racoon2

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

racoon2

Непрочитанное сообщение Alex Keda » 2007-05-30 23:11:26

прислали, вот, мож кому пригодится - бо статью переписывать щас некогда, кладу тут, чтоб не пропало.
Мож кто за статью возьмётся? :)

Код: Выделить всё

Построение IPSec на Racoon2 FreeBSD 6.2
Опции ядра все что нашел для gif, ipsec, vpnd.
options         IPSEC
options         IPSEC_ESP
options         IPSEC_DEBUG
options         NETGRAPH
options         NETGRAPH_ASYNC
options         NETGRAPH_BPF
options         NETGRAPH_CISCO
options         NETGRAPH_ECHO
options         NETGRAPH_ETHER
options         NETGRAPH_FRAME_RELAY
options         NETGRAPH_HOLE
options         NETGRAPH_IFACE
options         NETGRAPH_KSOCKET
options         NETGRAPH_L2TP
options         NETGRAPH_LMI
options         NETGRAPH_MPPC_ENCRYPTION
options         NETGRAPH_ONE2MANY
options         NETGRAPH_PPP
options         NETGRAPH_PPPOE
options         NETGRAPH_PPTPGRE
options         NETGRAPH_RFC1490
options         NETGRAPH_SOCKET
options         NETGRAPH_TEE
options         NETGRAPH_TTY
options         NETGRAPH_UI
options         NETGRAPH_VJC

Предустановленный пакет openssl-stable-0.9.7m

Установка racoon2 без опции  kinkd

Создаем каталоги 	/usr/local/etc/racoon/psk
			/usr/local/etc/racoon/cert
Создаем файл preshared key: /usr/local/etc/racoon/psk/AB.psk
Устанавливаем атрибуты 
chmod 600 /usr/local/etc/racoon/psk/AB.psk
Содержимое файла (в конце нет перевода строки):
qwerty

Файл конфигурации racoon2.conf для компа 10.2.0.222 который шифрует
транспорт с 10.2.0.119
Для 10.2.0.119 меняются местами адреса.

# $Id: racoon2.conf.in,v 1.22 2006/12/22 07:37:59 mk Exp $

setval {
        PSKDIR  "/usr/local/etc/racoon/psk";
        CERTDIR "/usr/local/etc/racoon/cert";
};

# interface info
interface
{
        ike {
                MY_IP;
        };
        spmd {
                unix "/var/run/racoon/spmif";
        };
        spmd_password "/usr/local/etc/spmd.pwd";
};

# resolver info
resolver
{
        resolver off;

#       resolver on;
#       nameserver {
#               WWW.XXX.YYY.ZZZ port 53;
#       };
#       dns_query {
#               127.0.0.1 port 53;
#               ::1 port 53;
#       };
};

#
# default section
#
default
{
        remote {
                ikev1 {
                        logmode normal;
                        kmp_sa_lifetime_time 600 sec;
                        kmp_sa_lifetime_byte infinite;
                        interval_to_send 10 sec;
                        times_per_send 1;
                        ipsec_sa_nego_time_limit 40 sec;
                        kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; };
                        kmp_prf_alg { hmac_sha1; hmac_md5; };
                        kmp_hash_alg { sha1; md5; };
                        kmp_dh_group { modp3072; modp2048; modp1536;
modp1024;
                        kmp_auth_method { dss; };
                        random_pad_content on;
                        max_padlen 50 bytes;
                };
                ikev2 {
                        logmode normal;
                        kmp_sa_lifetime_time infinite;
                        kmp_sa_lifetime_byte infinite;
                        max_retry_to_send 3;
                        interval_to_send 10 sec;
                        times_per_send 1;
                        kmp_sa_nego_time_limit 60 sec;
                        ipsec_sa_nego_time_limit 40 sec;
                        kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; };
                        kmp_prf_alg { hmac_md5; hmac_sha1; aes_xcbc; };
                        kmp_hash_alg { hmac_sha1; hmac_md5; };
                        kmp_dh_group { modp1024; modp1536; modp2048;
modp3072;
                        kmp_auth_method { dss; };
                        random_pad_content on;
                        random_padlen on;
                        max_padlen 50 bytes;
                };
        };

        policy {
                ipsec_mode transport;
                ipsec_level require;
        };

        ipsec {
                ipsec_sa_lifetime_time infinite;
                ipsec_sa_lifetime_byte infinite;
        };

        sa {
                esp_enc_alg { aes128_cbc; 3des_cbc; };
                esp_auth_alg { hmac_sha1; hmac_md5; };
        };
};
remote 10.2.0.119 {
        acceptable_kmp { ikev2; ikev1; kink; };
        ikev2 {
                my_id ipaddr 10.2.0.222;
                peers_id ipaddr 10.2.0.119;
                peers_ipaddr 10.2.0.119 port 500;
                kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; };
                kmp_prf_alg { hmac_md5; hmac_sha1; aes_xcbc; };
                kmp_hash_alg { hmac_sha1; };
                kmp_dh_group { modp2048; };
                kmp_auth_method { psk; };
                pre_shared_key "${PSKDIR}/AB.psk";
        };
        ikev1 {
                my_id ipaddr 10.2.0.222;
                peers_id ipaddr 10.2.0.119;
                peers_ipaddr 10.2.0.119 port 500;
                kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; };
                kmp_hash_alg { sha1; };
                kmp_dh_group { modp2048; };
                kmp_auth_method { psk; };
                pre_shared_key "${PSKDIR}/AB.psk";
        };
        selector_index 32;
};
selector 31 {
        direction outbound;
        src 10.2.0.222;
        dst 10.2.0.119;
        upper_layer_protocol "any";
        policy_index 10.2.0.119;
};
selector 32 {
        direction inbound;
        dst 10.2.0.222;
        src 10.2.0.119;
        upper_layer_protocol "any";
        policy_index 10.2.0.119;
};
policy 10.2.0.119 {
        action auto_ipsec;
        remote_index 10.2.0.119;
        ipsec_mode transport;
        ipsec_index { ipsec_esp; };
        ipsec_level require;
        peers_sa_ipaddr 10.2.0.119;
        my_sa_ipaddr 10.2.0.222;
};

ipsec ipsec_ah_esp {
        ipsec_sa_lifetime_time 28800 sec;
        sa_index { ah_01; esp_01; };
};
ipsec ipsec_esp {
        ipsec_sa_lifetime_time 28800 sec;
        sa_index esp_01;
};

sa ah_01 {
        sa_protocol ah;
        ah_auth_alg { hmac_sha1; hmac_md5; };
};
sa esp_01 {
        sa_protocol esp;
        esp_enc_alg { aes128_cbc; 3des_cbc; };
        esp_auth_alg { hmac_sha1; hmac_md5; };
};


Изменения для автозапуска в /etc/rc.conf
## Включем racoon
spmd_enable="YES"
iked_enable="YES"

Команды проверки установки политики setkey -DP
Применения политики setkey -D

Это вроде все. С уважением, Леонид.
Убей их всех! Бог потом рассортирует...

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: racoon2

Непрочитанное сообщение Alex Keda » 2008-11-10 21:06:28

судя по отсутствию камментов - никому не нужно...
Хотя вторым раконом масса народу интееровалась....
Убей их всех! Бог потом рассортирует...

paradox
проходил мимо
Сообщения: 11620
Зарегистрирован: 2008-02-21 18:15:41

Re: racoon2

Непрочитанное сообщение paradox » 2008-11-10 21:08:59

потому что мало кто знает понимает
теперь всех тянет на mpd))

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35071
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: racoon2

Непрочитанное сообщение Alex Keda » 2008-11-10 21:25:08

я первый помню со скрипом раскурил...
А второй весь пеерколбасили....
Убей их всех! Бог потом рассортирует...

vasilastr
ст. сержант
Сообщения: 387
Зарегистрирован: 2008-09-04 15:12:00

Re: racoon2

Непрочитанное сообщение vasilastr » 2008-11-12 12:33:48

А в FREE 7 он не ipsec-tools :smile:

Mad_caterpillar
рядовой
Сообщения: 12
Зарегистрирован: 2008-12-10 17:41:58

Re: racoon2

Непрочитанное сообщение Mad_caterpillar » 2008-12-16 13:29:14

Доброго времени суток.
Не подскажете как настроить с racoon2 client-to-site vpn?
Для ipsec-tools масса информации, но, к сожалению, он вылетает при компиляции (ошибки типа sha.h:135: error: previous declaration of 'SHA256_CTX' was here).

Для второго нашел единственный пример:

Код: Выделить всё

# minimal config example to speak w/ road warriors

setval {
PSKDIR"/usr/local/racoon2/etc/psk";
};

interface
{
ike {
MY_IP;
};
spmd {
unix "/var/run/racoon/spmif";
};
spmd_password "/usr/local/racoon2/etc/spmd.pwd";
};

default
{
remote {
acceptable_kmp { ikev2; };
ikev2 {
kmp_sa_lifetime_time infinite;
kmp_sa_lifetime_byte infinite;
kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; };
kmp_prf_alg { hmac_md5; hmac_sha1; aes_xcbc; };
kmp_hash_alg { hmac_sha1; hmac_md5; };
kmp_dh_group { modp1024; modp1536; modp2048; modp3072; };
};
};
};

remote rw.foo.com {
acceptable_kmp { ikev2; };
ikev2 {
my_id fqdn "gw.bar.com";
peers_id fqdn "rw.foo.com";
peers_ipaddr IP_RW;
kmp_auth_method { psk; };
pre_shared_key "${PSKDIR}/rw.foo.com.psk";
};
};
selector 31 {
direction outbound;
src A.B.C.D;
dst W.X.Y.Z;
upper_layer_protocol "tcp";
policy_index rw.foo.com;
};
selector 32 {
direction inbound;
src W.X.Y.Z;
dst A.B.C.D;
upper_layer_protocol "tcp";
policy_index rw.foo.com;
};
policy rw.foo.com {
action auto_ipsec;
remote_index rw.foo.com;
ipsec_mode tunnel;
ipsec_index { ipsec_esp; };
ipsec_level require;
peers_sa_ipaddr IP_RW;
};

ipsec ipsec_esp {
ipsec_sa_lifetime_time 28800 sec;
sa_index sa_esp;
};

sa sa_esp {
sa_protocol esp;
esp_enc_alg { aes128_cbc; 3des_cbc; };
esp_auth_alg { hmac_sha1; hmac_md5; };
};
Из которого совершенно не понятно как и что. Например, чем заменить секцию mode_cfg из первого racoon?

Спасибо.

aleks
рядовой
Сообщения: 28
Зарегистрирован: 2008-12-11 12:59:50

Re: racoon2

Непрочитанное сообщение aleks » 2009-01-29 6:00:10

[quote="lissyara"]прислали, вот, мож кому пригодится - бо статью переписывать щас некогда, кладу тут, чтоб не пропало.
Мож кто за статью возьмётся? :)

Хорошая статья, все работает. Проверил на 7е бсд.
создался тунель между компами, IPsec протокол работает!

:good:

aleks
рядовой
Сообщения: 28
Зарегистрирован: 2008-12-11 12:59:50

Re: racoon2

Непрочитанное сообщение aleks » 2009-01-29 6:27:49

lissyara писал(а):прислали, вот, мож кому пригодится - бо статью переписывать щас некогда, кладу тут, чтоб не пропало.
Мож кто за статью возьмётся? :)
Вот только вопрос появился. Работает ли это все действительно так как надо...
потому что смотрю статистику esp и ipsec протокола.
ESP показывает

334 packets in
334 packets out
0 packets dropped; invalid TDB
26720 bytes in
21376 bytes out
0 packets dropped; larger than IP_MAXPACKET
0 packets blocked due to policy
0 crypto processing failures
0 tunnel sanity check failures
ESP output histogram:
rijndael-cbc: 668

А вот ipsec
0
0...
0 outbound packets violated process security policy
0 outbound packets with no SA available
0 invalid outbound packets
0 outbound packets failed due to insufficient memory
0 outbound packets with no route
0 SPD cache lookups
0 SPD cache misses
0 inbound packets violated process security policy
0 outbound packets violated process security policy
9 outbound packets with no SA available
0 outbound packets failed due to insufficient memory
0 outbound packets with no route available
0 invalid outbound packets
0 outbound packets with bundled SAs

Так и должно быть? это правильная работа?

anesth
проходил мимо

Re: racoon2

Непрочитанное сообщение anesth » 2011-12-24 13:18:05

Ещё актуально? Предметно что-то кого-то интересует? Типа racoon2-[ racoon2, strongswan, racoon, nokia vpn, dlink, ios, junos]?

Аватара пользователя
ComBin
рядовой
Сообщения: 10
Зарегистрирован: 2010-10-06 18:48:46

Re: racoon2

Непрочитанное сообщение ComBin » 2012-01-23 15:30:32

Пытаюсь поюзать конфиг из первого поста в итоге выплевывает вот такое:

Код: Выделить всё

2012-01-23 18:25:16: INFO: @(#)ipsec-tools 0.8.0 (http://ipsec-tools.sourceforge.net)
2012-01-23 18:25:16: INFO: @(#)This product linked OpenSSL 0.9.8n 24 Mar 2010 (http://www.openssl.org/)
2012-01-23 18:25:16: INFO: Reading configuration from "/usr/local/etc/racoon2/racoon2.conf"
2012-01-23 18:25:16: ERROR: /usr/local/etc/racoon2/racoon2.conf:3: "se" syntax error
2012-01-23 18:25:16: ERROR: fatal parse failure (1 errors)
Комментирую конструкцию setval полностью, начинает ругаться на начало оператора interface. Такое чувство что то-ли racoon не тот, то-ли кодировка файла не та. В общем непонятно как-то.

Al
ст. прапорщик
Сообщения: 501
Зарегистрирован: 2007-10-18 13:42:48
Откуда: Тверь
Контактная информация:

Re: racoon2

Непрочитанное сообщение Al » 2012-01-24 13:57:07

А в чем ппринципильные отличия второго от первого?
ЗЫ, Не стоит воспринимать ipsec как сокращение от ipsec/l2tp и прочих тунелей. Его возможности несколько шире.

Аватара пользователя
ComBin
рядовой
Сообщения: 10
Зарегистрирован: 2010-10-06 18:48:46

Re: racoon2

Непрочитанное сообщение ComBin » 2012-01-25 15:52:19

ОК, я тоже думаю что вряд ли дело в версии racoon. Но и с кодировкой все под вопросом, в vi то конфиг совершенно корректно выглядит.

Yasamal33
проходил мимо
Сообщения: 1
Зарегистрирован: 2013-01-15 12:11:07

Re: racoon2

Непрочитанное сообщение Yasamal33 » 2013-01-15 12:14:46

А как побороть то что с машины где настроен и запущен ракун не могу пинговать "соседнюю" сеть? При всем том что с других машин эта сеть нормально пингуется и все работает.