FreeBSD+racoon почему не маршрутизит?

[Хрюша]

Есть FreeBSD 9.2 на нем установлен racoon+ipfw.
rc.d:

Код: Выделить всё

gateway_enable="YES"

sshd_enable="YES"

hostname="ipsec.my"
ifconfig_de0=" inet aaa.aaa.aaa.57 netmask 255.255.254.0"
ifconfig_de1=" inet bbb.bbb.bbb.85 netmask 255.255.255.240"
defaultrouter="bbb.bbb.bbb.81"

firewall_enable="YES"
firewall_script="/home/firewall.conf"

racoon_enable="YES"
racoon_flags="-l /var/log/racoon.log"
racoon_create_dirs="YES"

racoon.conf:

Код: Выделить всё

path include "/usr/local/etc/racoon";

path pre_shared_key "/usr/local/etc/racoon/cert/psk.txt";

path certificate "/usr/local/etc/racoon/cert/";

log debug2;

padding
{
   maximum_length 20;   # maximum padding length.
   randomize off;      # enable randomize length.
   strict_check off;   # enable strict check.
   exclusive_tail off;   # extract last one octet.
}

listen
{
   #isakmp ::1 [7000];
   isakmp bbb.bbb.bbb.85 [500];
   isakmp_natt bbb.bbb.bbb.85 [4500];
   #admin [7002];      # administrative port for racoonctl.
   #strict_address;    # requires that all addresses must be bound.
}

timer
{
   counter 5;      # maximum trying count to send.
   interval 20 sec;   # maximum interval to resend.
   persend 1;      # the number of packets per send.

   phase1 30 sec;
   phase2 15 sec;
}


remote anonymous
{
   exchange_mode aggressive,main;
   doi ipsec_doi;
   lifetime time 24 hours;
   generate_policy on;
   nat_traversal on;
   ike_frag on;
   dpd_delay 10;
   dpd_retry 5;
   dpd_maxfail 5;
   situation identity_only;
   nonce_size 16;
   initial_contact on;
   proposal_check strict;   # obey, strict, or claim
   proposal {
      encryption_algorithm 3des;
      hash_algorithm sha1;
      authentication_method pre_shared_key;
      dh_group 2;
   }
}


sainfo anonymous
{
   pfs_group 2;
   encryption_algorithm 3des;
   authentication_algorithm hmac_sha1;
   lifetime time 1 hour;
   compression_algorithm deflate;
}

firewall.conf:

Код: Выделить всё

fwcmd="/sbin/ipfw -q"

${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} -f queue flush

${fwcmd} add allow ip from any to any via de1
${fwcmd} add allow ip from any to any via lo0

${fwcmd} add allow icmp from any to any

${fwcmd} add allow log esp from any to any
${fwcmd} add allow log ah from any to any
${fwcmd} add allow log ipencap from any to any
${fwcmd} add allow log udp from any 500 to any

${fwcmd} add allow ip from ccc.ccc.ccc.0/24 to aaa.aaa.aaa.0/23
${fwcmd} add allow ip from aaa.aaa.aaa.0/23 to ccc.ccc.ccc.0/24

В качестве клиента выступает router cisco rv180w. Тоннель поднимается нормально о чем говорит статус на роутере - IPsec SA Established. Но вот пропинговать из сети aaa в сеть ccc, и наоборот невозможно. Что делаю не так? Как соединить две сети?

P.S. Как очищать повисшие тоннели, а то setkey -D показывает старые тоннели?

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[gumeniuc]

На циске ничего не блокирует пинги?

[werder31]

А как Вы хотите маршрутизировать????
У Вас на Фре и циске включены протоколы маршрутизации, или хоть статики прописаны??
Если нет, то о чем речь?

[Хрюша]

На циске ничего не блокирует пинги?

Точно не блокируется

[gumeniuc]

показывайте setkey.conf

[Хрюша]

А как Вы хотите маршрутизировать????
У Вас на Фре и циске включены протоколы маршрутизации, или хоть статики прописаны??
Если нет, то о чем речь?

Конечно прописано, на free:
route add -net ccc.ccc.ccc.0/24 aaa.aaa.aaa.57
на cisco статический маршрут:
Static Route Table
Name Active Private Destination Subnet Mask Interface Gateway Metric
free Yes No aaa.aaa.aaa.0 255.255.254.0 LAN (Local Network) ccc.ccc.ccc.1 2

[gumeniuc]

вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.

[Хрюша]

показывайте setkey.conf

У меня нет такого файла, я ничего в нем не правил. Есть вывод команды setkey -DP:

Код: Выделить всё

ccc.ccc.ccc.0/24[any] aaa.aaa.aaa.0/23[any] any
	in ipsec
	esp/tunnel/ddd.ddd.ddd.133-bbb.bbb.bbb.85/require
	created: Mar 26 15:32:28 2014  lastused: Mar 26 15:32:28 2014
	lifetime: 3600(s) validtime: 0(s)
	spid=3 seq=1 pid=1299
	refcnt=1
aaa.aaa.aaa.0/23[any] ccc.ccc.ccc.0/24[any] any
	out ipsec
	esp/tunnel/bbb.bbb.bbb.85-ddd.ddd.ddd.133/require
	created: Mar 26 15:32:28 2014  lastused: Mar 26 15:33:02 2014
	lifetime: 3600(s) validtime: 0(s)
	spid=4 seq=0 pid=1299
	refcnt=1 

[Хрюша]

вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.

я пробовал, с прописанными маршрутами, и без них - все равно не пингуются сети.

[werder31]

1) Покажите ipsec.conf
2) Вы используете сертификаты или логин-пас?? а то у Вас там и то и то....

[werder31]

вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.

Ну у него точка-точка... а что бы увидить локалку полюбому нужно маршрут...

[gumeniuc]

вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.

Ну у него точка-точка... а что бы увидить локалку полюбому нужно маршрут...

что значит точка-точка ? ipsec туннель бывает не точка-точка ? никакие машруты не нужны

[gumeniuc]

вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.

я пробовал, с прописанными маршрутами, и без них - все равно не пингуются сети.

тогда смотрите на циске что уходит в туннель

[Хрюша]

1) Покажите ipsec.conf
2) Вы используете сертификаты или логин-пас?? а то у Вас там и то и то....

1)У меня нет файла ipsec.conf, я его и не создавал. Единственное собрано ядро с опцией IPSEC.
2) authentication_method pre_shared_key.

[gumeniuc]

покажите настройки на циске

[werder31]

1) Ну так какой пигн, чем Вы тогда будете шифровать(протокол)? http://www.lissyara.su/ipsec_cisco/
2) Если authentication_method pre_shared_key то зачем в конфиге

Код: Выделить всё

path certificate "/usr/local/etc/racoon/cert/";

[Хрюша]

1) Покажите ipsec.conf
2) Вы используете сертификаты или логин-пас?? а то у Вас там и то и то....

1)У меня нет файла ipsec.conf, я его и не создавал. Единственное собрано ядро с опцией IPSEC.
2) authentication_method pre_shared_key.

вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.

я пробовал, с прописанными маршрутами, и без них - все равно не пингуются сети.

тогда смотрите на циске что уходит в туннель

Я заметил, что если тоннель поднят, и из сети за freebsd сделать пинг, то начинает подниматься еще один тонель (если верить setkey -D).
Если не прописывать маршруты на freebsd и cisco, то на роутере cisco в оснастке IPsec Connection Status показано, что пакеты из сети за циско в тоннель попадают, а дальше не идут

[Хрюша]

покажите настройки на циске

Какие именно? настройки IPsec?

1) Ну так какой пигн, чем Вы тогда будете шифровать(протокол)? http://www.lissyara.su/ipsec_cisco/
2) Если authentication_method pre_shared_key то зачем в конфиге

Код: Выделить всё

path certificate "/usr/local/etc/racoon/cert/";

1)Я настраивал по этой статье http://www.lissyara.su/articles/freebsd ... ty/ipsec2/
2) сейчас уберу)

[werder31]

Ну даже в той статье есть ipsec...

Код: Выделить всё

ipsec_enable="YES"
ipsec_file="/usr/local/etc/racoon/setkey.conf"

Без этого трафик не будет ходить поскольку он не будет шифроватся

[gumeniuc]

покажите настройки на циске

Какие именно? настройки IPsec?

да

[Хрюша]

Ну даже в той статье есть ipsec...

Код: Выделить всё

ipsec_enable="YES"
ipsec_file="/usr/local/etc/racoon/setkey.conf"

Без этого трафик не будет ходить поскольку он не будет шифроватся

Как написано в статье:"Как говорил выше, в конфиге есть интересная опция generate_policy on;. Если на СЕРВЕРЕ ее поставить в on, то на сервере будут создаваться политики, соответствующие политикам на клиенте.", поэтому на сервере я setkey.conf не прописывал - политика берется из клиента.

покажите настройки на циске

Какие именно? настройки IPsec?

да

Выкладываю в файликах:

[gumeniuc]

я бы добавил

Код: Выделить всё

ipsec_enable="YES"
ipsec_file="/usr/local/etc/racoon/setkey.conf"

и перезагрузил БСД.

[Хрюша]

я бы добавил

Код: Выделить всё

ipsec_enable="YES"
ipsec_file="/usr/local/etc/racoon/setkey.conf"

и перезагрузил БСД.

Сделал, не помогло. Как пинга не было так и нет(

[werder31]

Вот мои рабочий конфиг. У меня обьеденено так 4-и сетки, но в конфиге я оставил только одну.

XXX.XXX.XXX.XXX - ip Freebsd
YYY.YYY.YYY.YYY - ip Cisco

/etc/rc.conf

Код: Выделить всё

ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"
racoon_flags="-f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log"

/etc/ipsec.conf

Код: Выделить всё

flush;
spdflush;

spdadd XXX.XXX.XXX.XXX/32 YYY.YYY.YYY.YYY/32 ipencap -P out ipsec esp/tunnel/XXX.XXX.XXX.XXX-YYY.YYY.YYY.YYY/require;
spdadd YYY.YYY.YYY.YYY/32 XXX.XXX.XXX.XXX/32 ipencap -P in ipsec esp/tunnel/YYY.YYY.YYY.YYY-XXX.XXX.XXX.XXX/require;

/usr/local/etc/racoon/racoon.conf

Код: Выделить всё

path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
padding
{
        maximum_length 20;
        randomize off;
        strict_check off;
        exclusive_tail off;
}

listen
{
        isakmp XXX.XXX.XXX.XXX [500];
}

timer
{
        counter 5;
        interval 20 sec;
        persend 1;
        phase1 60 sec;
        phase2 30 sec;
}
remote YYY.YYY.YYY.YYY [500]
{
        exchange_mode aggressive,main;
        doi ipsec_doi;
        situation identity_only;
        my_identifier address;
        lifetime time 10 hour;
        initial_contact on;
        proposal_check obey;

        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key ;
                dh_group 2 ;
        }
}


sainfo anonymous
{
        pfs_group 2;
        lifetime time 10 hour;
        encryption_algorithm 3des ;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate ;
}

firewall

Код: Выделить всё

$cmd add allow ip from any to any via gif1
$cmd add allow ip from XXX.XXX.XXX.XXX to YYY.YYY.YYY.YYY2 isakmp
$cmd add allow ip from YYY.YYY.YYY.YYY to XXX.XXX.XXX.XXX isakmp
$cmd add allow ip from XXX.XXX.XXX.XXX 500 to YYY.YYY.YYY.YYY
$cmd add allow ip from YYY.YYY.YYY.YYY 500 to XXX.XXX.XXX.XXX
$cmd add allow ipencap from YYY.YYY.YYY.YYY to XXX.XXX.XXX.XXX
$cmd add allow ipencap from XXX.XXX.XXX.XXX to YYY.YYY.YYY.YYY
$cmd add allow esp from XXX.XXX.XXX.XXX to YYY.YYY.YYY.YYY
$cmd add allow esp from YYY.YYY.YYY.YYY to XXX.XXX.XXX.XXX

/usr/local/etc/rc.d/tunnel.sh - маршруты!!!!!!!!!

Код: Выделить всё

#!/bin/sh
case "$1" in
start)

/sbin/ifconfig gif1 create
/sbin/ifconfig gif1 tunnel XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY
/sbin/ifconfig gif1 192.168.0.1 192.168.1.1 netmask 255.255.255.0
/sbin/ifconfig gif1 mtu 1500
/sbin/route add 192.168.1.0 192.168.1.1
;;
esac

[gumeniuc]

На этой циске есть CLI ?