FreeBSD+racoon почему не маршрутизит?

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Хрюша
рядовой
Сообщения: 39
Зарегистрирован: 2009-04-06 14:09:43

FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение Хрюша » 2014-03-27 12:39:50

Есть FreeBSD 9.2 на нем установлен racoon+ipfw.
rc.d:

Код: Выделить всё

gateway_enable="YES"

sshd_enable="YES"

hostname="ipsec.my"
ifconfig_de0=" inet aaa.aaa.aaa.57 netmask 255.255.254.0"
ifconfig_de1=" inet bbb.bbb.bbb.85 netmask 255.255.255.240"
defaultrouter="bbb.bbb.bbb.81"

firewall_enable="YES"
firewall_script="/home/firewall.conf"

racoon_enable="YES"
racoon_flags="-l /var/log/racoon.log"
racoon_create_dirs="YES"
racoon.conf:

Код: Выделить всё

path include "/usr/local/etc/racoon";

path pre_shared_key "/usr/local/etc/racoon/cert/psk.txt";

path certificate "/usr/local/etc/racoon/cert/";

log debug2;

padding
{
   maximum_length 20;   # maximum padding length.
   randomize off;      # enable randomize length.
   strict_check off;   # enable strict check.
   exclusive_tail off;   # extract last one octet.
}

listen
{
   #isakmp ::1 [7000];
   isakmp bbb.bbb.bbb.85 [500];
   isakmp_natt bbb.bbb.bbb.85 [4500];
   #admin [7002];      # administrative port for racoonctl.
   #strict_address;    # requires that all addresses must be bound.
}

timer
{
   counter 5;      # maximum trying count to send.
   interval 20 sec;   # maximum interval to resend.
   persend 1;      # the number of packets per send.

   phase1 30 sec;
   phase2 15 sec;
}


remote anonymous
{
   exchange_mode aggressive,main;
   doi ipsec_doi;
   lifetime time 24 hours;
   generate_policy on;
   nat_traversal on;
   ike_frag on;
   dpd_delay 10;
   dpd_retry 5;
   dpd_maxfail 5;
   situation identity_only;
   nonce_size 16;
   initial_contact on;
   proposal_check strict;   # obey, strict, or claim
   proposal {
      encryption_algorithm 3des;
      hash_algorithm sha1;
      authentication_method pre_shared_key;
      dh_group 2;
   }
}


sainfo anonymous
{
   pfs_group 2;
   encryption_algorithm 3des;
   authentication_algorithm hmac_sha1;
   lifetime time 1 hour;
   compression_algorithm deflate;
}


firewall.conf:

Код: Выделить всё


fwcmd="/sbin/ipfw -q"

${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} -f queue flush

${fwcmd} add allow ip from any to any via de1
${fwcmd} add allow ip from any to any via lo0

${fwcmd} add allow icmp from any to any

${fwcmd} add allow log esp from any to any
${fwcmd} add allow log ah from any to any
${fwcmd} add allow log ipencap from any to any
${fwcmd} add allow log udp from any 500 to any

${fwcmd} add allow ip from ccc.ccc.ccc.0/24 to aaa.aaa.aaa.0/23
${fwcmd} add allow ip from aaa.aaa.aaa.0/23 to ccc.ccc.ccc.0/24
В качестве клиента выступает router cisco rv180w. Тоннель поднимается нормально о чем говорит статус на роутере - IPsec SA Established. Но вот пропинговать из сети aaa в сеть ccc, и наоборот невозможно. Что делаю не так? Как соединить две сети?

P.S. Как очищать повисшие тоннели, а то setkey -D показывает старые тоннели?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение gumeniuc » 2014-03-27 13:18:26

На циске ничего не блокирует пинги?
Да шо ему сделается...

werder31
сержант
Сообщения: 217
Зарегистрирован: 2009-12-22 10:48:41
Откуда: from Ukraine
Контактная информация:

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение werder31 » 2014-03-27 13:46:19

А как Вы хотите маршрутизировать????
У Вас на Фре и циске включены протоколы маршрутизации, или хоть статики прописаны??
Если нет, то о чем речь?
Любите жизнь, ведь она все равно отымеет..так хоть по любви!

Хрюша
рядовой
Сообщения: 39
Зарегистрирован: 2009-04-06 14:09:43

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение Хрюша » 2014-03-27 13:52:50

gumeniuc писал(а):На циске ничего не блокирует пинги?
Точно не блокируется

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение gumeniuc » 2014-03-27 13:55:29

показывайте setkey.conf
Да шо ему сделается...

Хрюша
рядовой
Сообщения: 39
Зарегистрирован: 2009-04-06 14:09:43

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение Хрюша » 2014-03-27 13:59:48

werder31 писал(а):А как Вы хотите маршрутизировать????
У Вас на Фре и циске включены протоколы маршрутизации, или хоть статики прописаны??
Если нет, то о чем речь?
Конечно прописано, на free:
route add -net ccc.ccc.ccc.0/24 aaa.aaa.aaa.57
на cisco статический маршрут:
Static Route Table
Name Active Private Destination Subnet Mask Interface Gateway Metric
free Yes No aaa.aaa.aaa.0 255.255.254.0 LAN (Local Network) ccc.ccc.ccc.1 2

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение gumeniuc » 2014-03-27 14:03:44

вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.
Да шо ему сделается...

Хрюша
рядовой
Сообщения: 39
Зарегистрирован: 2009-04-06 14:09:43

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение Хрюша » 2014-03-27 14:06:25

gumeniuc писал(а):показывайте setkey.conf
У меня нет такого файла, я ничего в нем не правил. Есть вывод команды setkey -DP:

Код: Выделить всё

ccc.ccc.ccc.0/24[any] aaa.aaa.aaa.0/23[any] any
	in ipsec
	esp/tunnel/ddd.ddd.ddd.133-bbb.bbb.bbb.85/require
	created: Mar 26 15:32:28 2014  lastused: Mar 26 15:32:28 2014
	lifetime: 3600(s) validtime: 0(s)
	spid=3 seq=1 pid=1299
	refcnt=1
aaa.aaa.aaa.0/23[any] ccc.ccc.ccc.0/24[any] any
	out ipsec
	esp/tunnel/bbb.bbb.bbb.85-ddd.ddd.ddd.133/require
	created: Mar 26 15:32:28 2014  lastused: Mar 26 15:33:02 2014
	lifetime: 3600(s) validtime: 0(s)
	spid=4 seq=0 pid=1299
	refcnt=1 

Хрюша
рядовой
Сообщения: 39
Зарегистрирован: 2009-04-06 14:09:43

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение Хрюша » 2014-03-27 14:08:01

gumeniuc писал(а):вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.
я пробовал, с прописанными маршрутами, и без них - все равно не пингуются сети.

werder31
сержант
Сообщения: 217
Зарегистрирован: 2009-12-22 10:48:41
Откуда: from Ukraine
Контактная информация:

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение werder31 » 2014-03-27 14:45:53

1) Покажите ipsec.conf
2) Вы используете сертификаты или логин-пас?? а то у Вас там и то и то....
Любите жизнь, ведь она все равно отымеет..так хоть по любви!

werder31
сержант
Сообщения: 217
Зарегистрирован: 2009-12-22 10:48:41
Откуда: from Ukraine
Контактная информация:

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение werder31 » 2014-03-27 14:48:57

gumeniuc писал(а):вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.
Ну у него точка-точка... а что бы увидить локалку полюбому нужно маршрут...
Любите жизнь, ведь она все равно отымеет..так хоть по любви!

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение gumeniuc » 2014-03-27 15:31:32

werder31 писал(а):
gumeniuc писал(а):вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.
Ну у него точка-точка... а что бы увидить локалку полюбому нужно маршрут...
что значит точка-точка ? ipsec туннель бывает не точка-точка ? никакие машруты не нужны
Да шо ему сделается...

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение gumeniuc » 2014-03-27 15:32:32

Хрюша писал(а):
gumeniuc писал(а):вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.
я пробовал, с прописанными маршрутами, и без них - все равно не пингуются сети.
тогда смотрите на циске что уходит в туннель
Да шо ему сделается...

Хрюша
рядовой
Сообщения: 39
Зарегистрирован: 2009-04-06 14:09:43

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение Хрюша » 2014-03-27 15:33:08

werder31 писал(а):1) Покажите ipsec.conf
2) Вы используете сертификаты или логин-пас?? а то у Вас там и то и то....
1)У меня нет файла ipsec.conf, я его и не создавал. Единственное собрано ядро с опцией IPSEC.
2) authentication_method pre_shared_key.

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение gumeniuc » 2014-03-27 15:36:35

покажите настройки на циске
Да шо ему сделается...

werder31
сержант
Сообщения: 217
Зарегистрирован: 2009-12-22 10:48:41
Откуда: from Ukraine
Контактная информация:

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение werder31 » 2014-03-27 15:38:32

1) Ну так какой пигн, чем Вы тогда будете шифровать(протокол)? http://www.lissyara.su/ipsec_cisco/
2) Если authentication_method pre_shared_key то зачем в конфиге

Код: Выделить всё

path certificate "/usr/local/etc/racoon/cert/";
Любите жизнь, ведь она все равно отымеет..так хоть по любви!

Хрюша
рядовой
Сообщения: 39
Зарегистрирован: 2009-04-06 14:09:43

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение Хрюша » 2014-03-27 15:53:30

werder31 писал(а):1) Покажите ipsec.conf
2) Вы используете сертификаты или логин-пас?? а то у Вас там и то и то....
1)У меня нет файла ipsec.conf, я его и не создавал. Единственное собрано ядро с опцией IPSEC.
2) authentication_method pre_shared_key.
gumeniuc писал(а):
Хрюша писал(а):
gumeniuc писал(а):вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.
я пробовал, с прописанными маршрутами, и без них - все равно не пингуются сети.
тогда смотрите на циске что уходит в туннель
Я заметил, что если тоннель поднят, и из сети за freebsd сделать пинг, то начинает подниматься еще один тонель (если верить setkey -D).
Если не прописывать маршруты на freebsd и cisco, то на роутере cisco в оснастке IPsec Connection Status показано, что пакеты из сети за циско в тоннель попадают, а дальше не идут
Вложения
123.jpg

Хрюша
рядовой
Сообщения: 39
Зарегистрирован: 2009-04-06 14:09:43

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение Хрюша » 2014-03-27 15:57:41

gumeniuc писал(а):покажите настройки на циске
Какие именно? настройки IPsec?
werder31 писал(а):1) Ну так какой пигн, чем Вы тогда будете шифровать(протокол)? http://www.lissyara.su/ipsec_cisco/
2) Если authentication_method pre_shared_key то зачем в конфиге

Код: Выделить всё

path certificate "/usr/local/etc/racoon/cert/";
1)Я настраивал по этой статье http://www.lissyara.su/articles/freebsd ... ty/ipsec2/
2) сейчас уберу)

werder31
сержант
Сообщения: 217
Зарегистрирован: 2009-12-22 10:48:41
Откуда: from Ukraine
Контактная информация:

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение werder31 » 2014-03-27 16:16:13

Ну даже в той статье есть ipsec...

Код: Выделить всё

ipsec_enable="YES"
ipsec_file="/usr/local/etc/racoon/setkey.conf"
Без этого трафик не будет ходить поскольку он не будет шифроватся
Любите жизнь, ведь она все равно отымеет..так хоть по любви!

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение gumeniuc » 2014-03-27 16:26:59

Хрюша писал(а):
gumeniuc писал(а):покажите настройки на циске
Какие именно? настройки IPsec?
да
Да шо ему сделается...

Хрюша
рядовой
Сообщения: 39
Зарегистрирован: 2009-04-06 14:09:43

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение Хрюша » 2014-03-27 16:57:42

werder31 писал(а):Ну даже в той статье есть ipsec...

Код: Выделить всё

ipsec_enable="YES"
ipsec_file="/usr/local/etc/racoon/setkey.conf"
Без этого трафик не будет ходить поскольку он не будет шифроватся
Как написано в статье:"Как говорил выше, в конфиге есть интересная опция generate_policy on;. Если на СЕРВЕРЕ ее поставить в on, то на сервере будут создаваться политики, соответствующие политикам на клиенте.", поэтому на сервере я setkey.conf не прописывал - политика берется из клиента.
gumeniuc писал(а):
Хрюша писал(а):
gumeniuc писал(а):покажите настройки на циске
Какие именно? настройки IPsec?
да
Выкладываю в файликах:
Вложения
4.jpg
3.jpg
2.jpg
1.jpg

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение gumeniuc » 2014-03-27 18:00:31

я бы добавил

Код: Выделить всё

ipsec_enable="YES"
ipsec_file="/usr/local/etc/racoon/setkey.conf"
и перезагрузил БСД.
Да шо ему сделается...

Хрюша
рядовой
Сообщения: 39
Зарегистрирован: 2009-04-06 14:09:43

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение Хрюша » 2014-03-28 9:09:12

gumeniuc писал(а):я бы добавил

Код: Выделить всё

ipsec_enable="YES"
ipsec_file="/usr/local/etc/racoon/setkey.conf"
и перезагрузил БСД.
Сделал, не помогло. Как пинга не было так и нет(

werder31
сержант
Сообщения: 217
Зарегистрирован: 2009-12-22 10:48:41
Откуда: from Ukraine
Контактная информация:

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение werder31 » 2014-03-28 9:42:40

Вот мои рабочий конфиг. У меня обьеденено так 4-и сетки, но в конфиге я оставил только одну.

XXX.XXX.XXX.XXX - ip Freebsd
YYY.YYY.YYY.YYY - ip Cisco

/etc/rc.conf

Код: Выделить всё

ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"
racoon_flags="-f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log"
/etc/ipsec.conf

Код: Выделить всё

flush;
spdflush;

spdadd XXX.XXX.XXX.XXX/32 YYY.YYY.YYY.YYY/32 ipencap -P out ipsec esp/tunnel/XXX.XXX.XXX.XXX-YYY.YYY.YYY.YYY/require;
spdadd YYY.YYY.YYY.YYY/32 XXX.XXX.XXX.XXX/32 ipencap -P in ipsec esp/tunnel/YYY.YYY.YYY.YYY-XXX.XXX.XXX.XXX/require;
/usr/local/etc/racoon/racoon.conf

Код: Выделить всё

path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
padding
{
        maximum_length 20;
        randomize off;
        strict_check off;
        exclusive_tail off;
}

listen
{
        isakmp XXX.XXX.XXX.XXX [500];
}

timer
{
        counter 5;
        interval 20 sec;
        persend 1;
        phase1 60 sec;
        phase2 30 sec;
}
remote YYY.YYY.YYY.YYY [500]
{
        exchange_mode aggressive,main;
        doi ipsec_doi;
        situation identity_only;
        my_identifier address;
        lifetime time 10 hour;
        initial_contact on;
        proposal_check obey;

        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key ;
                dh_group 2 ;
        }
}


sainfo anonymous
{
        pfs_group 2;
        lifetime time 10 hour;
        encryption_algorithm 3des ;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate ;
}
firewall

Код: Выделить всё

$cmd add allow ip from any to any via gif1
$cmd add allow ip from XXX.XXX.XXX.XXX to YYY.YYY.YYY.YYY2 isakmp
$cmd add allow ip from YYY.YYY.YYY.YYY to XXX.XXX.XXX.XXX isakmp
$cmd add allow ip from XXX.XXX.XXX.XXX 500 to YYY.YYY.YYY.YYY
$cmd add allow ip from YYY.YYY.YYY.YYY 500 to XXX.XXX.XXX.XXX
$cmd add allow ipencap from YYY.YYY.YYY.YYY to XXX.XXX.XXX.XXX
$cmd add allow ipencap from XXX.XXX.XXX.XXX to YYY.YYY.YYY.YYY
$cmd add allow esp from XXX.XXX.XXX.XXX to YYY.YYY.YYY.YYY
$cmd add allow esp from YYY.YYY.YYY.YYY to XXX.XXX.XXX.XXX
/usr/local/etc/rc.d/tunnel.sh - маршруты!!!!!!!!!

Код: Выделить всё

#!/bin/sh
case "$1" in
start)

/sbin/ifconfig gif1 create
/sbin/ifconfig gif1 tunnel XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY
/sbin/ifconfig gif1 192.168.0.1 192.168.1.1 netmask 255.255.255.0
/sbin/ifconfig gif1 mtu 1500
/sbin/route add 192.168.1.0 192.168.1.1
;;
esac
Любите жизнь, ведь она все равно отымеет..так хоть по любви!

Аватара пользователя
gumeniuc
ст. сержант
Сообщения: 343
Зарегистрирован: 2009-11-08 15:46:05
Откуда: md
Контактная информация:

Re: FreeBSD+racoon почему не маршрутизит?

Непрочитанное сообщение gumeniuc » 2014-03-28 11:29:19

На этой циске есть CLI ?
Да шо ему сделается...