VPN: ipsec+racoon (отваливается ракун)

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
tv.vldmr
ефрейтор
Сообщения: 55
Зарегистрирован: 2010-10-05 21:01:41

VPN: ipsec+racoon (отваливается ракун)

Непрочитанное сообщение tv.vldmr » 2010-11-10 11:42:28

Всем доброе,

у меня грубо говоря ЧП, даже уже не знаю куда копать. со вчерашнего вечера заметили, что валиться ВПН туннель чисто с одним провайдером (потому как он среагировал), оказалось по логам, что racoon тупо каждую минуту перегружаеться.

У нас 4 туннеля, конфигурации не меняли, сравнивали с провайдером, всё ок. На его стороне циска, на нашей BSD+racoon+ipsec.

Провайдер скину лог, что видит на их циске.

Код: Выделить всё

Nov  9 16:45:11 172.16.xxx.xxx Nov 09 2010 16:45:11: %PIX-3-713902: Group = ext_our_ip, IP = ext_our_ip, Removing peer from peer table failed, no match! 
Nov  9 16:49:06 172.16.xxx.xxx Nov 09 2010 16:49:06: %PIX-3-713902: Group = ext_our_ip, IP = ext_our_ip, Removing peer from peer table failed, no match! 
Nov  9 16:53:06 172.16.xxx.xxx Nov 09 2010 16:53:06: %PIX-3-713902: Group = ext_our_ip, IP = ext_our_ip, Removing peer from peer table failed, no match! 
Nov  9 16:57:08 172.16.xxx.xxx Nov 09 2010 16:57:08: %PIX-3-713902: Group = ext_our_ip, IP = ext_our_ip, Removing peer from peer table failed, no match! 
Nov  9 17:01:06 172.16.xxx.xxx Nov 09 2010 17:01:06: %PIX-3-713902: Group = ext_our_ip, IP = ext_our_ip, Removing peer from peer table failed, no match! 
Nov  9 17:13:06 172.16.xxx.xxx Nov 09 2010 17:13:06: %PIX-3-713902: Group = ext_our_ip, IP = ext_our_ip, Removing peer from peer table failed, no match! 
Nov  9 17:17:08 172.16.xxx.xxx Nov 09 2010 17:17:08: %PIX-3-713902: Group = ext_our_ip, IP = ext_our_ip, Removing peer from peer table failed, no match! 
Nov  9 17:21:11 172.16.xxx.xxx Nov 09 2010 17:21:09: %PIX-3-713902: Group = ext_our_ip, IP = ext_our_ip, Removing peer from peer table failed, no match! 
Nov  9 17:25:09 172.16.xxx.xxx Nov 09 2010 17:25:06: %PIX-3-713902: Group = ext_our_ip, IP = ext_our_ip, Removing peer from peer table failed, no match! 
Nov  9 17:33:10 172.16.xxx.xxx Nov 09 2010 17:33:09: %PIX-3-713902: Group = ext_our_ip, IP = ext_our_ip, Removing peer from peer table failed, no match! 
Nov  9 17:37:34 172.16.xxx.xxx Nov 09 2010 17:37:33: %PIX-3-713227: IP = ext_our_ip, Rejecting new IPSec SA negotiation for peer ext_our_ip. A negotiation was already in progress for local Proxy 192.xxx.xxx.0/255.255.255.0, remote Proxy 192.xxx.xxx.xxx/255.255.255.240 
Nov  9 17:37:34 172.16.xxx.xxx Nov 09 2010 17:37:33: %PIX-3-713902: Group = ext_our_ip, IP = ext_our_ip, QM FSM error (P2 struct &0x5d2b610, mess id 0xf5b6c5ea)! 
Nov  9 17:37:34 172.16.xxx.xxx Nov 09 2010 17:37:33: %PIX-3-713902: Group = ext_our_ip, IP = ext_our_ip, Removing peer from correlator table failed, no match! 
Nov  9 17:51:23 172.16.xxx.xxx Nov 09 2010 17:51:22: %PIX-3-713902: Group = ext_our_ip, IP = ext_our_ip, Removing peer from peer table failed, no match! 
Nov  9 17:51:59 172.16.xxx.xxx Nov 09 2010 17:51:56: %PIX-3-713902: IP = ext_our_ip, Removing peer from peer table failed, no match! 
Nov  9 17:52:43 172.16.xxx.xxx Nov 09 2010 17:52:28: %PIX-3-713902: IP = ext_our_ip, Removing peer from peer table failed, no match! 
Nov  9 17:53:14 172.16.xxx.xxx Nov 09 2010 17:53:00: %PIX-3-713902: IP = ext_our_ip, Removing peer from peer table failed, no match! 
Nov  9 17:53:52 172.16.xxx.xxx Nov 09 2010 17:53:52: %PIX-3-713902: Group = ext_our_ip, IP = ext_our_ip, Removing peer from peer table failed, no match! 


На этом туннеле у нас 2 подсети

первая 172.ххх.ххх.ххх
вторая 192.xxx.xxx.xxx
в основном трафик гоняется по второй подсети.

Сейчас качаю лог racoon.log, потому как с сервера в debug2 режиме что-то не совсем понимаю его.
Нужна помощь.
Конфигурации не трогали с нашей стороны, со стороны провайдера крестяться, что тоже, но у них была в пятницу проблема с маршрутизацией и вроде после этого и появились, как они выражаются "лупы" по второй первой подсети, которая у них чисто для мониторинга нашего соединения.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: VPN: ipsec+racoon (отваливается ракун)

Непрочитанное сообщение vadim64 » 2010-11-10 12:30:41

1. Конфиги ракуна выложьте всё же
2. Зачем вы частные адреса прячете иксами? Это не удобно и бессмыслено.
3. А в ваших логах что?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

Аватара пользователя
vadim64
майор
Сообщения: 2098
Зарегистрирован: 2009-09-17 15:15:26
Откуда: Засратовец

Re: VPN: ipsec+racoon (отваливается ракун)

Непрочитанное сообщение vadim64 » 2010-11-10 12:32:19

это видели?
Люди не делятся на национальности, партии, фракции и религии. Люди делятся на умных и дураков, а вот дураки делятся на национальности, партии, фракции и религии.

tv.vldmr
ефрейтор
Сообщения: 55
Зарегистрирован: 2010-10-05 21:01:41

Re: VPN: ipsec+racoon (отваливается ракун)

Непрочитанное сообщение tv.vldmr » 2010-11-10 12:40:36

vadim64 писал(а):1. Конфиги ракуна выложьте всё же
2. Зачем вы частные адреса прячете иксами? Это не удобно и бессмыслено.
3. А в ваших логах что?

сейчас выложу конфиги ракуна и лог
пытался проанализировать.

tv.vldmr
ефрейтор
Сообщения: 55
Зарегистрирован: 2010-10-05 21:01:41

Re: VPN: ipsec+racoon (отваливается ракун)

Непрочитанное сообщение tv.vldmr » 2010-11-10 13:52:37

лог выложил на пастбин, потому как не маленький : http://pastebin.com/NXdDTdRM

выкладываю конфиг racoon

Код: Выделить всё

# $KAME: racoon.conf.sample,v 1.28 2002/10/18 14:33:28 itojun Exp $

# "path" affects "include" directives.  "path" must be specified before any
# "include" directive with relative file path.
# you can overwrite "path" directive afterwards, however, doing so may add
# more confusion.
#path include "/usr/local/v6/etc" ;
#include "remote.conf" ;

# the file should contain key ID/key pairs, for pre-shared key authentication.
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
path pidfile "/var/run/racoon.pid" ;
# racoon will look for certificate file in the directory,
# if the certificate/certificate request payload is received.
#path certificate "/usr/local/openssl/certs" ;

# "log" specifies logging level.  It is followed by either "notify", "debug"
# or "debug2".
log debug2;

listen
{
    #isakmp ::1 [7000];
    #isakmp 195.22.xxx.xxx [500];
    #admin [7002];		# administrative's port by kmpstat.
    #strict_address; 	# required all addresses must be bound.
}
		

timer
{
    # These value can be changed per remote node.
    counter 5;		# maximum trying count to send.
    interval 20 sec;	# maximum interval to resend.
    persend 1;		# the number of packets per a send.

    # timer for waiting to complete each phase.
    phase1 30 sec;
    phase2 15 sec;
}

#gif0
remote 193.239.xxx.xxx
{
    exchange_mode main;
    doi ipsec_doi;

    situation identity_only;
    my_identifier address 195.22.xxx.xxx;

    nonce_size 16;
    lifetime time 8 hour;
    initial_contact on;  
#    support_mip6 on;     
    proposal_check obey;    # obey, strict or claim

    proposal {
    encryption_algorithm 3des;
	hash_algorithm sha1;
	authentication_method pre_shared_key ;
	dh_group 2;
    }
}


#gif2
remote 79.142.xxx.xxx
{
    exchange_mode main;
    doi ipsec_doi;

    situation identity_only;
    my_identifier address 195.22.xxx.xxx;

    nonce_size 16;
    lifetime time 8 hour;
    initial_contact on;  
#    support_mip6 on;     
    proposal_check obey;    # obey, strict or claim

    proposal {
    encryption_algorithm aes256;
	hash_algorithm sha1;
	authentication_method pre_shared_key ;
	dh_group 2;
    }
}

#gif1
remote 89.32.xxx.xxx
{
    exchange_mode main;
#    exchange_mode aggressive ;
#    situation identity_only;
#    my_identifier address 195.22.xxx.xxx;
#    peers_identifier address 89.32.xxx.xxx;

#    verify_identifier on;
    lifetime time 8 hour;
#    support_proxy on;
#    proposal_check obey; # obey, strict, claim or exact

    proposal {
    encryption_algorithm 3des;
    hash_algorithm md5;
    authentication_method pre_shared_key ;
    dh_group 2;
    }
}


#gif3
remote 89.41.xxx.xxx
{
    exchange_mode aggressive;
    doi ipsec_doi;

#    situation identity_only;
    peers_identifier address 89.41.xxx.xxx;
    my_identifier address 195.22.xxx.xxx;

#    nonce_size 16;
    lifetime time 24 hour;
#    initial_contact on;
#    support_mip6 on;
    proposal_check obey;    # obey, strict or claim

    proposal {
    encryption_algorithm 3des;
        hash_algorithm sha1;
        authentication_method pre_shared_key ;
        dh_group 2;
    }
}


#gif4
#remote 89.28.xxx.xxx
#{
#    exchange_mode main;
#    doi ipsec_doi;
#
#    situation identity_only;
#    peers_identifier address 89.28.xxx.xxx;
#    my_identifier address 195.22.xxx.xxx;
#
#    nonce_size 16;
#    lifetime time 24 hour;
#    initial_contact on;
#    support_mip6 on;
#    proposal_check strict;    # obey, strict or claim
#
#    proposal {
#    encryption_algorithm 3des;
#        hash_algorithm md5;
#        authentication_method pre_shared_key ;
#        dh_group 2;
#    }
#}


# phase 2 proposal (for IPsec SA).
# actual phase 2 proposal will obey the following items:
# - kernel IPsec policy configuration (like "esp/transport//use)
# - permutation of the crypto/hash/compression algorithms presented below


#gif1
sainfo address 192.168.165.65/28 any address 172.23.254.26/32 any
{
       lifetime time 8 hour;
       pfs_group 2;
       encryption_algorithm 3des;
       authentication_algorithm hmac_sha1;
       compression_algorithm deflate;
}


#gif0
sainfo address 192.168.165.48/28 any address 192.168.48.0/24 any
{
       lifetime time 24 hour;
       pfs_group 2;
       encryption_algorithm 3des;
       authentication_algorithm hmac_sha1;
       compression_algorithm deflate;
}

#gif0
sainfo address 192.168.165.48/28 any address 172.16.1.0/24 any
{
       lifetime time 24 hour;
       pfs_group 2;
       encryption_algorithm 3des;
       authentication_algorithm hmac_sha1;
       compression_algorithm deflate;
}


#gif4
#sainfo address 192.168.165.145 any address 79.170.224.155 any
#{
#       lifetime time 24 hour;
#       pfs_group 2;
#       encryption_algorithm 3des;
#       authentication_algorithm hmac_md5;
#       compression_algorithm deflate;
#}

#gif4
#sainfo address 192.168.165.145 any address 192.168.1.153 any
#{
#       lifetime time 24 hour;
#       pfs_group 2;
#       encryption_algorithm 3des;
#       authentication_algorithm hmac_md5;
#       compression_algorithm deflate;
#}


#gif2
sainfo address 10.201.24.128/25 any address 10.7.74.0/24 any
{
       lifetime time 24 hour;
       pfs_group 2;
       encryption_algorithm aes256;
       authentication_algorithm hmac_sha1;
       compression_algorithm deflate;
}


#gif3
sainfo address 192.168.165.129/32  any address 192.168.1.118/32 any
{
       lifetime time 24 hour;
       pfs_group 2;
       encryption_algorithm 3des;
       authentication_algorithm hmac_sha1;
       compression_algorithm deflate;
}


tv.vldmr
ефрейтор
Сообщения: 55
Зарегистрирован: 2010-10-05 21:01:41

Re: VPN: ipsec+racoon (отваливается ракун)

Непрочитанное сообщение tv.vldmr » 2010-11-10 15:17:17

вопрос можно считать закрытым...

нашел 10 строк и кинул провайдеру .... и вдруг "О чудо!" перестал падать racoon...

Всем спасибо, кто пытался помочь.