Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
damir_madaga
- старшина
- Сообщения: 447
- Зарегистрирован: 2007-10-01 8:13:38
- Откуда: Красноярск
-
Контактная информация:
Непрочитанное сообщение
damir_madaga » 2010-04-12 16:44:12
Имеем: центральный офис с маршрутизатором на правильной ОС, несколько удаленных магазинов к которым постепенно подключается интернет и в качестве роутеров ставятся d-link dir-130. Один офис я подключил вроде все Форкает. Взялся настраивать второй и застопорился.
Код: Выделить всё
########################## IPSEC ################################
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"
########################## IPSEC TO MARKSA #####################################
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx."
ifconfig_gif0="inet 192.168.1.24 192.168.3.99 netmask 255.255.255.0"
static_routes="RemoteLan"
route_RemoteLan="192.168.3.0/24 -interface gif0"
#####################################################################################
############################ IPSEC TO DOZ ###########################################
#cloned_interfaces="gif1"
#gif_interfaces="gif1"
#gifconfig_gif1="xxx.xxx.xxx.xxx zzz.zzz.zzz.zzz"
#ifconfig_gif1="inet 192.168.1.24 192.168.7.99 netmask 255.255.255.0"
#static_routes="RemoteLan1"
#route_RemoteLan1="192.168.7.0/24 -interface gif1"
Код: Выделить всё
flush;
spdflush;
spdadd 192.168.1.0/24 192.168.3.0/24 any -P out ipsec esp/tunnel/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/require;
spdadd 192.168.3.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require;
#spdadd 192.168.1.0/24 192.168.7.0/24 any -P out ipsec esp/tunnel/yyy.yyy.yyy.yyy-zzz.zzz.zzz.zzz/require;
#spdadd 192.168.7.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/zzz.zzz.zzz.zzz-yyy.yyy.yyy.yyy/require;
Все что закоментированно, это попытка прописать новый тунель. В итоге этих манипуляций после перезагрузки создался gif1 (gif0 не поднялся) без преспектив работы.
Вопрос возможно ли два тунеля, если возможно то как???
Женщины и софт - должны быть бесплатными!
damir_madaga
-
Хостинг HostFood.ru
-
Хостинг HostFood.ru
Тарифы на хостинг в России, от 12 рублей:
https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.:
https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах:
https://www.host-food.ru/domains/
-
damir_madaga
- старшина
- Сообщения: 447
- Зарегистрирован: 2007-10-01 8:13:38
- Откуда: Красноярск
-
Контактная информация:
Непрочитанное сообщение
damir_madaga » 2010-04-12 17:04:48
первый листинг это rc.conf второй ipsec.conf
Женщины и софт - должны быть бесплатными!
damir_madaga
-
rmn
- старшина
- Сообщения: 427
- Зарегистрирован: 2008-10-03 18:52:02
Непрочитанное сообщение
rmn » 2010-04-12 17:48:01
Код: Выделить всё
...
cloned_interfaces="gif0 gif1"
gif_interfaces="gif0 gif1"
static_routes="RemoteLan RemoteLan1"
...
?
rmn
-
damir_madaga
- старшина
- Сообщения: 447
- Зарегистрирован: 2007-10-01 8:13:38
- Откуда: Красноярск
-
Контактная информация:
Непрочитанное сообщение
damir_madaga » 2010-04-13 1:08:32
rmn писал(а):Код: Выделить всё
...
cloned_interfaces="gif0 gif1"
gif_interfaces="gif0 gif1"
static_routes="RemoteLan RemoteLan1"
...
?
да совершенно правильно, сдесь я ошибся! Но вопрос про ipsec.conf и racon остается!
Женщины и софт - должны быть бесплатными!
damir_madaga
-
rmn
- старшина
- Сообщения: 427
- Зарегистрирован: 2008-10-03 18:52:02
Непрочитанное сообщение
rmn » 2010-04-13 2:08:50
damir_madaga писал(а):
Но вопрос про ipsec.conf и racon остается!
в чем вопрос? после изменений тоже не работает?
rmn
-
snorlov
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Непрочитанное сообщение
snorlov » 2010-04-13 8:31:24
damir_madaga писал(а):rmn писал(а):Код: Выделить всё
...
cloned_interfaces="gif0 gif1"
gif_interfaces="gif0 gif1"
static_routes="RemoteLan RemoteLan1"
...
?
да совершенно правильно, сдесь я ошибся! Но вопрос про ipsec.conf и racon остается!
Все правильно пропиши и все будет работать без проблем... Хоть 2-а офиса, хоть 10...
snorlov
-
arkan
- ст. прапорщик
- Сообщения: 559
- Зарегистрирован: 2008-08-03 19:58:13
- Откуда: Новосибирск
-
Контактная информация:
Непрочитанное сообщение
arkan » 2010-04-14 7:55:02
кстати а в racoon.conf как надо прописать параметр remote
remote IP
значит при втором тунеле надо еще такоеже добавить ?
arkan
-
snorlov
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Непрочитанное сообщение
snorlov » 2010-04-14 8:22:20
gif интерфейс определяет туннели(инкапсуляцию одних пакетов в другие), racoon шифрование этих тоннелей. А вы пробовали читать документацию? Там вроде все есть...
snorlov
-
damir_madaga
- старшина
- Сообщения: 447
- Зарегистрирован: 2007-10-01 8:13:38
- Откуда: Красноярск
-
Контактная информация:
Непрочитанное сообщение
damir_madaga » 2010-04-27 7:43:43
UP/
Наконец то вернулся к данному вопросу! Тунели пробил маршруты прописал, но связи нет, подскажите как правильно изменить файлы racoon.conf и psk.txt?? В Ipsec.conf прописал так
Код: Выделить всё
flush;
spdflush;
spdadd 192.168.1.0/24 192.168.3.0/24 any -P out ipsec esp/tunnel/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require;
spdadd 192.168.3.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/require;
spdadd 192.168.1.0/24 192.168.7.0/24 any -P out ipsec esp/tunnel/xxx.xxx.xxx.xxx-zzz.zzz.zzz.zzz/require;
spdadd 192.168.7.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/zzz.zzz.zzz.zzz-xxx.xxx.xxx.xxx/require;
Женщины и софт - должны быть бесплатными!
damir_madaga
-
damir_madaga
- старшина
- Сообщения: 447
- Зарегистрирован: 2007-10-01 8:13:38
- Откуда: Красноярск
-
Контактная информация:
Непрочитанное сообщение
damir_madaga » 2010-04-27 8:15:06
Larin писал(а):без ракуна связь есть?
В рабочее время к сожалению нет возможности проверить, первый тунель активно пользуется!
Женщины и софт - должны быть бесплатными!
damir_madaga
-
snorlov
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Непрочитанное сообщение
snorlov » 2010-04-27 9:15:49
Вместо anonymous используешь ip адреса, другими словами на каждый ip будет своя секция...
snorlov
-
damir_madaga
- старшина
- Сообщения: 447
- Зарегистрирован: 2007-10-01 8:13:38
- Откуда: Красноярск
-
Контактная информация:
Непрочитанное сообщение
damir_madaga » 2010-04-29 5:11:56
В общем что сделал: racoon.conf
Код: Выделить всё
path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
log debug2;
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
listen
{
isakmp xxx.xxx.xxx.xxx [500];
}
timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 10 sec; # maximum interval to resend.
persend 1; # the number of packets per send.
# maximum time to wait for completing each phase.
phase1 30 sec;
phase2 15 sec;
}
remote yyy.yyy.yyy.yyy
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
my_identifier user_fqdn "md@als-krsn.ru";
peers_identifier user_fqdn "md@als-krsn.ru";
nonce_size 16;
lifetime time 480 min; # sec,min,hour
initial_contact on;
support_proxy on;
proposal_check obey; # obey, strict, or claim
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
remote zzz.zzz.zzz.zzz
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
my_identifier user_fqdn "md@als-krsn.ru";
peers_identifier user_fqdn "md@als-krsn.ru";
nonce_size 16;
lifetime time 480 min; # sec,min,hour
initial_contact on;
support_proxy on;
proposal_check obey; # obey, strict, or claim
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 1;
lifetime time 60 min;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
С такими настройками в D-link видно что тунель проложен, но пакеты не в какую не ходят! Причем в логах racoon вроде все ок!
Код: Выделить всё
84 bytes message received from zzz.zzz.zzz.zzz[500] to xxx.xxx.xxx.xxx[500]
Apr 29 10:08:25 ns racoon: DEBUG: da04a85b 3a7b04d3 0d06c3a3 ecde2880 08100501 897732ec 00000054 0bb5dd51 721d2e79 a5a250b5 8125943f 56631073 fb72d520 c3d1acaf 25ef3587 9a53d813 846f8413 a7951075 c19bb113 f
Apr 29 10:08:25 ns racoon: DEBUG: receive Information.
Apr 29 10:08:25 ns racoon: DEBUG: compute IV for phase2
Apr 29 10:08:25 ns racoon: DEBUG: phase1 last IV:
Apr 29 10:08:25 ns racoon: DEBUG: 665e53c7 b7620e20 897732ec
Apr 29 10:08:25 ns racoon: DEBUG: hash(sha1)
Apr 29 10:08:25 ns racoon: DEBUG: encryption(3des)
Apr 29 10:08:25 ns racoon: DEBUG: phase2 IV computed:
Apr 29 10:08:25 ns racoon: DEBUG: 02902d37 0dc48577
Apr 29 10:08:25 ns racoon: DEBUG: begin decryption.
Apr 29 10:08:25 ns racoon: DEBUG: encryption(3des)
Apr 29 10:08:25 ns racoon: DEBUG: IV was saved for next processing:
Apr 29 10:08:25 ns racoon: DEBUG: fb2d7aca fc15aae3
Apr 29 10:08:25 ns racoon: DEBUG: encryption(3des)
Apr 29 10:08:25 ns racoon: DEBUG: with key:
Apr 29 10:08:25 ns racoon: DEBUG: 51f61547 4e89c409 f9ae4ff0 41725460 326b165d 172a10d8
Apr 29 10:08:25 ns racoon: DEBUG: decrypted payload by IV:
Apr 29 10:08:25 ns racoon: DEBUG: 02902d37 0dc48577
Apr 29 10:08:25 ns racoon: DEBUG: decrypted payload, but not trimed.
Apr 29 10:08:25 ns racoon: DEBUG: 0b000018 c2cd0688 b593c783 e8d74f67 ca19342a 6ad48169 00000020 00000001 01108d28 da04a85b 3a7b04d3 0d06c3a3 ecde2880 0000127a
Apr 29 10:08:25 ns racoon: DEBUG: padding len=122
Apr 29 10:08:25 ns racoon: DEBUG: skip to trim padding.
Apr 29 10:08:25 ns racoon: DEBUG: decrypted.
Apr 29 10:08:25 ns racoon: DEBUG: da04a85b 3a7b04d3 0d06c3a3 ecde2880 08100501 897732ec 00000054 0b000018 c2cd0688 b593c783 e8d74f67 ca19342a 6ad48169 00000020 00000001 01108d28 da04a85b 3a7b04d3 0d06c3a3 e
Apr 29 10:08:25 ns racoon: DEBUG: IV freed
Apr 29 10:08:25 ns racoon: DEBUG: HASH with:
Apr 29 10:08:25 ns racoon: DEBUG: 897732ec 00000020 00000001 01108d28 da04a85b 3a7b04d3 0d06c3a3 ecde2880 0000127a
Apr 29 10:08:25 ns racoon: DEBUG: hmac(hmac_sha1)
Apr 29 10:08:25 ns racoon: DEBUG: HASH computed:
Apr 29 10:08:25 ns racoon: DEBUG: c2cd0688 b593c783 e8d74f67 ca19342a 6ad48169
Apr 29 10:08:25 ns racoon: DEBUG: hash validated.
Apr 29 10:08:25 ns racoon: DEBUG: begin.
Apr 29 10:08:25 ns racoon: DEBUG: seen nptype=8(hash)
Apr 29 10:08:25 ns racoon: DEBUG: seen nptype=11(notify)
Apr 29 10:08:25 ns racoon: DEBUG: succeed.
Apr 29 10:08:25 ns racoon: DEBUG: DPD R-U-There received
Apr 29 10:08:25 ns racoon: DEBUG: compute IV for phase2
Apr 29 10:08:25 ns racoon: DEBUG: phase1 last IV:
Apr 29 10:08:25 ns racoon: DEBUG: 665e53c7 b7620e20 81943678
Apr 29 10:08:25 ns racoon: DEBUG: hash(sha1)
Apr 29 10:08:25 ns racoon: DEBUG: encryption(3des)
Apr 29 10:08:25 ns racoon: DEBUG: phase2 IV computed:
Apr 29 10:08:25 ns racoon: DEBUG: 10c296d2 2e6665d8
Apr 29 10:08:25 ns racoon: DEBUG: HASH with:
Apr 29 10:08:25 ns racoon: DEBUG: 81943678 00000020 00000001 01108d29 da04a85b 3a7b04d3 0d06c3a3 ecde2880 0000127a
Apr 29 10:08:25 ns racoon: DEBUG: hmac(hmac_sha1)
Apr 29 10:08:25 ns racoon: DEBUG: HASH computed:
Apr 29 10:08:25 ns racoon: DEBUG: ef25f5a9 779bcd28 346c768c d997cb11 6de1f184
Apr 29 10:08:25 ns racoon: DEBUG: begin encryption.
Apr 29 10:08:25 ns racoon: DEBUG: encryption(3des)
Apr 29 10:08:25 ns racoon: DEBUG: 10c296d2 2e6665d8
Apr 29 10:08:25 ns racoon: DEBUG: HASH with:
Apr 29 10:08:25 ns racoon: DEBUG: 81943678 00000020 00000001 01108d29 da04a85b 3a7b04d3 0d06c3a3 ecde2880 0000127a
Apr 29 10:08:25 ns racoon: DEBUG: hmac(hmac_sha1)
Apr 29 10:08:25 ns racoon: DEBUG: HASH computed:
Apr 29 10:08:25 ns racoon: DEBUG: ef25f5a9 779bcd28 346c768c d997cb11 6de1f184
Apr 29 10:08:25 ns racoon: DEBUG: begin encryption.
Apr 29 10:08:25 ns racoon: DEBUG: encryption(3des)
Apr 29 10:08:25 ns racoon: DEBUG: pad length = 8
Apr 29 10:08:25 ns racoon: DEBUG: 0b000018 ef25f5a9 779bcd28 346c768c d997cb11 6de1f184 00000020 00000001 01108d29 da04a85b 3a7b04d3 0d06c3a3 ecde2880 0000127a 00000000 00000008
Apr 29 10:08:25 ns racoon: DEBUG: encryption(3des)
Apr 29 10:08:25 ns racoon: DEBUG: with key:
Apr 29 10:08:25 ns racoon: DEBUG: 51f61547 4e89c409 f9ae4ff0 41725460 326b165d 172a10d8
Apr 29 10:08:25 ns racoon: DEBUG: encrypted payload by IV:
Apr 29 10:08:25 ns racoon: DEBUG: 10c296d2 2e6665d8
Apr 29 10:08:25 ns racoon: DEBUG: save IV for next:
Apr 29 10:08:25 ns racoon: DEBUG: 9e6bfc2d e4faf23e
Apr 29 10:08:25 ns racoon: DEBUG: encrypted.
Apr 29 10:08:25 ns racoon: DEBUG: 92 bytes from xxx.xxx.xxx.xxx[500] to zzz.zzz.zzz.zzz[500]
Apr 29 10:08:25 ns racoon: DEBUG: sockname xxx.xxx.xxx.xxx[500]
Apr 29 10:08:25 ns racoon: DEBUG: send packet from xxx.xxx.xxx.xxx[500]
Apr 29 10:08:25 ns racoon: DEBUG: send packet to zzz.zzz.zzz.zzz[500]
Apr 29 10:08:25 ns racoon: DEBUG: 1 times of 92 bytes message will be sent to zzz.zzz.zzz.zzz[500]
Apr 29 10:08:25 ns racoon: DEBUG: da04a85b 3a7b04d3 0d06c3a3 ecde2880 08100501 81943678 0000005c fb57aacd 5d82c47d 60ad881c 192bbbfa c13f2ca1 692a1ee1 ac305e03 821edb5c 7c503799 0da7f876 e3373ae5 143f0a45 2
Apr 29 10:08:25 ns racoon: DEBUG: sendto Information notify.
Apr 29 10:08:25 ns racoon: DEBUG: IV freed
Apr 29 10:08:25 ns racoon: DEBUG: received a valid R-U-THERE, ACK sent
Подозреваю что все же не правильно составлен racoon.conf.
Женщины и софт - должны быть бесплатными!
damir_madaga
-
snorlov
- подполковник
- Сообщения: 3929
- Зарегистрирован: 2008-09-04 11:51:25
- Откуда: Санкт-Петербург
Непрочитанное сообщение
snorlov » 2010-04-29 7:58:38
Racoon осуществляет лишь шифрование пакетов между хостами в инете, и то не всех, а лишь указанных, можно всех, но обычно шифруют только тоннель, но в любом случае у тебя должен существовать работающий тоннель, проверь наличие соответствующих gif-интерфейсов и роутинг для них ...
snorlov
-
arkan
- ст. прапорщик
- Сообщения: 559
- Зарегистрирован: 2008-08-03 19:58:13
- Откуда: Новосибирск
-
Контактная информация:
Непрочитанное сообщение
arkan » 2010-04-29 9:21:22
damir_madaga
Там есть какаято фишка мало мне понятная до сих пор что надо не просто перезапустить racoon а именно ребутнуть сервак чтоб все заработало
покрайней мере когда я тунель делал с таким глюком несколько раз столкнулся
arkan
-
damir_madaga
- старшина
- Сообщения: 447
- Зарегистрирован: 2007-10-01 8:13:38
- Откуда: Красноярск
-
Контактная информация:
Непрочитанное сообщение
damir_madaga » 2010-04-29 9:26:38
snorlov писал(а):Racoon осуществляет лишь шифрование пакетов между хостами в инете, и то не всех, а лишь указанных, можно всех, но обычно шифруют только тоннель, но в любом случае у тебя должен существовать работающий тоннель, проверь наличие соответствующих gif-интерфейсов и роутинг для них ...
И GIf и таблицы маршрутов все есть, как со стороны фряхи так и со стороны железки.
Женщины и софт - должны быть бесплатными!
damir_madaga
-
damir_madaga
- старшина
- Сообщения: 447
- Зарегистрирован: 2007-10-01 8:13:38
- Откуда: Красноярск
-
Контактная информация:
Непрочитанное сообщение
damir_madaga » 2010-04-29 9:27:09
arkan писал(а):damir_madaga
Там есть какаято фишка мало мне понятная до сих пор что надо не просто перезапустить racoon а именно ребутнуть сервак чтоб все заработало
покрайней мере когда я тунель делал с таким глюком несколько раз столкнулся
Хорошо! Попробую вечерком ребутну оба девайса.
Женщины и софт - должны быть бесплатными!
damir_madaga
-
arkan
- ст. прапорщик
- Сообщения: 559
- Зарегистрирован: 2008-08-03 19:58:13
- Откуда: Новосибирск
-
Контактная информация:
Непрочитанное сообщение
arkan » 2010-04-29 10:38:13
Ты кстати это учти еще тот момент что если не заработает тунель между точками А - Б
то ты удаленно не сможешь зайти на девайс Б с девайса А так как доступ может блокироваться
покрайней мере я один раз так лопухнулся но благо помогло что филиальная структура большая и пришлось на родной сервер заходить через иногородний чтоб настройки изменить
arkan
-
damir_madaga
- старшина
- Сообщения: 447
- Зарегистрирован: 2007-10-01 8:13:38
- Откуда: Красноярск
-
Контактная информация:
Непрочитанное сообщение
damir_madaga » 2010-04-29 15:52:55
arkan писал(а):Ты кстати это учти еще тот момент что если не заработает тунель между точками А - Б
то ты удаленно не сможешь зайти на девайс Б с девайса А так как доступ может блокироваться
покрайней мере я один раз так лопухнулся но благо помогло что филиальная структура большая и пришлось на родной сервер заходить через иногородний чтоб настройки изменить
Чет не вразумил! Хотя не принципиально, я все равно с третьего места сижу и все это ковыряю!
Женщины и софт - должны быть бесплатными!
damir_madaga
-
damir_madaga
- старшина
- Сообщения: 447
- Зарегистрирован: 2007-10-01 8:13:38
- Откуда: Красноярск
-
Контактная информация:
Непрочитанное сообщение
damir_madaga » 2010-05-01 16:08:27
Не работает зараза! Есть один нюанс, инет раздается модемом DSL, вернее он стоит в режиме Бридж, а дозвон делает сам D-link. Но вроде это не должно повлиять, тем более вроде впн поднимается!
Женщины и софт - должны быть бесплатными!
damir_madaga
