FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Remmi · Непрочитанное сообщение **Remmi** » 2011-03-04 17:52:07

Начало проблемы подробнее выложенно тут Все когфиги там же, но постом ниже.

В кратце то предистория такова....
Тунели работают нормально до перезагрузки роутера (WRV210) потом обмен пакемами между внутренними сетями автоматом поднимается через 20 мин (почему, опишу ниже), что есть крайне неприемлемо. Быстрее поднять тунель получается только выполнением setkey -F.

Вывод команды setkey -DP (сразу при перезагрузке ракона) выглядит следующим образом (вроде все норм):

Код: Выделить всё

# setkey -DP
172.16.1.0/24[any] 192.168.100.0/24[any] any
        in ipsec
        esp/tunnel/Роутер-FreeBSD/use
        spid=2 seq=3 pid=4019
        refcnt=1
192.168.100.0/24[any] 172.16.1.0/24[any] any
        out ipsec
        esp/tunnel/FreeBSD-Роутер/use
        spid=1 seq=1 pid=4019
        refcnt=1

Вывод команды setkey -D выглядит следующим образом (в процессе работы)
обратите внимание на строки содержащие следующие значения -> diff: ХХХХ(s) hard: ХХХХ(s) soft: ХХХХ(s):

Код: Выделить всё

# setkey -D
FreeBSD Роутер
        esp mode=tunnel spi=1424645184(0x54ea5c40) reqid=0(0x00000000)
        E: 3des-cbc  8d287c67 23135b44 3f17b121 d8a90b1d aa962bd9 abc30c83
        A: hmac-sha1  97637db8 3b17d758 e633f282 b87a2d4a debdbcb3
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Mar  4 15:52:55 2011   current: Mar  4 15:53:57 2011
        diff: 62(s)     hard: 120(s)    soft: 96(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=9 pid=3819 refcnt=1
FreeBSD Роутер
        esp mode=tunnel spi=1424645183(0x54ea5c3f) reqid=0(0x00000000)
        E: 3des-cbc  059b4a47 62e9b38d a6cfd1bf 9b88ec0a bf268c37 fa411201
        A: hmac-sha1  36e5710a 17bae8c0 297cf261 24f4c7fc e7b224dd
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Mar  4 15:52:48 2011   current: Mar  4 15:53:57 2011
        diff: 69(s)     hard: 1200(s)   soft: 960(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=8 pid=3819 refcnt=1
FreeBSD Роутер
        esp mode=tunnel spi=1424645181(0x54ea5c3d) reqid=0(0x00000000)
        E: 3des-cbc  74edea41 ab6a189e 3cf830bd 4ba0704a d1190548 7845c81c
        A: hmac-sha1  f6c9ab84 af5a815b 968efb22 45d05e8a 39626492
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Mar  4 15:51:16 2011   current: Mar  4 15:53:57 2011
        diff: 161(s)    hard: 1200(s)   soft: 960(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=7 pid=3819 refcnt=1
FreeBSD Роутер
        esp mode=tunnel spi=2437912404(0x914f9754) reqid=0(0x00000000)
        E: 3des-cbc  db6e9428 d7fa4510 611c8d27 0a212578 08e8cde8 aa22f9e6
        A: hmac-sha1  0d62235d 4fed8287 08db3d84 9aec0754 67b604f8
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Mar  4 15:49:30 2011   current: Mar  4 15:53:57 2011
        diff: 267(s)    hard: 1200(s)   soft: 960(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=6 pid=3819 refcnt=1
FreeBSD Роутер
        esp mode=tunnel spi=2437912402(0x914f9752) reqid=0(0x00000000)
        E: 3des-cbc  99bb2fdf 8884b0bb a9306f69 db5c8e7f af9fc78d d8015f8c
        A: hmac-sha1  8bb1c5c5 5e113d7e 89b001aa 9fb0acab 8b7b6976
        seq=0x00000450 replay=4 flags=0x00000000 state=mature
        created: Mar  4 15:49:17 2011   current: Mar  4 15:53:57 2011
        diff: 280(s)    hard: 1200(s)   soft: 960(s)
        last: Mar  4 15:53:56 2011      hard: 0(s)      soft: 0(s)
        current: 409616(bytes)  hard: 0(bytes)  soft: 0(bytes)
        allocated: 1104 hard: 0 soft: 0
        sadb_seq=5 pid=3819 refcnt=2
Роутер FreeBSD
        esp mode=tunnel spi=178919676(0x0aaa18fc) reqid=0(0x00000000)
        E: 3des-cbc  63dd383f 87f06c56 9d66bf17 a717d942 f0ec34db 876cb008
        A: hmac-sha1  b933ea14 54e9cf42 09b0b3bf 894cf703 456f8f0e
        seq=0x00000192 replay=4 flags=0x00000000 state=mature
        created: Mar  4 15:52:55 2011   current: Mar  4 15:53:57 2011
        diff: 62(s)     hard: 120(s)    soft: 96(s)
        last: Mar  4 15:53:56 2011      hard: 0(s)      soft: 0(s)
        current: 76640(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 402  hard: 0 soft: 0
        sadb_seq=4 pid=3819 refcnt=1
Роутер FreeBSD
        esp mode=tunnel spi=91447869(0x0573623d) reqid=0(0x00000000)
        E: 3des-cbc  5cd0806d d59ab10b 37dfdc48 ef511918 5604703e 42341314
        A: hmac-sha1  39241f73 06c91e5a 6a87145b c3a0e8c2 4d7bebb6
        seq=0x0000000c replay=4 flags=0x00000000 state=mature
        created: Mar  4 15:52:48 2011   current: Mar  4 15:53:57 2011
        diff: 69(s)     hard: 1200(s)   soft: 960(s)
        last: Mar  4 15:52:54 2011      hard: 0(s)      soft: 0(s)
        current: 1070(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 12   hard: 0 soft: 0
        sadb_seq=3 pid=3819 refcnt=1
Роутер FreeBSD
        esp mode=tunnel spi=255158568(0x0f356928) reqid=0(0x00000000)
        E: 3des-cbc  b86e46c3 67454a2f ee70d294 4b4a967d 481c96b5 93944e6f
        A: hmac-sha1  2a41a985 b2dc1513 62334f8e 0dc8cf00 49837fa7
        seq=0x00000006 replay=4 flags=0x00000000 state=mature
        created: Mar  4 15:51:16 2011   current: Mar  4 15:53:57 2011
        diff: 161(s)    hard: 1200(s)   soft: 960(s)
        last: Mar  4 15:51:17 2011      hard: 0(s)      soft: 0(s)
        current: 688(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 6    hard: 0 soft: 0
        sadb_seq=2 pid=3819 refcnt=1
Роутер FreeBSD
        esp mode=tunnel spi=25607630(0x0186bdce) reqid=0(0x00000000)
        E: 3des-cbc  1435a472 c131e996 07a5e4f3 e121c495 2810cb3f f135b074
        A: hmac-sha1  f6870993 8406380b 2ca7715b 49715c95 83e8d313
        seq=0x00000303 replay=4 flags=0x00000000 state=mature
        created: Mar  4 15:49:30 2011   current: Mar  4 15:53:57 2011
        diff: 267(s)    hard: 1200(s)   soft: 960(s)
        last: Mar  4 15:50:07 2011      hard: 0(s)      soft: 0(s)
        current: 80756(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 771  hard: 0 soft: 0
        sadb_seq=1 pid=3819 refcnt=1
Роутер FreeBSD
        esp mode=tunnel spi=167206864(0x09f75fd0) reqid=0(0x00000000)
        E: 3des-cbc  1dc68c04 768c03a7 7930748f ffff16d4 7c578f97 e20a847c
        A: hmac-sha1  63a13759 1c2432e1 00966304 38f8b5dd 9fb4f1bd
        seq=0x00000003 replay=4 flags=0x00000000 state=mature
        created: Mar  4 15:49:17 2011   current: Mar  4 15:53:57 2011
        diff: 280(s)    hard: 1200(s)   soft: 960(s)
        last: Mar  4 15:49:17 2011      hard: 0(s)      soft: 0(s)
        current: 305(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 3    hard: 0 soft: 0
        sadb_seq=0 pid=3819 refcnt=1
# setkey -F
# setkey -D
FreeBSD Роутер
        esp mode=tunnel spi=1424645187(0x54ea5c43) reqid=0(0x00000000)
        E: 3des-cbc  0d1e4238 85fa52e9 feef564d 73570698 449dbe80 11747ca2
        A: hmac-sha1  0220e44c 7a102876 525dcc41 153b848b efdeb91e
        seq=0x00000289 replay=4 flags=0x00000000 state=mature
        created: Mar  4 15:54:36 2011   current: Mar  4 15:55:27 2011
        diff: 51(s)     hard: 120(s)    soft: 96(s)
        last: Mar  4 15:55:27 2011      hard: 0(s)      soft: 0(s)
        current: 335728(bytes)  hard: 0(bytes)  soft: 0(bytes)
        allocated: 649  hard: 0 soft: 0
        sadb_seq=1 pid=3859 refcnt=2
Роутер FreeBSD
        esp mode=tunnel spi=20920141(0x013f374d) reqid=0(0x00000000)
        E: 3des-cbc  ce0f31f3 1212d9b5 a994737b 9a505c1e 42b97980 cbbc46ac
        A: hmac-sha1  fbe4f3f2 3cfaae4f b06e6f6f d1debd71 fe46a4b8
        seq=0x0000025e replay=4 flags=0x00000000 state=mature
        created: Mar  4 15:54:36 2011   current: Mar  4 15:55:27 2011
        diff: 51(s)     hard: 120(s)    soft: 96(s)
        last: Mar  4 15:55:27 2011      hard: 0(s)      soft: 0(s)
        current: 98504(bytes)   hard: 0(bytes)  soft: 0(bytes)
        allocated: 606  hard: 0 soft: 0
        sadb_seq=0 pid=3859 refcnt=1
# setkey -D
FreeBSD Роутер
        esp mode=tunnel spi=1424645189(0x54ea5c45) reqid=0(0x00000000)
        E: 3des-cbc  c4c81fd9 0633d1ea 2fa98dcf bacf37d0 532017c3 206ac0b6
        A: hmac-sha1  5b0f28a2 0b415921 d500445b 871063d7 8e23174e
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Mar  4 15:56:14 2011   current: Mar  4 15:56:21 2011
        diff: 7(s)      hard: 120(s)    soft: 96(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=5 pid=3880 refcnt=1
FreeBSD Роутер
        esp mode=tunnel spi=1424645188(0x54ea5c44) reqid=0(0x00000000)
        E: 3des-cbc  0139f9d8 acf15152 69808c22 03705d1a 4c2c4181 5311b804
        A: hmac-sha1  b3e47d0a dc093ee9 8cdcbfa5 68ca4bc5 66417b21
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Mar  4 15:56:06 2011   current: Mar  4 15:56:21 2011
        diff: 15(s)     hard: 1200(s)   soft: 960(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=4 pid=3880 refcnt=1
FreeBSD Роутер
        esp mode=tunnel spi=1424645187(0x54ea5c43) reqid=0(0x00000000)
        E: 3des-cbc  0d1e4238 85fa52e9 feef564d 73570698 449dbe80 11747ca2
        A: hmac-sha1  0220e44c 7a102876 525dcc41 153b848b efdeb91e
        seq=0x00000452 replay=4 flags=0x00000000 state=dying
        created: Mar  4 15:54:36 2011   current: Mar  4 15:56:21 2011
        diff: 105(s)    hard: 120(s)    soft: 96(s)
        last: Mar  4 15:56:20 2011      hard: 0(s)      soft: 0(s)
        current: 479816(bytes)  hard: 0(bytes)  soft: 0(bytes)
        allocated: 1106 hard: 0 soft: 0
        sadb_seq=3 pid=3880 refcnt=2
Роутер FreeBSD
        esp mode=tunnel spi=171924000(0x0a3f5a20) reqid=0(0x00000000)
        E: 3des-cbc  4e0c22d1 b6626762 116af591 abcef9ec c393d467 e21142bd
        A: hmac-sha1  e8c82713 3b8565d9 de39e218 9fced573 7ec699c7
        seq=0x0000002b replay=4 flags=0x00000000 state=mature
        created: Mar  4 15:56:14 2011   current: Mar  4 15:56:21 2011
        diff: 7(s)      hard: 120(s)    soft: 96(s)
        last: Mar  4 15:56:21 2011      hard: 0(s)      soft: 0(s)
        current: 3819(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 43   hard: 0 soft: 0
        sadb_seq=2 pid=3880 refcnt=1
Роутер FreeBSD
        esp mode=tunnel spi=182112624(0x0adad170) reqid=0(0x00000000)
        E: 3des-cbc  efeccfa0 eb8aad7e d982154a 1512c737 0481fa8e cde6b310
        A: hmac-sha1  56f50dc1 beba8d14 66ed4a5c d932b852 63f3bdde
        seq=0x0000002f replay=4 flags=0x00000000 state=mature
        created: Mar  4 15:56:06 2011   current: Mar  4 15:56:21 2011
        diff: 15(s)     hard: 1200(s)   soft: 960(s)
        last: Mar  4 15:56:14 2011      hard: 0(s)      soft: 0(s)
        current: 3886(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 47   hard: 0 soft: 0
        sadb_seq=1 pid=3880 refcnt=1
Роутер FreeBSD
        esp mode=tunnel spi=20920141(0x013f374d) reqid=0(0x00000000)
        E: 3des-cbc  ce0f31f3 1212d9b5 a994737b 9a505c1e 42b97980 cbbc46ac
        A: hmac-sha1  fbe4f3f2 3cfaae4f b06e6f6f d1debd71 fe46a4b8
        seq=0x000003ec replay=4 flags=0x00000000 state=dying
        created: Mar  4 15:54:36 2011   current: Mar  4 15:56:21 2011
        diff: 105(s)    hard: 120(s)    soft: 96(s)
        last: Mar  4 15:56:06 2011      hard: 0(s)      soft: 0(s)
        current: 157095(bytes)  hard: 0(bytes)  soft: 0(bytes)
        allocated: 1004 hard: 0 soft: 0
        sadb_seq=0 pid=3880 refcnt=1

Теперь собственно вопросы:
1. Почему создаётся такое количество записей для одного тунеля (по идее их должно быть только 2)?.... причем количество записей может быть и больше, но на работу тунеля это не влияет.
2. Почему значение тайминга hard: 120(s) взятое из секции sainfo-> lifetime time 120 sec; файла racoon.conf меняется на значение hard: 1200(s) взятое из настроек роутера (WRV210) это минимальное значение которое позволяет установить роутер.

Мои выводы: проблема крутится вокруг фазы2 формирования тунеля IPSec - но как это поправить ума не приложу. (идея зациклить выполнение команды setkey -F с определённым интервалом отпадает, так как нужно построить 10 тунелей на этих железках)... нужно найти правильное решение проблемы.

шаманство с DPD (вкл, выкл, изменение значений) на даную проблему никак не сказывается.

замечу, что ось ставилась недавно, все остальные службы на ней работают нормально, все порты обновленны на момент написания темы.

Хостинг HostFood.ru · **Хостинг HostFood.ru**

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Alex Keda

а если хост удалённый попинговать?
у меня, помниться, во второго-третего пакета подымались

Remmi · Непрочитанное сообщение **Remmi** » 2011-03-16 18:55:48

Алекс картинка выглядит примерно так:
1. Туннель поднят, пинги бегают куда надо (запущено на постоянной основе).
2. Ребут роутера (примерно 1-2 минуты) и его внешний айпи пингуется нормально.
3. Роутинг между сетями начинает работать через промежуток времени который видно по setkey -D (diff: 15(s) hard: 1200(s) soft: 960(s)) разница по таймингам между diff: и hard: значениями как раз и есть время, через которое поднимается мой туннель.

Мало того я поднял 3 туннеля: один туннель между двумя городами, второй работа - дом, третий работа - офис коллеги
и во всех направлениях одна и та же проблема.

Когда тестировали работу туннелей на фряхе коллеги, то этих проблем не наблюдалось. Ребут роутера и через 2 минуты туннели работают как надо.
После этого я содрал все конфиги с его сервера на свой (с соответствующей правкой), однако это не помогло.
Коллективным разум после этого начал чахнуть.
На текущий момент я устанавливаю тестовый сервер на виртуальной машине, подниму там только айписек и проведу ещё раз тесты.
(моё мнение, что как-то криво работает сам ракон, точнее та его часть, которая отвечает за корректную обработку фаз формирования туннелей, если конечно так можно выразится.... либо как-то криво откомпилилось ядро в чем я сильно сомневаюсь).... вообщем дальше будет.
п.с. если на тестовой машине все заработает то попробую на основной всё с 0 переделать, начиная с ядра и кончая конфигами..... уж больно не хочется поднимать новый сервер ради айписека.

Remmi · Непрочитанное сообщение **Remmi** » 2011-03-16 23:12:34

такс...после настройки чистой фряхи я имею (ядро женерик + поддержка айписека) + настройка сетевых интерфейсов и собственно сам ракон
Диагноз...... ПРОБЛЕМА АНАЛОГИЧНАЯ.... нет слов... копаю дальше.

daggerok · Непрочитанное сообщение **daggerok** » 2011-03-17 0:06:57

конфиги?

daggerok · Непрочитанное сообщение **daggerok** » 2011-03-17 0:17:51

daggerok писал(а):конфиги?

посмотрел.

короч, вместо

Код: Выделить всё

remote  Y.Y.Y.Y {
...
}
sainfo (address 192.168.100.0/24 any address 172.16.1.0/24 any) {
..
}

советую прописать анонимусов, с обеих сторон.
могу кинуть кусок своего рабочего конфига (работает и с freebsd и c cisco и с линуховым детерминаторами):

Код: Выделить всё

remote anonymous {
    exchange_mode main,base;
    lifetime time 86400 sec;
    proposal_check strict;

    proposal {
        encryption_algorithm 3des;
        hash_algorithm sha1;
        authentication_method pre_shared_key;
        dh_group 2;
    }
}

sainfo anonymous {
    pfs_group 2;
    lifetime time 86400 sec;
    encryption_algorithm 3des;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate;
}

ну там только тип шифрования и прочие опции под себя пропиши.
главное лишнего не на прикручивай, сам когда-то долго игрался, причем доступа к детерминаторам небыло, выдали настройки и делай че хочешь... в итоге помогла разумная чистка конфига.

Remmi · Непрочитанное сообщение **Remmi** » 2011-03-17 0:27:31

я завтра утром выложу все что конфигурял на фряхе.....
заодно проэксперементирую с вашим советом... на сегодня у мну уже творческий кризис.

daggerok · Непрочитанное сообщение **daggerok** » 2011-03-17 0:29:54

Remmi писал(а):я завтра утром выложу все что конфигурял на фряхе.....
заодно проэксперементирую с вашим советом... на сегодня у мну уже творческий кризис.

ага, и еще в ipsec.conf попробуй вместо

Код: Выделить всё

any -P in/out ipsec

прописать

Код: Выделить всё

ipencap -P in/out ipsec

хотя это не то.

Remmi · Непрочитанное сообщение **Remmi** » 2011-03-18 0:05:38

Вообщем коллега развернул пару раз фряху (правда ядро он использовал своё + ракон собирал с опциями не по умолчанию)..... и все у него нормально вышло 2 раза.... щас ставлю сам в тойже последовательности что и он..... мдя ктобы мог подумать... вобщем когда закончу эксперементы результаты выложу сюда....

Remmi · Непрочитанное сообщение **Remmi** » 2011-03-18 15:50:27

Проблема оказалась в опциях ракона.
После переустановки ракона со следующими опциями (по умолчанию были включены опции IPV6, NATT, HYBRID)

Код: Выделить всё

 Options for ipsec-tools 0.7.3                     ?
                                                                     ? ?????????????????????????????????????????????????????????????????? ?
                                                                     ? ?[X] DEBUG      enable Debug support                             ? ?
                                                                     ? ?[ ] IPV6       enable IPV6 support                              ? ?
                                                                     ? ?[ ] ADMINPORT  enable Admin port                                ? ?
                                                                     ? ?[ ] STATS      enable Statistics logging function               ? ?
                                                                     ? ?[X] DPD        enable Dead Peer Detection                       ? ?
                                                                     ? ?[ ] NATT       enable NAT-Traversal (kernel-patch required)     ? ?
                                                                     ? ?[ ] NATTF      require NAT-Traversal (fail without kernel-patch)? ?
                                                                     ? ?[X] FRAG       enable IKE fragmentation payload support         ? ?
                                                                     ? ?[ ] HYBRID     enable Hybrid, Xauth and Mode-cfg support        ? ?
                                                                     ? ?[ ] PAM        enable PAM authentication (Xauth server)         ? ?
                                                                     ? ?[ ] RADIUS     enable Radius authentication (Xauth server)      ? ?
                                                                     ? ?[ ] LDAP       enable LDAP authentication (Xauth server)        ? ?
                                                                     ? ?[ ] GSSAPI     enable GSS-API authentication                    ? ?
                                                                     ? ?[ ] SAUNSPEC   enable Unspecified SA mode                       ? ?
                                                                     ? ?[ ] RC5        enable RC5 encryption (patented)                 ? ?

картинка после ребута роутера стала выглядеть таким образом (172.16.1.1 это адрес внутреннего интерфейса роутера):

Код: Выделить всё

Ping  172.16.1.1 - 172.16.1.1:
  
1. 18.03.2011 14:32:11   Reply from 172.16.1.1  bytes=32  time=30ms  TTL=63  ok
2. 18.03.2011 14:32:12   Reply from 172.16.1.1  bytes=32  time=52ms  TTL=63  ok
3. 18.03.2011 14:32:12   Reply from 172.16.1.1  bytes=32  time=81ms  TTL=63  ok
4. 18.03.2011 14:32:13   Reply from 172.16.1.1  bytes=32  time=29ms  TTL=63  ok
5. 18.03.2011 14:32:14   Reply from 172.16.1.1  bytes=32  time=31ms  TTL=63  ok
6. 18.03.2011 14:32:14   Reply from 172.16.1.1  bytes=32  time=29ms  TTL=63  ok
7. 18.03.2011 14:32:15   Reply from 172.16.1.1  bytes=32  time=31ms  TTL=63  ok
8. 18.03.2011 14:32:16   Reply from 172.16.1.1  bytes=32  time=29ms  TTL=63  ok
9. 18.03.2011 14:32:16   Reply from 172.16.1.1  bytes=32  Request  timed  out.
10. 18.03.2011 14:32:17   Reply from 172.16.1.1  bytes=32  time=31ms  TTL=63  ok
11. 18.03.2011 14:32:18   Reply from 172.16.1.1  bytes=32  time=47ms  TTL=63  ok
12. 18.03.2011 14:32:18   Reply from 172.16.1.1  bytes=32  time=30ms  TTL=63  ok
13. 18.03.2011 14:32:19   Reply from 172.16.1.1  bytes=32  time=30ms  TTL=63  ok
14. 18.03.2011 14:32:19   Reply from 172.16.1.1  bytes=32  time=32ms  TTL=63  ok
15. 18.03.2011 14:32:20   Reply from 172.16.1.1  bytes=32  time=30ms  TTL=63  ok
16. 18.03.2011 14:32:21   Reply from 172.16.1.1  bytes=32  time=37ms  TTL=63  ok
17. 18.03.2011 14:32:22   Reply from 172.16.1.1  bytes=32  time=29ms  TTL=63  ok
18. 18.03.2011 14:32:22   Reply from 172.16.1.1  bytes=32  time=40ms  TTL=63  ok
19. 18.03.2011 14:32:23   Reply from 172.16.1.1  bytes=32  time=29ms  TTL=63  ok
20. 18.03.2011 14:32:23   Reply from 172.16.1.1  bytes=32  time=27ms  TTL=63  ok
21. 18.03.2011 14:32:24   Reply from 172.16.1.1  bytes=32  time=37ms  TTL=63  ok
22. 18.03.2011 14:32:25   Reply from 172.16.1.1  bytes=32  time=29ms  TTL=63  ok
23. 18.03.2011 14:32:25   Reply from 172.16.1.1  bytes=32  time=30ms  TTL=63  ok
24. 18.03.2011 14:32:26   Reply from 172.16.1.1  bytes=32  time=29ms  TTL=63  ok
25. 18.03.2011 14:32:27   Reply from 172.16.1.1  bytes=32  time=34ms  TTL=63  ok
26. 18.03.2011 14:32:27   Reply from 172.16.1.1  bytes=32  time=32ms  TTL=63  ok
27. 18.03.2011 14:32:28   Reply from 172.16.1.1  bytes=32  time=29ms  TTL=63  ok
28. 18.03.2011 14:32:29   Reply from 172.16.1.1  bytes=32  time=31ms  TTL=63  ok
29. 18.03.2011 14:32:29   Reply from 172.16.1.1  bytes=32  time=31ms  TTL=63  ok
30. 18.03.2011 14:32:30   Reply from 172.16.1.1  bytes=32  time=31ms  TTL=63  ok
31. 18.03.2011 14:32:30   Reply from 172.16.1.1  bytes=32  time=25ms  TTL=63  ok
32. 18.03.2011 14:32:31   Reply from 172.16.1.1  bytes=32  time=29ms  TTL=63  ok
33. 18.03.2011 14:32:32   Reply from 172.16.1.1  bytes=32  time=34ms  TTL=63  ok
34. 18.03.2011 14:32:32   Reply from 172.16.1.1  bytes=32  time=30ms  TTL=63  ok
35. 18.03.2011 14:32:33   Reply from 172.16.1.1  bytes=32  time=38ms  TTL=63  ok
36. 18.03.2011 14:32:34   Reply from 172.16.1.1  bytes=32  time=28ms  TTL=63  ok
37. 18.03.2011 14:32:34   Reply from 172.16.1.1  bytes=32  time=30ms  TTL=63  ok
38. 18.03.2011 14:32:35   Reply from 172.16.1.1  bytes=32  time=33ms  TTL=63  ok
39. 18.03.2011 14:32:36   Reply from 172.16.1.1  bytes=32  time=30ms  TTL=63  ok
40. 18.03.2011 14:32:36   Reply from 172.16.1.1  bytes=32  Request  timed  out.
41. 18.03.2011 14:32:37   Reply from 172.16.1.1  bytes=32  time=28ms  TTL=63  ok
42. 18.03.2011 14:32:37   Reply from 172.16.1.1  bytes=32  time=29ms  TTL=63  ok
43. 18.03.2011 14:32:38   Reply from 172.16.1.1  bytes=32  Request  timed  out.
44. 18.03.2011 14:32:39   Reply from 172.16.1.1  bytes=32  Request  timed  out.
45. 18.03.2011 14:32:40   Reply from 172.16.1.1  bytes=32  Request  timed  out.
46. 18.03.2011 14:32:41   Reply from 172.16.1.1  bytes=32  Request  timed  out.
47. 18.03.2011 14:32:42   Reply from 172.16.1.1  bytes=32  Request  timed  out.
48. 18.03.2011 14:32:43   Reply from 172.16.1.1  bytes=32  Request  timed  out.
49. 18.03.2011 14:32:44   Reply from 172.16.1.1  bytes=32  Request  timed  out.
50. 18.03.2011 14:32:45   Reply from 172.16.1.1  bytes=32  Request  timed  out.
51. 18.03.2011 14:32:46   Reply from 172.16.1.1  bytes=32  Request  timed  out.
52. 18.03.2011 14:32:47   Reply from 172.16.1.1  bytes=32  Request  timed  out.
53. 18.03.2011 14:32:48   Reply from 172.16.1.1  bytes=32  Request  timed  out.
54. 18.03.2011 14:32:49   Reply from 172.16.1.1  bytes=32  Request  timed  out.
55. 18.03.2011 14:32:50   Reply from 172.16.1.1  bytes=32  Request  timed  out.
56. 18.03.2011 14:32:51   Reply from 172.16.1.1  bytes=32  Request  timed  out.
57. 18.03.2011 14:32:52   Reply from 172.16.1.1  bytes=32  Request  timed  out.
58. 18.03.2011 14:32:53   Reply from 172.16.1.1  bytes=32  Request  timed  out.
59. 18.03.2011 14:32:54   Reply from 172.16.1.1  bytes=32  Request  timed  out.
60. 18.03.2011 14:32:55   Reply from 172.16.1.1  bytes=32  Request  timed  out.
61. 18.03.2011 14:32:56   Reply from 172.16.1.1  bytes=32  Request  timed  out.
62. 18.03.2011 14:32:57   Reply from 172.16.1.1  bytes=32  Request  timed  out.
63. 18.03.2011 14:32:58   Reply from 172.16.1.1  bytes=32  Request  timed  out.
64. 18.03.2011 14:32:59   Reply from 172.16.1.1  bytes=32  Request  timed  out.
65. 18.03.2011 14:33:00   Reply from 172.16.1.1  bytes=32  Request  timed  out.
66. 18.03.2011 14:33:01   Reply from 172.16.1.1  bytes=32  Request  timed  out.
67. 18.03.2011 14:33:03   Reply from 172.16.1.1  bytes=32  Request  timed  out.
68. 18.03.2011 14:33:04   Reply from 172.16.1.1  bytes=32  Request  timed  out.
69. 18.03.2011 14:33:05   Reply from 172.16.1.1  bytes=32  Request  timed  out.
70. 18.03.2011 14:33:06   Reply from 172.16.1.1  bytes=32  Request  timed  out.
71. 18.03.2011 14:33:07   Reply from 172.16.1.1  bytes=32  Request  timed  out.
72. 18.03.2011 14:33:08   Reply from 172.16.1.1  bytes=32  Request  timed  out.
73. 18.03.2011 14:33:09   Reply from 172.16.1.1  bytes=32  Request  timed  out.
74. 18.03.2011 14:33:10   Reply from 172.16.1.1  bytes=32  Request  timed  out.
75. 18.03.2011 14:33:11   Reply from 172.16.1.1  bytes=32  Request  timed  out.
76. 18.03.2011 14:33:12   Reply from 172.16.1.1  bytes=32  Request  timed  out.
77. 18.03.2011 14:33:13   Reply from 172.16.1.1  bytes=32  Request  timed  out.
78. 18.03.2011 14:33:14   Reply from 172.16.1.1  bytes=32  Request  timed  out.
79. 18.03.2011 14:33:15   Reply from 172.16.1.1  bytes=32  Request  timed  out.
80. 18.03.2011 14:33:16   Reply from 172.16.1.1  bytes=32  Request  timed  out.
81. 18.03.2011 14:33:17   Reply from 172.16.1.1  bytes=32  Request  timed  out.
82. 18.03.2011 14:33:18   Reply from 172.16.1.1  bytes=32  Request  timed  out.
83. 18.03.2011 14:33:19   Reply from 172.16.1.1  bytes=32  Request  timed  out.
84. 18.03.2011 14:33:20   Reply from 172.16.1.1  bytes=32  Request  timed  out.
85. 18.03.2011 14:33:21   Reply from 172.16.1.1  bytes=32  Request  timed  out.
86. 18.03.2011 14:33:22   Reply from 172.16.1.1  bytes=32  Request  timed  out.
87. 18.03.2011 14:33:23   Reply from 172.16.1.1  bytes=32  Request  timed  out.
88. 18.03.2011 14:33:24   Reply from 172.16.1.1  bytes=32  Request  timed  out.
89. 18.03.2011 14:33:25   Reply from 172.16.1.1  bytes=32  Request  timed  out.
90. 18.03.2011 14:33:26   Reply from 172.16.1.1  bytes=32  Request  timed  out.
91. 18.03.2011 14:33:27   Reply from 172.16.1.1  bytes=32  Request  timed  out.
92. 18.03.2011 14:33:28   Reply from 172.16.1.1  bytes=32  Request  timed  out.
93. 18.03.2011 14:33:29   Reply from 172.16.1.1  bytes=32  Request  timed  out.
94. 18.03.2011 14:33:30   Reply from 172.16.1.1  bytes=32  Request  timed  out.
95. 18.03.2011 14:33:31   Reply from 172.16.1.1  bytes=32  Request  timed  out.
96. 18.03.2011 14:33:32   Reply from 172.16.1.1  bytes=32  Request  timed  out.
97. 18.03.2011 14:33:33   Reply from 172.16.1.1  bytes=32  Request  timed  out.
98. 18.03.2011 14:33:34   Reply from 172.16.1.1  bytes=32  Request  timed  out.
99. 18.03.2011 14:33:35   Reply from 172.16.1.1  bytes=32  Request  timed  out.
100. 18.03.2011 14:33:35   Reply from 172.16.1.1  bytes=32  time=57ms  TTL=63  ok
101. 18.03.2011 14:33:36   Reply from 172.16.1.1  bytes=32  time=30ms  TTL=63  ok
102. 18.03.2011 14:33:37   Reply from 172.16.1.1  bytes=32  time=39ms  TTL=63  ok
103. 18.03.2011 14:33:38   Reply from 172.16.1.1  bytes=32  time=29ms  TTL=63  ok
104. 18.03.2011 14:33:38   Reply from 172.16.1.1  bytes=32  time=29ms  TTL=63  ok
105. 18.03.2011 14:33:39   Reply from 172.16.1.1  bytes=32  time=28ms  TTL=63  ok
106. 18.03.2011 14:33:40   Reply from 172.16.1.1  bytes=32  time=29ms  TTL=63  ok

ВОТ И ВСЕ..... большое спасибо всем, кто отозвался на данную проблему, я уже и не надеялся на помощь.
надеюсь вам пригодятся то что тут выложено.
(если есть необходимость последовательного описания всех шагов по настройке сервера (включая все конфиги).... маякните сюда в тему)

daggerok

ip6 то зачем тебе?
лично у меня вот такие опции, и все чудесно:

Код: Выделить всё

# cat /var/db/ports/ipsec-tools/options 
# This file is auto-generated by 'make config'.
# No user-servicable parts inside!
# Options for ipsec-tools-0.7.3
_OPTIONS_READ=ipsec-tools-0.7.3
WITH_DEBUG=true
WITHOUT_IPV6=true
WITHOUT_ADMINPORT=true
WITHOUT_STATS=true
WITH_DPD=true
WITHOUT_NATT=true
WITHOUT_NATTF=true
WITH_FRAG=true
WITHOUT_HYBRID=true
WITHOUT_PAM=true
WITHOUT_RADIUS=true
WITHOUT_LDAP=true
WITHOUT_GSSAPI=true
WITHOUT_SAUNSPEC=true
WITHOUT_RC5=true
WITHOUT_IDEA=true

Remmi · Непрочитанное сообщение **Remmi** » 2011-03-25 20:03:44

ну айпи в6 с снимал и при первой конфигурации..... ита конятно что это ненужно... на тестах я ставил все поумолчанию..... только что столкнулся с подвисанием ракона... буду копаться

Код: Выделить всё

# /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log
Foreground mode.
2011-03-25 18:58:02: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
2011-03-25 18:58:02: INFO: @(#)This product linked OpenSSL 0.9.8n 24 Mar 2010 (http://www.openssl.org/)
2011-03-25 18:58:02: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2011-03-25 18:58:02: INFO: -------------[500] used as isakmp port (fd=4)
2011-03-25 18:58:08: ERROR: failed to get sainfo.
2011-03-25 18:58:19: ERROR: failed to get sainfo.
^C2011-03-25 18:58:19: INFO: caught signal 2
2011-03-25 18:58:20: INFO: racoon shutdown
# /usr/local/sbin/racoon -F -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log
Foreground mode.
2011-03-25 18:59:58: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
2011-03-25 18:59:58: INFO: @(#)This product linked OpenSSL 0.9.8n 24 Mar 2010 (http://www.openssl.org/)
2011-03-25 18:59:58: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2011-03-25 18:59:58: INFO: -------------------[500] used as isakmp port (fd=4)
2011-03-25 19:00:04: ERROR: failed to get sainfo.
2011-03-25 19:00:14: ERROR: failed to get sainfo.
2011-03-25 19:00:26: ERROR: failed to get sainfo.
2011-03-25 19:00:35: ERROR: failed to get sainfo.
^C2011-03-25 19:00:44: INFO: caught signal 2
2011-03-25 19:00:45: INFO: racoon shutdown

Remmi · Непрочитанное сообщение **Remmi** » 2011-03-25 20:46:23

Решилось перезагрузкой роутера.... странный глюк... роутер админился нормально.

daggerok

Remmi писал(а):Решилось перезагрузкой роутера.... странный глюк... роутер админился нормально.

да, к сожалению ракоон с пол пинка не заводится и почему-то нужно перегружать сервер...
думаю это связано либо с построением тунелей, которые почему-то без перезагрузки не хотят подниматься, либо из-за шифрования
очень не удобно.

Remmi · Непрочитанное сообщение **Remmi** » 2011-03-29 13:36:39

мне тут поподалась информация о ракон2..... если этот не допилю до конца, то попробую на нём...
но блин ракон не один же я использую..... так что больше грешу на кривость своих мозгов всовокупности с руками + покупка дешевого железячного IPSec клиента. (помойму дешевле WRV210 клиентов нет, если не считать какихто прошивок от скажем ддврт... но в эту железку альтернативных точно не будет так как процы реалтек ддврт не поддерживает)....

Ещё я заметил, что если в секции формирования фазы1 тунеля значение лайф тайм будет больше, чем лаф тайм в секции формирования фазы2, то по истечении этих таймингов тунель падал и не поднимался, а команда setkey -D сообщала от отсутствующих политиках. Перезагрузка ракона или всего сервера не помогала до тех пор, пока не ребутнул (именно ребут... так как передёргивание сесии было без результативным) удалённый узел (так было несколько раз).
Стоит также отметить, что при этом между сетями обмена трафиком небыло. Перед всеми этими манёврами я пускал пинги в удалённую сеть пакетов 10 в надежде, что тунель поднимется самостоятельно даже если я потеряю пару пакетов.
Требует внимания и функция DPD... сам не видел, но коллега который помогал с багами, посоветовал не включать функцию DPD на роутере, так как были какието глюки. Вообщем это только совет, но я им воспользовался.... когда все устаканится окончательно я этому уделю отдельное внимание.

По состоянию на текущий момент все работает стабильно (пока только 1 из 10 запланированых тунелей работает).... жду выходных. Интересно тунель отвалится или нет? и если отвалится, сможет ли он поднятся без моего участия.
Если все отработает нормально, то с 1 числа буду запускать в работу все роутеры.

daggerok

незнаю в чем там именно у вас проблема, но явно что не в ракооне

daggerok

daggerok писал(а):незнаю в чем там именно у вас проблема, но явно что не в ракооне

я уже не на одном сервере строил ipsec именно в связке freebsd7/8+ipsec-tools
и dead peer detection я бы всетаки посоветовал Вам оставить включенным

Remmi · Непрочитанное сообщение **Remmi** » 2011-03-29 14:53:55

daggerok писал(а):незнаю в чем там именно у вас проблема, но явно что не в ракооне

Ну проблемы и их решение это все нун читать выше... просто нужно хорошо вылизать конфиги ракона под роутер.

daggerok писал(а):и dead peer detection я бы всетаки посоветовал Вам оставить включенным

с этим согласен... на роутере включил

forum.lissyara.su

FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Услуги хостинговой компании Host-Food.ru

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)

Re: FreeBSD<->IPSec<->Роутер (долго поднимается тунель)