Настройка шифрованного туннеля с использованием IPSEC

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение m0ps » 2008-09-25 14:19:05

поскольку у статьи (http://www.lissyara.su/?id=1328) нет темы на форуме, а вопросы после проделанного есть решил создать данную тему.
и так, сразу вопрос:
настроил все по статье, тунель поднялся, пакеты бегают туда-сюда, но racoon -F -f /usr/local/etc/racoon/racoon.conf
выдает следующее:

Код: Выделить всё

Foreground mode.
2008-09-25 14:12:53: INFO: @(#)ipsec-tools 0.7.1 (http://ipsec-tools.sourceforge.net)
2008-09-25 14:12:53: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
2008-09-25 14:12:53: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2008-09-25 14:12:53: DEBUG2: lifetime = 28800
2008-09-25 14:12:53: DEBUG2: lifebyte = 0
2008-09-25 14:12:53: DEBUG2: encklen=0
2008-09-25 14:12:53: DEBUG2: p:1 t:1
2008-09-25 14:12:53: DEBUG2: 3DES-CBC(5)
2008-09-25 14:12:53: DEBUG2: SHA(2)
2008-09-25 14:12:53: DEBUG2: 1024-bit MODP group(2)
2008-09-25 14:12:53: DEBUG2: RSA signatures(3)
2008-09-25 14:12:53: DEBUG2:
2008-09-25 14:12:53: DEBUG: hmac(modp1024)
2008-09-25 14:12:53: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.
2008-09-25 14:12:53: DEBUG: getsainfo params: loc='ANONYMOUS', rmt='ANONYMOUS', peer='NULL', id=0
2008-09-25 14:12:53: DEBUG: getsainfo pass #2
2008-09-25 14:12:53: DEBUG2: parse successed.
2008-09-25 14:12:53: ERROR: failed to bind to address 172.16.1.133[500] (Address already in use).
2008-09-25 14:12:53: ERROR: no address could be bound.
смущают 2 последние строчки:

Код: Выделить всё

2008-09-25 14:12:53: ERROR: failed to bind to address 172.16.1.133[500] (Address already in use).
2008-09-25 14:12:53: ERROR: no address could be bound.
аналогичная ситуация на второй машине.

в чем может быть проблема??

P.S.тестировал на vmware (freebsd1 - wan 172.16.1.134 lan 192.168.100.1; freebsd2 - wan 172.16.1.133 lan 192.168.200.1)

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35267
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение Alex Keda » 2008-09-25 15:22:22

значит уже запущщен
Убей их всех! Бог потом рассортирует...

Аватара пользователя
m0ps
лейтенант
Сообщения: 986
Зарегистрирован: 2008-05-08 20:18:06
Откуда: Chernigov (Ukraine)
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение m0ps » 2008-09-25 15:27:48

тьфу ты, точно.. сам только разобрался и хотел отписаться... он же у меня при загрузке стартанул, а я его опять запускаю...
блин, вот так всегда, поспешишь, а потом оказывается что проблема элементарная (или ее вообще нет)

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение vasilastr » 2008-09-25 17:02:15

А у меня с IPsec такая беда (С одной стороны FreeBSD с другой MS ISA 2004)
так вот канал поднимается работает работает а потом бах и падает, потом через какоето время опять поднимается Setkey -D выдает

Код: Выделить всё

  81.211.68.218 195.151.216.53
        esp mode=tunnel spi=163073032(0x09b84c08) reqid=0(0x00000000)
        E: 3des-cbc  47bca797 059cded6 151acd10 23b48565 99edb5d8 8f5eefa1
        A: hmac-sha1  99ca8349 9203bb88 718edd46 4f4bf0ba 88394251
        seq=0x0000004b replay=4 flags=0x00000000 state=mature
        created: Sep 25 11:47:49 2008   current: Sep 25 17:58:26 2008
        diff: 22237(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 11:53:48 2008      hard: 0(s)      soft: 0(s)
        current: 11404(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 75   hard: 0 soft: 0
        sadb_seq=21 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=177938260(0x0a9b1f54) reqid=0(0x00000000)
        E: 3des-cbc  de3069a4 dd940878 2cf50227 db2165e8 dae71883 3ae28fb8
        A: hmac-sha1  8e8d8a81 21f5ef0a 8eecec82 01d8112b 42c486de
        seq=0x0000004a replay=4 flags=0x00000000 state=mature
        created: Sep 25 11:42:17 2008   current: Sep 25 17:58:26 2008
        diff: 22569(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 11:47:49 2008      hard: 0(s)      soft: 0(s)
        current: 11194(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 74   hard: 0 soft: 0
        sadb_seq=20 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=190006125(0x0b53436d) reqid=0(0x00000000)
        E: 3des-cbc  b5a30bbc 2a2163f8 b74cdd38 08795054 5743c6d5 092a0caa
        A: hmac-sha1  b4d7d598 57ce9016 f8efbeaa e9bae148 aab674dd
        seq=0x0000007b replay=4 flags=0x00000000 state=mature
        created: Sep 25 11:35:53 2008   current: Sep 25 17:58:26 2008
        diff: 22953(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 11:41:34 2008      hard: 0(s)      soft: 0(s)
        current: 16883(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 123  hard: 0 soft: 0
        sadb_seq=19 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=67158674(0x0400c292) reqid=0(0x00000000)
        E: 3des-cbc  54a371a3 2095711f 177ec669 c7f97ef7 06fc5925 a9ae3f5d
        A: hmac-sha1  78e73435 5f5069fa b5521a46 a66d90a5 3e099c61
        seq=0x0000007a replay=4 flags=0x00000000 state=mature
        created: Sep 25 11:29:54 2008   current: Sep 25 17:58:26 2008
        diff: 23312(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 11:35:33 2008      hard: 0(s)      soft: 0(s)
        current: 16524(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 122  hard: 0 soft: 0
        sadb_seq=18 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=254128015(0x0f25af8f) reqid=0(0x00000000)
        E: 3des-cbc  be48ddfb 96800eca 24361d54 114f41b2 4de9bbfc ceea9f26
        A: hmac-sha1  0453c254 f7de7739 52ea6eb2 dea56e90 42a091e5
        seq=0x00000095 replay=4 flags=0x00000000 state=mature
        created: Sep 25 11:23:50 2008   current: Sep 25 17:58:26 2008
        diff: 23676(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 11:29:43 2008      hard: 0(s)      soft: 0(s)
        current: 20418(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 149  hard: 0 soft: 0
        sadb_seq=17 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=4350662(0x004262c6) reqid=0(0x00000000)
        E: 3des-cbc  ee3eee6f 34e98483 e87407e4 61e30ce4 99aca470 bd348679
        A: hmac-sha1  e28c990f 2d8632a9 0a047d2f 95374b04 1c5d0c9a
        seq=0x0000005c replay=4 flags=0x00000000 state=mature
        created: Sep 25 11:06:00 2008   current: Sep 25 17:58:26 2008
        diff: 24746(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 11:11:21 2008      hard: 0(s)      soft: 0(s)
        current: 15073(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 92   hard: 0 soft: 0
        sadb_seq=16 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=90754424(0x0568cd78) reqid=0(0x00000000)
        E: 3des-cbc  99522616 1376a7e0 956377a8 750bee11 7b5a6840 e31ecf84
        A: hmac-sha1  cb03eba5 9e3dd19a 9cde514b aa1273f2 87e24d10
        seq=0x00000047 replay=4 flags=0x00000000 state=mature
        created: Sep 25 11:00:17 2008   current: Sep 25 17:58:26 2008
        diff: 25089(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 11:05:37 2008      hard: 0(s)      soft: 0(s)
        current: 12614(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 71   hard: 0 soft: 0
        sadb_seq=15 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=48919850(0x02ea752a) reqid=0(0x00000000)
        E: 3des-cbc  d21040d8 a5da176b c5226cbc ebae1d9a 4acb9c48 8d2f1f6f
        A: hmac-sha1  ffaaa6c5 d6b4f3f7 db807e8c 51fd4c11 03c13cee
        seq=0x00000047 replay=4 flags=0x00000000 state=mature
        created: Sep 25 10:47:54 2008   current: Sep 25 17:58:26 2008
        diff: 25832(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 10:53:33 2008      hard: 0(s)      soft: 0(s)
        current: 10467(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 71   hard: 0 soft: 0
        sadb_seq=14 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=200269746(0x0befdfb2) reqid=0(0x00000000)
        E: 3des-cbc  2d95ee71 94231221 a19c190a 1a6de641 70745a0b 9efc2aec
        A: hmac-sha1  4a024a67 f11afa63 8072bf16 f7fe61ab a2acfaf5
        seq=0x00000079 replay=4 flags=0x00000000 state=mature
        created: Sep 25 10:27:50 2008   current: Sep 25 17:58:26 2008
        diff: 27036(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 10:33:43 2008      hard: 0(s)      soft: 0(s)
        current: 17927(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 121  hard: 0 soft: 0
        sadb_seq=13 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=39578872(0x025becf8) reqid=0(0x00000000)
        E: 3des-cbc  d208a8f9 47d37e29 ee991f91 48148680 965ac399 32c42ae6
        A: hmac-sha1  3b55d4ce 56fafdcf b8d994d1 4afb1d8f 011ae467
        seq=0x0000010f replay=4 flags=0x00000000 state=mature
        created: Sep 25 10:14:26 2008   current: Sep 25 17:58:26 2008
        diff: 27840(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 10:21:31 2008      hard: 0(s)      soft: 0(s)
        current: 77021(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 271  hard: 0 soft: 0
        sadb_seq=12 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=99646374(0x05f07ba6) reqid=0(0x00000000)
        E: 3des-cbc  91ee7e12 90424313 486d85b3 fe7b074d 26b504af d3ff32aa
        A: hmac-sha1  1d48f8ac 7b508b6c c17a3881 8ea20a8e ed1631a0
        seq=0x000001f8 replay=4 flags=0x00000000 state=mature
        created: Sep 25 10:02:02 2008   current: Sep 25 17:58:26 2008
        diff: 28584(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 10:06:50 2008      hard: 0(s)      soft: 0(s)
        current: 294554(bytes)  hard: 0(bytes)  soft: 0(bytes)
        allocated: 504  hard: 0 soft: 0
        sadb_seq=11 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=131225839(0x07d258ef) reqid=0(0x00000000)
        E: 3des-cbc  62c0d0f4 3ca5efb0 f90cf91b 00f3fc98 1b997021 8613c7d3
        A: hmac-sha1  19575efd bcd118f0 574afc1d baf2a541 b18f879b
        seq=0x0000031a replay=4 flags=0x00000000 state=mature
        created: Sep 25 09:54:41 2008   current: Sep 25 17:58:26 2008
        diff: 29025(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 10:01:21 2008      hard: 0(s)      soft: 0(s)
        current: 364258(bytes)  hard: 0(bytes)  soft: 0(bytes)
        allocated: 794  hard: 0 soft: 0
        sadb_seq=10 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=263713770(0x0fb7f3ea) reqid=0(0x00000000)
        E: 3des-cbc  a259adae d101f396 243ef420 18b1ece3 7502d8b2 c3494c22
        A: hmac-sha1  2c9b2b3c a0e057cf d1a27994 8761d0f0 5f7c674f
        seq=0x00000018 replay=4 flags=0x00000000 state=mature
        created: Sep 25 09:48:05 2008   current: Sep 25 17:58:26 2008
        diff: 29421(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 09:53:00 2008      hard: 0(s)      soft: 0(s)
        current: 3658(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 24   hard: 0 soft: 0
        sadb_seq=9 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=228101574(0x0d988dc6) reqid=0(0x00000000)
        E: 3des-cbc  375d9821 b3773d92 47f97fca 977d163d 67927f88 f48520b3
        A: hmac-sha1  e418c8a6 7a82fdd0 6d6a6cc4 c8b94480 53b3b86e
        seq=0x0000002e replay=4 flags=0x00000000 state=mature
        created: Sep 25 09:41:53 2008   current: Sep 25 17:58:26 2008
        diff: 29793(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 09:47:47 2008      hard: 0(s)      soft: 0(s)
        current: 4100(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 46   hard: 0 soft: 0
        sadb_seq=8 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=223975195(0x0d59971b) reqid=0(0x00000000)
        E: 3des-cbc  2a6a236e 15c0b066 a0a9002c f4f6605c 3714ae80 1a83780b
        A: hmac-sha1  83b4ccda c9023ff9 8b642d53 15fe5292 42605cb9
        seq=0x00000060 replay=4 flags=0x00000000 state=mature
        created: Sep 25 09:35:00 2008   current: Sep 25 17:58:26 2008
        diff: 30206(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 09:41:42 2008      hard: 0(s)      soft: 0(s)
        current: 13450(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 96   hard: 0 soft: 0
        sadb_seq=7 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=118771139(0x07144dc3) reqid=0(0x00000000)
        E: 3des-cbc  5831c3ef c73705f5 40b04d1c 42b76c2b 1c4a6fad 40feebdf
        A: hmac-sha1  450f4e3c 2eb428c2 e09cdf36 7e4b26b1 cd0effca
        seq=0x00000005 replay=4 flags=0x00000000 state=mature
        created: Sep 25 09:28:08 2008   current: Sep 25 17:58:26 2008
        diff: 30618(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 09:32:02 2008      hard: 0(s)      soft: 0(s)
        current: 1098(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 5    hard: 0 soft: 0
        sadb_seq=6 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=117085007(0x06fa934f) reqid=0(0x00000000)
        E: 3des-cbc  e1147069 f5a5c69f 181a7170 ab5c3762 9c9cca63 05c600c4
        A: hmac-sha1  541253a7 40a1bf21 98adb3a2 82f28d0d c4dbe8d9
        seq=0x000000a7 replay=4 flags=0x00000000 state=mature
        created: Sep 25 09:22:00 2008   current: Sep 25 17:58:26 2008
        diff: 30986(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 09:26:45 2008      hard: 0(s)      soft: 0(s)
        current: 63858(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 167  hard: 0 soft: 0
        sadb_seq=5 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=146621027(0x08bd4263) reqid=0(0x00000000)
        E: 3des-cbc  8883ca60 001caf5d b726f2e6 fd466669 fd720564 127e0fc1
        A: hmac-sha1  87b965f4 3acf766a 00887969 b87fe729 a33b92c8
        seq=0x00000073 replay=4 flags=0x00000000 state=mature
        created: Sep 25 09:14:38 2008   current: Sep 25 17:58:26 2008
        diff: 31428(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 09:21:47 2008      hard: 0(s)      soft: 0(s)
        current: 15863(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 115  hard: 0 soft: 0
        sadb_seq=4 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=86951473(0x052ec631) reqid=0(0x00000000)
        E: 3des-cbc  30d82411 0bd9a45e 6e2af3b2 2c05f7b4 c2adaa84 f0a844e0
        A: hmac-sha1  13bf8259 6fd2fc77 34f3e869 298bb976 314ca5e6
        seq=0x0000005e replay=4 flags=0x00000000 state=mature
        created: Sep 25 09:07:49 2008   current: Sep 25 17:58:26 2008
        diff: 31837(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 09:13:03 2008      hard: 0(s)      soft: 0(s)
        current: 14700(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 94   hard: 0 soft: 0
        sadb_seq=3 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=144819615(0x08a1c59f) reqid=0(0x00000000)
        E: 3des-cbc  3844f424 bf700c30 5c0301f0 93963391 7559b1d4 5ee591e5
        A: hmac-sha1  53974bc2 97ab0e6e 0ed8d9e7 6dbf5c63 0aeba61b
        seq=0x000000c9 replay=4 flags=0x00000000 state=mature
        created: Sep 25 09:00:34 2008   current: Sep 25 17:58:26 2008
        diff: 32272(s)  hard: 43200(s)  soft: 34560(s)
        last: Sep 25 09:07:44 2008      hard: 0(s)      soft: 0(s)
        current: 27058(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 201  hard: 0 soft: 0
        sadb_seq=2 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=173251097(0x0a539a19) reqid=0(0x00000000)
        E: 3des-cbc  c7276983 d3026883 1fd48b43 1fa89459 c569b702 f994360e
        A: hmac-sha1  6dd5144d 98fd648a 0c5fd86e 3ffec607 0304e115
        seq=0x00000031 replay=4 flags=0x00000000 state=dying
        created: Sep 25 17:09:49 2008   current: Sep 25 17:58:26 2008
        diff: 2917(s)   hard: 3600(s)   soft: 2880(s)
        last: Sep 25 17:15:49 2008      hard: 0(s)      soft: 0(s)
        current: 2920(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 49   hard: 0 soft: 0
        sadb_seq=1 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
        esp mode=tunnel spi=65397771(0x03e5e40b) reqid=0(0x00000000)
        E: 3des-cbc  dd189243 dda8c254 a0328eaa 42a811db ed421197 cd113797
        A: hmac-sha1  ed799df1 937da499 9a0fdb97 a7b5b4de c8260d09
        seq=0x00000034 replay=4 flags=0x00000000 state=dying
        created: Sep 25 17:03:49 2008   current: Sep 25 17:58:26 2008
        diff: 3277(s)   hard: 3600(s)   soft: 2880(s)
        last: Sep 25 17:09:49 2008      hard: 0(s)      soft: 0(s)
        current: 3128(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 52   hard: 0 soft: 0
        sadb_seq=0 pid=43628 refcnt=1
Последний раз редактировалось Alex Keda 2008-09-26 9:41:43, всего редактировалось 1 раз.
Причина: Товарищщи, юзайте кнопочку [code], цените чужое время...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение vasilastr » 2008-09-25 17:03:47

195.151.216.53
в самом начале один раз

Hatifnatt
рядовой
Сообщения: 21
Зарегистрирован: 2008-05-13 16:05:51

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение Hatifnatt » 2008-10-23 12:35:43

Есть следующая проблема, если смотреть

Код: Выделить всё

tcpdump -i gif0
13:20:18.659528 IP 10.17.17.5 > 10.17.17.6: IP 192.168.1.250 > 192.168.0.254: ICMP echo request, id 38172, seq 7, length 64 (ipip-proto-4)
13:20:18.659576 IP 192.168.0.254 > 192.168.1.250: ICMP echo reply, id 38172, seq 7, length 64
13:20:19.330459 IP 10.17.17.5.51006 > 10.17.17.6.ssh: . ack 8065 win 65535
13:20:19.660530 IP 10.17.17.5 > 10.17.17.6: IP 192.168.1.250 > 192.168.0.254: ICMP echo request, id 38172, seq 8, length 64 (ipip-proto-4)
13:20:19.660580 IP 192.168.0.254 > 192.168.1.250: ICMP echo reply, id 38172, seq 8, length 64
то видно не зашифрованные пакеты идут во всю, хотя туннель есть, его видно

Код: Выделить всё

setkey -D
10.17.17.5 10.17.17.6
        esp mode=tunnel spi=61505722(0x03aa80ba) reqid=0(0x00000000)
        E: 3des-cbc  cfdee020 f4e2e4e6 2751b30e 381fdd7d 958b089d 3e0c4de9
        A: hmac-sha1  a3e2e075 8d0de1a7 c96773e5 2c455d6e 8e6d499b
        seq=0x0000038b replay=4 flags=0x00000000 state=mature
        created: Oct 23 10:34:35 2008   current: Oct 23 13:30:19 2008
        diff: 10544(s)  hard: 43200(s)  soft: 43200(s)
        last: Oct 23 13:20:22 2008      hard: 0(s)      soft: 0(s)
        current: 705904(bytes)  hard: 0(bytes)  soft: 0(bytes)
        allocated: 907  hard: 0 soft: 0
        sadb_seq=1 pid=7340 refcnt=2
10.17.17.6 10.17.17.5
        esp mode=tunnel spi=231178427(0x0dc780bb) reqid=0(0x00000000)
        E: 3des-cbc  bb312bd3 0f5cf6e9 468f2c4c c5db26db 1601c576 00a96f55
        A: hmac-sha1  a2d31339 b939e171 f153aadc 6b7dc3a8 a050bd1d
        seq=0x0000026f replay=4 flags=0x00000000 state=mature
        created: Oct 23 10:34:35 2008   current: Oct 23 13:30:19 2008
        diff: 10544(s)  hard: 43200(s)  soft: 43200(s)
        last: Oct 23 13:20:22 2008      hard: 0(s)      soft: 0(s)
        current: 87399(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 623  hard: 0 soft: 0
        sadb_seq=0 pid=7340 refcnt=1
где может быть косяк?

сеть основная

Код: Выделить всё

192.168.1.0/24
внутренний адрес машины 192.168.1.250
внешний для туннеля 10.17.17.5
вторая сеть

Код: Выделить всё

192.168.0.0./24
внутренний адрес машины 192.168.1.254
внешний для туннеля 10.17.17.6
ipsec.conf

Код: Выделить всё

# flush all
flush;
spdflush;

spdadd 10.17.17.5/32 10.17.17.6/32 any -P out ipsec esp/tunnel/10.17.17.5-10.17.17.6/require;
spdadd 10.17.17.6/32 10.17.17.5/32 any -P in ipsec esp/tunnel/10.17.17.6-10.17.17.5/require;
Если необходимо то могу racoon.conf выложить, но т.к. туннель устанавливается то по моему дело не в нем, хотя я могу ошибаться.

Hatifnatt
рядовой
Сообщения: 21
Зарегистрирован: 2008-05-13 16:05:51

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение Hatifnatt » 2008-10-23 14:10:33

Сам спросил сам ответил, слушать надо было физический интерфейс, там все отлично шифровалось.

Dimston
проходил мимо
Сообщения: 1
Зарегистрирован: 2008-11-18 20:26:51

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение Dimston » 2008-11-18 21:35:58

Здравствуйте.

Огромное спасибо уважаемому автору за статью (http://www.lissyara.su/?id=1328)
Все отлично работает на FreeBSD7 amd64
Так случилось, что канал провайдера, редко, но падает, посему был создан резервный Wi-Fi линк (благо недалеко)
В каждую из двух машин (srv1, srv2) воткнуты 3с905, а другим концом в точку доступа в режиме "мост"
То есть добавилась сеть 192.168.0.0/29

Код: Выделить всё

srv1:
  re0  10.12.32.52 - провайдер
  sk0  192.168.1.254 - внутр.сеть
  xl0  192.168.0.1 - к Wi-Fi
  gif0 10.12.32.52 --> 10.12.32.53
       192.168.1.254 --> 192.168.2.1

srv2: 
  re0  10.12.32.53 - провайдер
  sk0  192.168.2.1 - внутр.сеть
  xl0  192.168.0.2 - к Wi-Fi
  gif0 10.12.32.53 --> 10.12.32.52
       192.168.2.1 --> 192.168.1.254
Думал сделаю вот такие gif1

Код: Выделить всё

gif1 192.168.0.1 --> 192.168.0.2
     10.12.32.52 --> 10.12.32.53
и буду включать их когда нужно, но нифига...
на всякий случай делаю ipfw add 50 allow ip from any to any
поднимаю gif1, пингую c srv2 внешний srv1

Код: Выделить всё

srv2[/]#ipfw add 50 allow ip from any to any
srv2[/]#ping 10.12.32.52
PING 10.12.32.52 (10.12.32.52): 56 data bytes
64 bytes from 10.12.32.52: icmp_seq=0 ttl=64 time=8.628 ms
64 bytes from 10.12.32.52: icmp_seq=1 ttl=64 time=5.482 ms
64 bytes from 10.12.32.52: icmp_seq=2 ttl=64 time=3.366 ms
ага, пингуется...
а вот в gif0 тишина...
внутр.сеть не пингуется...

Каким образом можно один gif в другой "завернуть" ?
или же есть другие методы ?

Спасибо.

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение paradox » 2008-11-18 21:41:43

это ж вам не матрешки
запихивать гивы в гифы

res69
проходил мимо
Сообщения: 3
Зарегистрирован: 2008-11-24 14:08:54

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение res69 » 2008-11-24 14:12:33

Всем привет!
А что надо прописать в ipsec.conf чтобы в один туннель запихнуть несколько сетей с разными масками?

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение vasilastr » 2008-11-25 9:26:13

маску в которую бы они уместились

res69
проходил мимо
Сообщения: 3
Зарегистрирован: 2008-11-24 14:08:54

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение res69 » 2008-11-25 9:33:58

Маска в моем случае получилась бы 0.0.0.0, а это не есть правильно.

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение vasilastr » 2008-11-25 10:24:35

Сколько же у тебя сетей :smile:

res69
проходил мимо
Сообщения: 3
Зарегистрирован: 2008-11-24 14:08:54

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение res69 » 2008-11-25 10:32:15

сетей то не много, просто настраивал туннель для сети с реальными адресами, а щаз надо в этот же туннель направить пару приватных сетей.

Если кому интересно: несколько сетей, с несовпадающими масками не получилось направить в один туннель. Пришлось завести на интерфейсе вторичный адрес и организовать еще один туннель.

Так же, думаю, возможен такой вариант: на туннельном интерфейсе поднимается НАТ, туннель настраивается на IP адрес НАТа, все что надо загнать в туннель отправляется на НАТ. Планирую этот вариант тоже попробовать, позже.

pimlab
прапорщик
Сообщения: 477
Зарегистрирован: 2007-10-09 11:31:03

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение pimlab » 2008-12-12 13:28:34

Помогите разобраться, если процессу racoon послать KILLALL -1 racoon ,то racoon после этого стартует на всех интерфейсах,а не только на том где прописано.
Так и должно быть или нет, а то после ротации всевремя так? НЕ сильно напрягает конечно , но всетаки.....
OS Freebsd 7.0 p5

Аватара пользователя
zingel
beastie
Сообщения: 6204
Зарегистрирован: 2007-10-30 3:56:49
Откуда: Moscow
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение zingel » 2008-12-12 14:39:23

Код: Выделить всё

 1       HUP (hang up)
 2       INT (interrupt)
 3       QUIT (quit)
 6       ABRT (abort)
 9       KILL (non-catchable, non-ignorable kill)
 14      ALRM (alarm clock)
 15      TERM (software termination signal)
Z301171463546 - можно пожертвовать мне денег

pimlab
прапорщик
Сообщения: 477
Зарегистрирован: 2007-10-09 11:31:03

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение pimlab » 2008-12-12 15:44:50

zingel писал(а):

Код: Выделить всё

 1       HUP (hang up)
 2       INT (interrupt)
 3       QUIT (quit)
 6       ABRT (abort)
 9       KILL (non-catchable, non-ignorable kill)
 14      ALRM (alarm clock)
 15      TERM (software termination signal)
что-то я не совсем понимаю, что вы этим хотите сказать.
перевразируй вопрос :
Как у вас сделана ротация лога ?
У меня видимо тогда не верно. Racoon сам пишет лог , а newsyslog делает ротацию

Код: Выделить всё

# configuration file for newsyslog
# $FreeBSD: src/etc/newsyslog.conf,v 1.50 2005/03/02 00:40:55 brooks Exp $
#
#
# logfilename          [owner:group]    mode count size when  flags [/pid_file] [sig_num]
/var/log/all.log			600  7	   *	@T00  J
/var/log/amd.log			644  7	   100	*     J
/var/log/auth.log			600  7     100  *     JC
/var/log/console.log			600  5	   100	*     J
/var/log/cron				600  3	   100	*     JC
/var/log/daily.log			640  7	   *	@T00  JNC
/var/log/daily.security.log		640  7	   *	@T00  JNC
/var/log/debug.log			600  7     100  *     JC
/var/log/kerberos.log			600  7	   100	*     J
/var/log/lpd-errs			644  7	   100	*     JC
/var/log/maillog			640  7	   *	@T00  JC
/var/log/messages			644  5	   100	*     JC
/var/log/monthly.log			640  12	   *	$M1D0 JNC
/var/log/pflog				600  3	   500	*     JB    /var/run/pflogd.pid
/var/log/ppp.log	root:network	640  3	   100	*     JC
/var/log/security			600  10	   100	*     JC
/var/log/sendmail.st			640  10	   *	168   JB
/var/log/slip.log	root:network	640  3	   100	*     JC
/var/log/weekly.log			640  5	   1	$W6D0 JNC
/var/log/wtmp				644  3	   *	@01T05 B
/var/log/xferlog			600  7	   100	*     JC
/var/log/info.log                       600  2     300  *     JC
/var/log/racoon.log    root:            600  2     200  *     ZC  /var/run/racoon.pid

Аватара пользователя
dekloper
ст. лейтенант
Сообщения: 1330
Зарегистрирован: 2008-02-24 15:43:19
Откуда: давно здесь сидим..
Контактная информация:

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение dekloper » 2008-12-23 16:30:14

так понимаю, куррент "не предназначен" для айписека?
чет валится на последнем метре с ашипкой :(

Код: Выделить всё

===> zyd (all)
cc -O2 -fno-strict-aliasing -pipe  -D_KERNEL -DKLD_MODULE -std=c99 -nostdinc   -DHAVE_KERNEL_OPTION_HEADERS -include /usr/obj/usr/src/sys/KMD/opt_global.h -I. -I@ -I@/contrib/altq -finline-limit=8000 --param inline-unit-growth=100 --param large-function-growth=1000 -fno-common -g -fno-omit-frame-pointer -I/usr/obj/usr/src/sys/KMD -mcmodel=kernel -mno-red-zone  -mfpmath=387 -mno-sse -mno-sse2 -mno-mmx -mno-3dnow  -msoft-float -fno-asynchronous-unwind-tables -ffreestanding -Wall -Wredundant-decls -Wnested-externs -Wstrict-prototypes  -Wmissing-prototypes -Wpointer-arith -Winline -Wcast-qual  -Wundef -Wno-pointer-sign -fformat-extensions -c /usr/src/sys/modules/zyd/../../dev/usb/if_zyd.c
ld  -d -warn-common -r -d -o if_zyd.ko.debug if_zyd.o
:> export_syms
awk -f /usr/src/sys/modules/zyd/../../conf/kmod_syms.awk if_zyd.ko.debug  export_syms | xargs -J% objcopy % if_zyd.ko.debug
objcopy --only-keep-debug if_zyd.ko.debug if_zyd.ko.symbols
objcopy --strip-debug --add-gnu-debuglink=if_zyd.ko.symbols if_zyd.ko.debug if_zyd.ko
1 error
*** Error code 2
1 error
*** Error code 2
1 error 
где могла сабака порыться..?
ТОВАгИЩИ! БгАТЬЯ И СЕСТгЫ! ДОЛОЙ гАВНОДУШИЕ!

Sadok123
сержант
Сообщения: 174
Зарегистрирован: 2008-09-04 10:59:32

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение Sadok123 » 2008-12-24 10:32:38

Добавь архитектуру машины, на к-й ядро компилишь:
например,

Код: Выделить всё

machine i386
В 7.0 эта опция не включена в конфиг ядра GENERIC, вручную добавлять надо

Basil
проходил мимо

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение Basil » 2008-12-24 11:25:34

Добрый день. Не буду рассказывать полностью всю свою эпопею по борьбе с IPSEC, потому сразу к делу... Команда "setkey -D" выводит "No SAD entries".


В /etc/rc.conf я добавил следующее (IP я изменил и любые совпадения - всего лишь случайность):

Код: Выделить всё

gif_interfaces="gif0"
gifconfig_gif0="23.33.202.238 78.107.20.42"
ifconfig_gif0="192.168.0.254 netmask 255.255.255.0 192.168.1.254 netmask 255.255.255.0"
static_routes="vpn"
route_vpn="102.168.1.0/24 192.168.1.254"
export route_vpn
ipsec_enable="YES"
ipsec_files="/etc/ipsec.conf"
racoon_enable="YES"
Эти переменные, насколько я понимаю, говорят, что ядро с поддержкой
IPSEC пересобрано успешно:

Код: Выделить всё

# sysctl -a | grep ipsec
<118>Installing ipsec manual keys/policies.
<118>Installing ipsec manual keys/policies.
net.inet.ipsec.def_policy: 1
net.inet.ipsec.esp_trans_deflev: 1
net.inet.ipsec.esp_net_deflev: 1
net.inet.ipsec.ah_trans_deflev: 1
net.inet.ipsec.ah_net_deflev: 1
net.inet.ipsec.ah_cleartos: 1
net.inet.ipsec.ah_offsetmask: 0
net.inet.ipsec.dfbit: 0
net.inet.ipsec.ecn: 0
net.inet.ipsec.debug: 0
net.inet.ipsec.esp_randpad: -1
net.inet.ipsec.crypto_support: 50331648
net.inet6.ipsec6.def_policy: 1
net.inet6.ipsec6.esp_trans_deflev: 1
net.inet6.ipsec6.esp_net_deflev: 1
net.inet6.ipsec6.ah_trans_deflev: 1
net.inet6.ipsec6.ah_net_deflev: 1
net.inet6.ipsec6.ecn: 0
net.inet6.ipsec6.debug: 0
net.inet6.ipsec6.esp_randpad: -1
И заранее еще пара логов, чтобы не тянуть время:

Код: Выделить всё

# cat /etc/ipsec.conf
flush;
spdflush;
spdadd 192.168.0.0/24 192.168.1.0/24 any -P out ipsec
esp/tunnel/23.33.202.238-78.107.20.42/require;
spdadd 192.168.1.0/24 192.168.0.0/24 any -P in ipsec
esp/tunnel/78.107.20.42-23.33.202.238/require;

Код: Выделить всё

# cat /usr/local/etc/racoon/racoon.conf
# $KAME: racoon.conf.in,v 1.18 2001/08/16 06:33:40 itojun Exp $

# "path" affects "include" directives.  "path" must be specified before any
# "include" directive with relative file path.
# you can overwrite "path" directive afterwards, however, doing so may add
# more confusion.
path include "/usr/local/etc/racoon";
#include "remote.conf";

# the file should contain key ID/key pairs, for pre-shared key authentication.
#path pre_shared_key "/usr/local/etc/racoon/psk.txt";

# racoon will look for certificate file in the directory,
# if the certificate/certificate request payload is received.
path certificate "/usr/local/etc/racoon/cert";

# "log" specifies logging level.  It is followed by either "notify", "debug"
# or "debug2".
log debug2;

# "padding" defines some padding parameters.  You should not touch these.
padding
{
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
}

# if no listen directive is specified, racoon will listen on all
# available interface addresses.
listen
{
        #isakmp ::1 [7000];
        isakmp 23.33.202.238 [500];
        #isakmp_natt     172.16.5.4 [4500];
        #admin [7002];          # administrative port for racoonctl.
        #strict_address;        # requires that all addresses must be bound.
}

# Specify various default timers.
timer
{
        # These value can be changed per remote node.
        counter 5;              # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
        persend 1;              # the number of packets per send.

        # maximum time to wait for completing each phase.
        phase1 30 sec;
        phase2 15 sec;
}

remote 78.107.20.42 [500]
{
        #exchange_mode main,aggressive;
        exchange_mode aggressive,main;
        #doi ipsec_doi;
        #situation identity_only;

        #my_identifier user_fqdn "sakane@kame.net";
        #peers_identifier user_fqdn "sakane@kame.net";
        my_identifier address 23.33.202.238;
        peers_identifier address 78.107.20.42;
        certificate_type x509 "23.33.202.238.public" "23.33.202.238.private";
        peers_certfile x509 "78.107.20.42.public";
        #nonce_size 16;
        #ilifetime time 1 min;  # sec,min,hour

        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method rsasig;
                dh_group 5;
        }
}

sainfo anonymous
{
        pfs_group 5;
        lifetime time 60 min;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

Sadok123
сержант
Сообщения: 174
Зарегистрирован: 2008-09-04 10:59:32

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение Sadok123 » 2008-12-24 13:21:01

Базиль, покажите вывод ifconfig. И почему rc.conf не сделать по образу и подобию, описанного в статье? Есть подозрение, что просто gif-интерфейс не создается.

Basil
проходил мимо

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение Basil » 2008-12-24 13:28:46

По-моему создается

Код: Выделить всё

# ifconfig -a
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:0e:74:b7:0e:bc
        inet 23.33.202.238 netmask 0xfffffffc broadcast 23.33.202.239
        media: Ethernet autoselect (10baseT/UTP <full-duplex>)
        status: active
stge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
        options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
        ether 00:1a:72:2d:bc:a2
        inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
        media: Ethernet autoselect (1000baseTX <full-duplex,flag2>)
        status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
        inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
        inet6 ::1 prefixlen 128
        inet 127.0.0.1 netmask 0xff000000
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280
        tunnel inet 23.33.202.238 --> 78.107.20.42
        inet 192.168.0.254 --> 192.168.1.254 netmask 0xffffff00

Sadok123
сержант
Сообщения: 174
Зарегистрирован: 2008-09-04 10:59:32

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение Sadok123 » 2008-12-24 13:45:06

А вот в /usr/local/etc/racoon/racoon.conf не зря ли удалена секция remote anonymous

Basil
проходил мимо
Сообщения: 5
Зарегистрирован: 2008-12-24 13:29:58

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение Basil » 2008-12-24 13:59:03

Я этой секции не нашел в оригинальной статье... а разве ракун влияет на создание правил в setkey?
Да и в руководстве я не нашел этой секции

Sadok123
сержант
Сообщения: 174
Зарегистрирован: 2008-09-04 10:59:32

Re: Настройка шифрованного туннеля с использованием IPSEC

Непрочитанное сообщение Sadok123 » 2008-12-24 15:30:56

Не знаю :) А что он пишет в лог? (Я смотрю log debug2; включен - он мне помогал сильно, помнится)