}

remote  B.B.B.B
{
        exchange_mode aggressive,main;
        my_identifier asn1dn;
        peers_identifier asn1dn;
        certificate_type x509 "32.166.public" "32.166.private";
        peers_certfile x509 "stoyanka.epia.public";
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method rsasig;
                dh_group 2 ;
        }
}

remote  A.A.A.A
{
        exchange_mode aggressive,main;
        my_identifier asn1dn;
        peers_identifier asn1dn;
        certificate_type x509 "32.166.public" "32.166.private";
        peers_certfile x509 "39.202.public";
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method rsasig;
                dh_group 2 ;
        }
}

remote  Y.Y.Y.Y
{
        exchange_mode aggressive,main;
        my_identifier asn1dn;
        peers_identifier asn1dn;
        certificate_type x509 "32.166.public" "32.166.private";
        peers_certfile x509 "193.111.250.28.public";
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method rsasig;
                dh_group 2 ;
        }
}
sainfo anonymous
{
        pfs_group 5;
        lifetime time 60 min;
        encryption_algorithm 3des ;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate ;

вот еще выводы ifconfig
для первой машины

Код: Выделить всё

gif2: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1396
        tunnel inet Y.Y.Y.Y --> A.A.A.A
        inet 192.168.0.1 --> 192.168.2.1 netmask 0xffffffff
gif1: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
        tunnel inet Y.Y.Y.Y --> X.X.X.X
        inet 192.168.0.1 --> 192.168.1.251 netmask 0xffffffff

и для второй

Код: Выделить всё

gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1396
        tunnel inet X.X.X.X --> Y.Y.Y.Y
        inet 192.168.1.251 --> 192.168.0.1 netmask 0xffffffff
gif2: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1396
        tunnel inet X.X.X.X --> A.A.A.A
        inet 192.168.1.251 --> 192.168.2.1 netmask 0xffffffff

п.с. я когда перенастраивал (прибивал старые и создавал новые ) интерфейсы , тунели и.д. машины не перегружал (может ребутнуть ?? но не хочется АпТайма уже на одной 179 дней))))))))))))))))))

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: IPSEC - setkey

Непрочитанное сообщение snorlov » 2009-04-07 17:43:48

Да вроде ОК, на первой машине одной политики вроде не хватает, и я бы перегрузил бы...

sheva.sv
мл. сержант
Сообщения: 75
Зарегистрирован: 2007-11-20 12:49:14

Re: IPSEC - setkey

Непрочитанное сообщение sheva.sv » 2009-04-07 18:23:58

а какой политики ?

sheva.sv
мл. сержант
Сообщения: 75
Зарегистрирован: 2007-11-20 12:49:14

Re: IPSEC - setkey

Непрочитанное сообщение sheva.sv » 2009-04-07 23:45:55

перегрузил и все заработало)) а вот аптайм жалко :cry: )))))))))))

snorlov
подполковник
Сообщения: 3929
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: IPSEC - setkey

Непрочитанное сообщение snorlov » 2009-04-08 8:42:12

sheva.sv писал(а):а какой политики ?
Вторая машина

Код: Выделить всё

spdadd 192.168.1.0/24 192.168.2.0/24 any -P out ipsec esp/tunnel/X.X.X.X-A.A.A.A/require;
spdadd 192.168.2.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/A.A.A.A-X.X.X.X/require;
spdadd 192.168.1.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/require;
spdadd 192.168.0.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X/require;
Первая машина

Код: Выделить всё

ipsec.conf
spdadd 192.168.0.0/24 192.168.1.0/24 any -P out ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/require;
spdadd 192.168.1.0/24 192.168.0.0/24 any -P in ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X/require;
А в racoon.conf на обоих указаны и A и Y и X, впрочем, если тебе не нужен прямой канал из 192.168.0.0/24 в 192.168.2.0/24, то она и не нужна

sheva.sv
мл. сержант
Сообщения: 75
Зарегистрирован: 2007-11-20 12:49:14

Re: IPSEC - setkey

Непрочитанное сообщение sheva.sv » 2009-04-08 14:06:21

ты совершенно прав, прямой канал мне не нужен.