IPSec FreeBSD 6.2 <-> D-Link DI-804HV

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
lexy
сержант
Сообщения: 288
Зарегистрирован: 2006-07-21 9:54:44
Откуда: Волхов, ЛО
Контактная информация:

IPSec FreeBSD 6.2 <-> D-Link DI-804HV

Непрочитанное сообщение lexy » 2009-01-28 10:46:55

Расклад:
роутер в офисе на FreeBSD 6.2:
pf, mpd5, racoon2

Код: Выделить всё

KERNCONF:
device          pf
device          pflog
device          pfsync
options         ALTQ

device          gre

options         NETGRAPH
options         NETGRAPH_ETHER
options         NETGRAPH_SOCKET
options         NETGRAPH_TEE
options         NETGRAPH_MPPC_ENCRYPTION
options         NETGRAPH_MPPC_COMPRESSION
options         NETGRAPH_BPF
options         NETGRAPH_IFACE
options         NETGRAPH_KSOCKET
options         NETGRAPH_PPP
options         NETGRAPH_PPTPGRE
options         NETGRAPH_TCPMSS
options         NETGRAPH_VJC
options         NETGRAPH_ONE2MANY
options         NETGRAPH_RFC1490
options         NETGRAPH_TEE
options         NETGRAPH_TTY
options         NETGRAPH_UI

options IPSEC
options IPSEC_ESP
options IPSEC_DEBUG

device crypto
в филиале: D-Link DI-804HV, подключается по PPTP к шлюзу, это без проблем, длинк не пускает во внутреннюю сеть филиала не под каким предлогом, т.к. считает сеть офиса тырнетом. Пробовал создавать обратное подключение через mpd - сетки пингуются но при попытке создать RDPсоединение (или любое другое TCP) мрут оба PPTP: с выводом в dmesg -a

Код: Выделить всё

Jan 28 10:28:31 router kernel: ng_mppc_decompress: too many (3959) packets dropped, disabling node 0xc19bc500!
Jan 28 10:28:42 router routed[728]: Send sendto(ng0, 10.10.0.1.520): No buffer space available
настроил подключение по IPSec по этой статье: http://www.reid.ru/freebsd/?p=769
не помогло:

Код: Выделить всё

2009-01-28 10:35:36 [INFO]: ikev1.c:1492:ikev1_post_acquire(): IPsec-SA request for 192.168.4.80 queued since no phase1 found
2009-01-28 10:35:36 [INFO]: ikev1.c:911:isakmp_ph1begin_i(): initiate new phase 1 negotiation: 192.168.4.1[500]<=>192.168.4.80[500]
2009-01-28 10:35:36 [INFO]: ikev1.c:916:isakmp_ph1begin_i(): begin Identity Protection mode.
2009-01-28 10:36:07 [INTERNAL_ERR]: ikev1.c:1535:isakmp_chkph1there(): phase2 negotiation failed due to time up waiting for phase1. ESP 192.168.4.80[0]->192.168.4.1[0]
2009-01-28 10:36:07 [INFO]: ikev1.c:1540:isakmp_chkph1there(): delete phase 2 handler.
настройки тунеля в racoon2:

Код: Выделить всё

#racoon.conf
interface
{
        spmd {
                unix "/var/run/racoon2/spmif";
        };
        spmd_password "/usr/local/etc/racoon2/psk/spmd.psk";

        ike {
                192.168.4.1 port 500;
        };
};

# resolver info
resolver
{
        resolver off;
};
default
{
        remote {
                acceptable_kmp { ikev1; };
                ikev1 {
                        logmode normal;
                        kmp_sa_lifetime_time 3600 sec;
                        kmp_sa_lifetime_byte infinite;
                        interval_to_send 10 sec;
                        times_per_send 1;
                        ipsec_sa_nego_time_limit 40 sec;
                        kmp_enc_alg { aes128_cbc; 3des_cbc; };
                        kmp_hash_alg { sha1; md5; };
                        kmp_dh_group { modp3072; modp2048; modp1024; };
                        kmp_auth_method { psk; };
                        random_pad_content on;
                        # max_padlen 50 bytes;
                };
        policy {
                ipsec_mode transport;
                ipsec_level require;
        };

        ipsec {
                ipsec_sa_lifetime_time infinite;
                ipsec_sa_lifetime_byte infinite;
        };

        sa {
                esp_enc_alg { aes128_cbc; 3des_cbc; };
                esp_auth_alg { hmac_sha1; hmac_md5; };
        };
};
ipsec ipsec_ah_esp {
        ipsec_sa_lifetime_time 28800 sec;
        sa_index { ah_01; esp_01; };
};
ipsec ipsec_esp {
        ipsec_sa_lifetime_time 28800 sec;
        sa_index esp_01;
};

sa ah_01 {
        sa_protocol ah;
        ah_auth_alg { hmac_sha1; hmac_md5; };
};
sa esp_01 {
        sa_protocol esp;
        esp_enc_alg { aes128_cbc; 3des_cbc; };
        esp_auth_alg { hmac_sha1; hmac_md5; };
};
remote office3 { # второе правило, для соединения с роутером
 acceptable_kmp { ikev1; }; # тип протокола
  ikev1 {
    my_id ipaddr  192.168.4.1; # мой внешний IP адрес
    peers_id ipaddr 192.168.4.80; # внешний IP адрес роутера
    peers_ipaddr 192.168.4.80 port 500; # внешний IP адрес и порт роутера
    kmp_enc_alg { aes192_cbc; aes128_cbc; 3des_cbc; };
    kmp_hash_alg { sha1; };
    kmp_dh_group { modp2048;  modp1536; };
    ## Use Preshared Key
    kmp_auth_method { psk; };
    pre_shared_key /usr/local/etc/racoon2/psk/test.psk; # путь к вашему ключу
  };
};
##########
#селекторы
##########
selector office3_out {
  direction outbound;
  src 192.168.0.0/22; # сеть местного офиса
  dst 10.0.1.0/24; # сеть удаленного офиса
  policy_index office3; # имя политики
};
selector office3_in {
  direction inbound;
  dst 192.168.0.0/22; # сеть местного офиса
  src 10.0.1.1/24; # сеть удаленного офиса
  policy_index office3; # имя политики
};
#########
#политика
#########
policy office3 {
  action auto_ipsec;
  remote_index office3; # имя правила
  ipsec_mode tunnel;
  ipsec_index { ipsec_esp; };
  ipsec_level require;
  peers_sa_ipaddr 192.168.4.80; # внешний IP адрес роутера
  my_sa_ipaddr 192.168.4.1; # мой внешний IP адрес
};
тема для меня новая, поэтому мог что-то и пропустить....
Последний раз редактировалось lexy 2009-01-28 11:53:26, всего редактировалось 1 раз.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
schizoid
подполковник
Сообщения: 3228
Зарегистрирован: 2007-03-03 17:32:31
Откуда: Украина, Чернигов
Контактная информация:

Re: IPSec FreeBSD 6.2 <-> D-Link DI-804HV

Непрочитанное сообщение schizoid » 2009-01-28 10:50:37

сам не пробовал...но тут был? http://dlink.ru/ru/faq/92/506.html
ну и еще http://dlink.ru/ru/faq/92/
ядерный взрыв...смертельно красиво...жаль, что не вечно...

Аватара пользователя
lexy
сержант
Сообщения: 288
Зарегистрирован: 2006-07-21 9:54:44
Откуда: Волхов, ЛО
Контактная информация:

Re: IPSec FreeBSD 6.2 <-> D-Link DI-804HV

Непрочитанное сообщение lexy » 2009-01-28 11:10:08

эти статейки на длинке смотрел, ничего не объяснило :cz2:

kegf14
проходил мимо

Re: IPSec FreeBSD 6.2 <-> D-Link DI-804HV

Непрочитанное сообщение kegf14 » 2009-01-28 11:31:44

lexy писал(а):настройки тунеля в racoon2:

Код: Выделить всё

#racoon.conf
...
##########
#селекторы
##########
selector office3_out {
  direction outbound;
  src 192.168.0.0/22; # сеть местного офиса
  dst 10.0.1.0/24; # сеть удаленного офиса
  policy_index office3; # имя политики
};
selector office3_in {
  direction inbound;
  dst 192.168.0.0/22; # сеть местного офиса
  src 10.0.1.1/24; # сеть удаленного офиса
  policy_index office3; # имя политики
};
...
У тебя сети пересекаются.
lexy писал(а):настройки тунеля в racoon2:

Код: Выделить всё

#########
#политика
#########
policy office3 {
  action auto_ipsec;
  remote_index office3; # имя правила
  ipsec_mode tunnel;
  ipsec_index { ipsec_esp; };
  ipsec_level require;
  peers_sa_ipaddr 192.168.4.80; # внешний IP адрес роутера
  my_sa_ipaddr 192.168.4.1; # мой внешний IP адрес
  ipsec_mode transport;
};
тема для меня новая, поэтому мог что-то и пропустить....
Так какой режим ты используешь? Туннельный или транспортный?
Насчет racoon2 <-> DLink 804 пиши на kegf@jabber.org либо на ilgiz [at] reid.ru

Аватара пользователя
lexy
сержант
Сообщения: 288
Зарегистрирован: 2006-07-21 9:54:44
Откуда: Волхов, ЛО
Контактная информация:

Re: IPSec FreeBSD 6.2 <-> D-Link DI-804HV

Непрочитанное сообщение lexy » 2009-01-28 11:52:42

Так какой режим ты используешь? Туннельный или транспортный?
Насчет racoon2 <-> DLink 804 пиши на kegf@jabber.org либо на ilgiz [at] reid.ru
сорри, чистил от коментов реальный конфиг, удалил диез, а строчку оставил....
режим - тунель

Cpt. Rymek
проходил мимо
Сообщения: 1
Зарегистрирован: 2009-04-07 17:57:52

Re: IPSec FreeBSD 6.2 <-> D-Link DI-804HV

Непрочитанное сообщение Cpt. Rymek » 2009-07-03 14:44:45

Не хочу показаться некропостером, но жаль что топикстартер не отписался о результатах...
Я сейчас занимаюсь такой же связкой и в некоторых местах есть туннель - нет пингов, в других местах даже туннеля нет...
грешу на PF - но доказать не могу.

apanyovin_1
проходил мимо

Re: IPSec FreeBSD 6.2 <-> D-Link DI-804HV

Непрочитанное сообщение apanyovin_1 » 2011-04-14 7:54:36

вопрос оживает:)


связка длинк 804 + бсд

Apr 14 08:45:39 ns iked: [PROTO_ERR]: ikev1.c:1016:isakmp_ph1begin_r(): failed to process packet.
Apr 14 08:45:44 ns iked: [PROTO_ERR]: ipsec_doi.c:2029:check_attr_isakmp(): invalied encryption algorithm=1.
Apr 14 08:45:44 ns iked: [PROTO_ERR]: ipsec_doi.c:1357:get_proppair(): no Proposal found.
Apr 14 08:45:44 ns iked: [PROTO_ERR]: isakmp_ident.c:897:ident_r1recv(): 0:? - 213.129.114.142[500]:0x0:failed to get valid proposal.

скорее всего ошибся в настройках в длинке, но где не пойму

ashim
проходил мимо
Сообщения: 9
Зарегистрирован: 2008-11-27 20:05:43

Re: IPSec FreeBSD 6.2 <-> D-Link DI-804HV

Непрочитанное сообщение ashim » 2011-06-13 22:56:10

в тутошних конфах DH парамы слишком большие для девайсов, оно обычно modp_7/чего-то там вроде 68/ либо modp_1024
Настраивал на dlink и watchguard
А по логам оно тупо не может на первой фазе подобрать одинаковые алгоритмы