Настройка шифрованного туннеля с использованием IPSEC

[snorlov]

Если вам не нужен IP6 то в ядре кроме options Inet6, должна быть закоментирована options SCTP

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[serrrega]

Спасибо, хоть и поздновато, но всё равно спасибо, уже разобрался и пересобрал ядро

[gmn]

Всем привет.
Чтобы не плодить новую тему почти по тому же вопросу - решил задать вопрос здесь.

Ситуация такая.
Имеем две сети 192.168.1.0/24 и два шлюза на FreeBSD с адресами, например, 1.1.1.1 и 2.2.2.2.
Надо объединить эти две сети через IPSEC.
Если сети не совпадают (например, 192.168.1.0 и 192.168.2.0), то все ок, IPSEC работает.
ipsec реализован на racoon2, но это, думаю, не столь важно.
Как быть в случае совпадающих сетей?
Натить с одной стороны выход с локалки с другую подсеть?
Например, 192.168.1.0/24 в 192.168.2.0/24 и потом уже с с сети 192.168.2.0/24 попадать в туннель и в другую подсеть?
Но как это сделать? (FreeBSD 7, kernel nat).

[Sadok123]

Никак. Надо разбивать на подсети или менять адресацию.

[gmn]

Никак. Надо разбивать на подсети или менять адресацию.

На Cisco делается ...
Натится в "левую" подсеть, потом эта "левая" подсеть попадает в туннель.
Может как-то можно сделать, чтобы был нат с сети 192.168.1.0 на какую-то другую подсеть, например, 10.0.1.0.
И пакеты с 1-й сети, заначенные в сеть 10.0 уходили во вторую сеть 192.168.1.0 с сети 10.0., а не с 192.168.1.0.
И пакеты отратно с второй сети 192.168.1.0 возвращались не в 192.168.1.0 (1-я сеть, совпадающая по адресации), а в сеть 10.0 и проходили через нат и попадали с сеть назначения 192.168.1.0 (1-я сетка).
Соответственно, запрос с 1-й сети с адреса 192.168.1.1 во 2-ю сеть на адрес 192.168.1.2 будет выполняться не по 192.168.1.2, а по 10.0.1.2.
Аналогично и со второй сети - через промежуточную 10-ю сетку.
Только как реализовать - не придумаю

[gmn]

Привет.

Так все же ... Как сделать можно?
Есть две сети 192.168.1.0/24 (именно так, с одинаковой адресацией) и их надо соединить через ipsec (FreeBSD 7.2, kernel nat, racoon2).
Вариант - натить сетку на одной из сторон в другую, например, в 192.168.2.0/24 и соединять сети 192.168.1 и 192.168.2.
Но пробовал делать redirect_addr (один, не всю сеть) - не работает.
Может надо патч применять для NAT-T и его использовать?

[alexandrneverov]

пытаюсь поднять туннель по статье про ipsec на gif интерфейсах
есть 2 фриБСД 7.1 с 2-мя сетевыми каждая смотрящими одна в мир(белый ip) и в локалку(серый ip). Вот
конфиг /etc/rc.conf первой машины

Код: Выделить всё

gateway_enable="YES"
keymap="ru.koi8-r"
sshd_enable="YES"
ifconfig_em1="inet 192.168.0.141  netmask 255.255.255.0"
ifconfig_em0="inet 91.90.22.229  netmask 255.255.255.240"
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="91.90.22.229 91.90.22.226"
ifconfig_gif0="inet 192.168.0.141 192.168.1.1 netmask 255.255.255.255"
defaultrouter="91.90.22.225"
static_routes="vpn"
route_vpn="192.168.1.0/24 -interface gif0"
hostname="valera"
firewall_enable="YES"
firewall_logging="YES"
natd_enable="YES"
natd_interface="em0"
natd_flags="-m -u -f /etc/natd.conf"
firewall_script="/etc/ipfw.rules"
inetd_enable="YES"
squid_enable="YES"

конфиг /etc/rc.conf второй машины

Код: Выделить всё

defaultrouter="91.90.22.225"
gateway_enable="YES"
hostname="dd"
ifconfig_age0="inet 91.90.22.226  netmask 255.255.255.0"
ifconfig_stge0="inet 192.168.1.1 netmask 255.255.255.0"
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="91.90.22.226 91.90.22.229"
ifconfig_gif0="inet 192.168.1.1 192.168.0.141 netmask 255.255.255.255"
static_routes="vpn"
route_vpn="192.168.0.0/24 -interface gif0"
keymap="ua.koi8-u"
sshd_enable="YES"
firewall_enable="YES"
firewall_logging="YES"
firewall_script="/etc/ipfw.rules"
squid_enable="YES"
natd_enable="YES"
natd_interface="age0"
inetd_enable="YES"

в фаерволе перед натом добавлены такие строки для пропуска траффика в туннель

Код: Выделить всё

$cmd 065 allow all from 91.90.22.229 to 91.90.22.226
$cmd 066 allow ip from any to any via gif0
$cmd 067 allow ip from 192.168.0.0/24 to 192.168.1.0/24 via $iif
$cmd 068 allow ip from 192.168.1.0/24 to 192.168.0.0/24 via $iif

туннель не работает((( Ping 192.168.0.141 c 91.90.22.226 ничего не дает. подскажите что не так.

[f0s]

а где остальные конфиги? + может сертификаты неправильно сгенерил. сам туннель-то поднимается?

[alexandrneverov]

сертификаты не трогал пока
проблема именно в том что туннель не поднимается((( - какие еще конфиги нужно - все выложу

[f0s]

/etc/ipsec.conf
/usr/local/etc/racoon/racoon.conf

[alexandrneverov]

этих конфигов нет и не в них дело. из тех настроек что я привел, по идее должен подниматься туннель а его нет. вот в чем собственно вопрос.

[f0s]

хм.. то есть обычный не шифрованный туннель.. ну х3. может быть. я так не пробовал.. тога бери tcpdump и смотри

[alexandrneverov]

т.е. логически все правильно?

[f0s]

вот мои правила для ipfw:

Код: Выделить всё

00100   15217   1267486 allow ip from any to any via gif0
00200       0         0 allow udp from 11.175.22.232 to 22.52.64.20 dst-port 500
00250    2492   1123892 allow udp from 22.52.64.20 to 11.175.22.232 dst-port 500
00300       0         0 allow esp from 22.52.64.20 to 11.175.22.232
00350       0         0 allow esp from 11.175.22.232 to 22.52.64.20
00400       0         0 allow ipencap from 22.52.64.20 to 11.175.22.232
00450       0         0 allow ipencap from 11.175.22.232 to 22.52.64.20

[snorlov]

этих конфигов нет и не в них дело. из тех настроек что я привел, по идее должен подниматься туннель а его нет. вот в чем собственно вопрос.

в ifconfig_gif0 маску бы я поставил в 255.255.255.0
И еще

Ping 192.168.0.141 c 91.90.22.226

Этот пинг засовывается в nat, а не в тоннель, а вот Ping 192.168.0.141 на 192.168.1.1 должен быть отправлен в тоннель

[daggerok]

Привет.

Так все же ... Как сделать можно?
Есть две сети 192.168.1.0/24 (именно так, с одинаковой адресацией) и их надо соединить через ipsec (FreeBSD 7.2, kernel nat, racoon2).
Вариант - натить сетку на одной из сторон в другую, например, в 192.168.2.0/24 и соединять сети 192.168.1 и 192.168.2.
Но пробовал делать redirect_addr (один, не всю сеть) - не работает.
Может надо патч применять для NAT-T и его использовать?

Вы побороли уже?

[CrazyPilot]

Народ, хелп плиз. Запутался нахрен с этими ipsec туннелями. У нас есть gif интерфейс, по которому может гулять трафик между двумя хостами. Без ipsec у нас уже есть private network, но в виде нешифрованного ipencap. В статье указывается, что мы организуем ipsec туннель между реальными ip, и шифруем с помощью ipsec ipencap траффик между хостами, этот трафик гуляет по ipsec туннелю.

А не правильнее ли будет шифровать ipencap трафик между двумя этими хостами в transport mode? Объясните плз, я не втыкаю в принципиальную разницу в данном случае между tunnel и transport mode.
Например так (будем считать что 192.168.100.2 и 192.168.101.2 - это белые ip хостов).

Код: Выделить всё

flush;
spdflush;
spdadd 192.168.100.2 192.168.101.2 ipencap -P out ipsec esp/transport//require;
spdadd 192.168.101.2 192.168.100.2 ipencap -P in ipsec esp/transport//require;

gif получается такой:

Код: Выделить всё

gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280
        tunnel inet 192.168.100.2 --> 192.168.101.2
        inet 10.10.100.1 --> 10.10.101.1 netmask 0xffffffff

10.10.100.1 и 10.10.101.1 это LAN сетки, трафик между которыми надо секурно передавать по инету.
В этом случае (в транспортном режиме) ipencap пакет, вывалившийся из гифа, попадает на внешний интерфейс согласно настройке туннеля gif, там ipsec находит подходящую политику, шифрует этот пакет, заворачивает его в esp и отправляет на хост назначения (который сконфигурен у туннеля gif).
Получается что ipsec в tunnel mode нафиг не нужен? Поправьте меня, плз, если я не прав.

[CrazyPilot]

ээээ, who cares?
Может кто объяснить - зачем использовать ipsec в tunnel mode, когда трафик между шлюзами идет в ipencap?

[arkan]

Кстати а восьмая бздя незнает что такое

options IPSEC_ESP

как быть даже и понятия неимею
Да и фиг на него так как есть

device crypto

[CrazyPilot]

RTFM. Хэндбук английский почитайте.

[arkan]

RTFM. Хэндбук английский почитайте.

Да только свой пост подредактировал а гляжу уже ответ написали

options IPSEC #IP security
device crypto

[arkan]

Привет всем кто в теме
сижу долблю потихонечку IPSEC
тунель давно уже работает
racoon тоже вроде как работает на 8 а на 6.2 небольшие проблеммы с запуском но это мелочи

У меня вопросик с созданием сертификатов
Хоть и делал не совсем чтоб по статье http://www.lissyara.su/articles/freebsd/security/ipsec/
но там есть чудная строчка которая недает мне покоя

Для второй машины тоже генерим ключи, и копируем с одной на другую файлики *.public.

Я вот чтото немогу вьехать
при создании ключа

openssl req -new -nodes -newkey rsa:1024 -sha1 -keyform PEM -keyout via.epia.private -outform PEM -out via.epia.pem

его надо положить в

/usr/local/etc/racoon/cert

Дак вот для других шлюзов заново надо генерить сертификаты или можно эти же два файла перетащить на другую машину и все будет работать ?

Тогда непонятно почему в логи сыпется

couldn't find the proper pskey, try to get one by the peer's address.

[guest]

а как быть если на 1 сервере нужно поднять 3 туннеля?
продублировать в rc.conf

Код: Выделить всё

gif_interfaces="gif0"
gif_interfaces="gif1"
gif_interfaces="gif2"
и т.д.

а так же в ipsec.conf 6 строк, по 2 на каждый и racoon.conf прописать к каждому блок "remote"

[sl1p]

всем привет. проблема в следующем, не удается установить шифрование

Код: Выделить всё

ifconfig_em0="inet 192.168.0.3  netmask 255.255.255.0"
ifconfig_em1="inet x.x.x.x  netmask 255.255.255.248"
defaultrouter="x.x.x.y"
gateway_enable="YES"

keymap="ru.koi8-r"
sshd_enable="YES"

firewall_enable="YES"
firewall_script="/etc/ipfw.script"
firewall_logging="YES"
natd_enable="YES"
natd_interface="em1"

racoon_enable="YES"
racoon_flags="-f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log"
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="x.x.x.x y.y.y.y"
ifconfig_gif0="inet 192.168.0.3 192.168.3.1 netmask 255.255.255.0"

ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
static_routes="remote"
route_remote="192.168.3.0/24 -interface gif0"

Код: Выделить всё

flush;
spdflush;
spdadd 192.168.0.0/24 192.168.3.0/24 ipencap -P out ipsec esp/tunnel/x.x.x.x-y.y.y.y/require;
spdadd 192.168.3.0/24 192.168.0.0/24 ipencap -P in ipsec esp/tunnel/y.y.y.y-x.x.x.x/require;

Код: Выделить всё

${FwCMD} add allow ip from any to any via gif0
${FwCMD} add allow udp from x.x.x.x to y.y.y.y isakmp
${FwCMD} add allow udp from y.y.y.y to x.x.x.x isakmp
${FwCMD} add allow esp from x.x.x.x to y.y.y.y
${FwCMD} add allow esp from y.y.y.y to x.x.x.x
${FwCMD} add allow ipencap from x.x.x.x to y.y.y.y
${FwCMD} add allow ipencap from y.y.y.y to x.x.x.x

Код: Выделить всё

path pre_shared_key "/usr/local/etc/racoon/psk.txt";
log debug2;

listen
{
isakmp x.x.x.x;
}
remote anonymous 
{
exchange_mode aggressive;
my_identifier address;
lifetime time 24 hour;

proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 12 hour;
encryption_algorithm 3des, blowfish, des, rijndael;
authentication_algorithm hmac_sha1, hmac_md5;
compression_algorithm deflate;
}

в psk.txt выставлены права, прописан ип и пасс
пинги ходят, при

Код: Выделить всё

setkey -D
No SAD entries

Код: Выделить всё

setkey -DP
192.168.3.0/24[any] 192.168.0.0/24[any] ip4
        in ipsec
        esp/tunnel/y.y.y.y-x.x.x.x/require
        spid=2 seq=1 pid=2983
        refcnt=1
192.168.0.0/24[any] 192.168.3.0/24[any] ip4
        out ipsec
        esp/tunnel/x.x.x.x-y.y.y.y/require
        spid=1 seq=0 pid=2983
        refcnt=1

в логах , что на одной стороне, что на другой одинаково

Код: Выделить всё

2010-06-24 02:16:45: INFO: caught signal 15
2010-06-24 02:16:46: INFO: racoon shutdown
2010-06-24 02:16:47: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
2010-06-24 02:16:47: INFO: @(#)This product linked OpenSSL 0.9.8k 25 Mar 2009 (http://www.openssl.org/)
2010-06-24 02:16:47: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2010-06-24 02:16:47: DEBUG2: lifetime = 86400
2010-06-24 02:16:47: DEBUG2: lifebyte = 0
2010-06-24 02:16:47: DEBUG2: encklen=0
2010-06-24 02:16:47: DEBUG2: p:1 t:1
2010-06-24 02:16:47: DEBUG2: 3DES-CBC(5)
2010-06-24 02:16:47: DEBUG2: SHA(2)
2010-06-24 02:16:47: DEBUG2: 1024-bit MODP group(2)
2010-06-24 02:16:47: DEBUG2: pre-shared key(1)
2010-06-24 02:16:47: DEBUG2: 
2010-06-24 02:16:47: DEBUG: hmac(modp1024)
2010-06-24 02:16:47: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.
2010-06-24 02:16:47: DEBUG: getsainfo params: loc='ANONYMOUS', rmt='ANONYMOUS', peer='NULL', id=0
2010-06-24 02:16:47: DEBUG: getsainfo pass #2
2010-06-24 02:16:47: DEBUG2: parse successed.
2010-06-24 02:16:47: INFO: x.x.x.x[500] used as isakmp port (fd=5)
2010-06-24 02:16:47: WARNING: setsockopt(UDP_ENCAP_ESPINUDP_NON_IKE): UDP_ENCAP Invalid argument
2010-06-24 02:16:47: DEBUG: pk_recv: retry[0] recv() 
2010-06-24 02:16:47: DEBUG: get pfkey X_SPDDUMP message
2010-06-24 02:16:47: DEBUG2: 
02120000 0f000100 01000000 1a050000 03000500 04180000 10020000 c0a80300
00000000 00000000 03000600 04180000 10020000 c0a80000 00000000 00000000
07001200 02000100 02000000 00000000 28003200 02020000 10020000 5c3284e6
00000000 00000000 10020000 5c328345 00000000 00000000
2010-06-24 02:16:47: DEBUG: pk_recv: retry[0] recv() 
2010-06-24 02:16:47: DEBUG: get pfkey X_SPDDUMP message
2010-06-24 02:16:47: DEBUG2: 
02120000 0f000100 00000000 1a050000 03000500 04180000 10020000 c0a80000
00000000 00000000 03000600 04180000 10020000 c0a80300 00000000 00000000
07001200 02000200 01000000 00000000 28003200 02020000 10020000 5c328345
00000000 00000000 10020000 5c3284e6 00000000 00000000
2010-06-24 02:16:47: DEBUG: sub:0xbfbfe4ac: 192.168.0.0/24[0] 192.168.3.0/24[0] proto=4 dir=out
2010-06-24 02:16:47: DEBUG: db :0x28547148: 192.168.3.0/24[0] 192.168.0.0/24[0] proto=4 dir=in

конфиг на другой стороне аналогичен, ип местами изменены
tcpdump не показывает шифрованные пакеты, где ошибся?
спасибо

[promSSe]

Привет.

Так все же ... Как сделать можно?
Есть две сети 192.168.1.0/24 (именно так, с одинаковой адресацией) и их надо соединить через ipsec (FreeBSD 7.2, kernel nat, racoon2).
Вариант - натить сетку на одной из сторон в другую, например, в 192.168.2.0/24 и соединять сети 192.168.1 и 192.168.2.
Но пробовал делать redirect_addr (один, не всю сеть) - не работает.
Может надо патч применять для NAT-T и его использовать?

Как вариант реализовать в виде точка-точка.