ipsec-racon

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

ipsec-racon

Непрочитанное сообщение Spook1680 » 2010-12-29 22:11:51

С наступающим всех.
Плиз подскажите читал доку.
Правда что на 7.3 есть патч и можно ipsec-racon настроить в работу через NAT, необходимо связку сделать между двумя серверами фрибс. (верс 7.3)
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
unix-admin
ст. сержант
Сообщения: 324
Зарегистрирован: 2010-11-26 12:43:04
Откуда: Cornucopia

Re: ipsec-racon

Непрочитанное сообщение unix-admin » 2010-12-30 9:51:39

Что у вас конкретно не получается?

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: ipsec-racon

Непрочитанное сообщение Spook1680 » 2010-12-30 12:50:38

unix-admin писал(а):Что у вас конкретно не получается?
Если конкретно то пытался подцепить два офиса через openvpn
Но клиент Freeb 7.3 openvpn 2.1.4 так и неполучилось установить в филиале.
Разработчика сбросил баг, обещали проверить. 8)
Ну и сразу напрашивается вопрос! Если не выходит с OpenVPN/ Чем его можно заменить.
В главном офисе у меня фря 7.3 openvpn 2.1.3 все пашет. Директори из дома вых) в рабочую сеть.
Если отбросить OPENVPN на чем еще можно организовать тунель между офисом и филиалом?
VPND ???? но говорят не очень надежно и не секьюрно. :unknown: Пингвин сказал .
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
unix-admin
ст. сержант
Сообщения: 324
Зарегистрирован: 2010-11-26 12:43:04
Откуда: Cornucopia

Re: ipsec-racon

Непрочитанное сообщение unix-admin » 2010-12-30 14:16:59

Но клиент Freeb 7.3 openvpn 2.1.4 так и неполучилось установить в филиале.
покажите что не получалось?

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: ipsec-racon

Непрочитанное сообщение Spook1680 » 2010-12-30 16:36:20

unix-admin писал(а):
Но клиент Freeb 7.3 openvpn 2.1.4 так и неполучилось установить в филиале.
покажите что не получалось?
Вот эта дрянь валится))
Tue Dec 28 04:56:34 2010 TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity)
Tue Dec 28 04:56:34 2010 TLS Error: TLS handshake failed
Tue Dec 28 04:56:34 2010 TCP/UDP: Closing socket
Tue Dec 28 04:56:34 2010 Closing TUN/TAP interface
Tue Dec 28 04:56:34 2010 echo "clt:${signal}" >&3 ; : # null 1500 1541 init
Tue Dec 28 04:56:34 2010 SIGTERM[soft,tls-error] received, process exiting
FAIL: t_cltsrv.sh
====================================================
1 of 2 tests failed
Please report to openvpn-users@lists.sourceforge.net
====================================================
*** Error code 1

Stop in /usr/ports/security/openvpn20/work/openvpn-2.0.9.
*** Error code 1
Обновление портов делал не помогло
Использовал Portupgrade
lzo2-2.03_2 < needs updating (port has 2.04)
openssl-0.9.8m < needs updating (port has 1.0.0_4)
Непомогло осталась та же ошибка.
Ншел с сылку на таку проблему в мане
Troubleshooting

If the ping failed or the OpenVPN client initialization failed to complete, here is a checklist of common symptoms and their solutions:

*

You get the error message: TLS Error: TLS key negotiation failed to occur within 60 seconds (check your network connectivity). This error indicates that the client was unable to establish a network connection with the server.

Solutions:
o Make sure the client is using the correct hostname/IP address and port number which will allow it to reach the OpenVPN server.
o If the OpenVPN server machine is a single-NIC box inside a protected LAN, make sure you are using a correct port forward rule on the server's gateway firewall. For example, suppose your OpenVPN box is at 192.168.4.4 inside the firewall, listening for client connections on UDP port 1194. The NAT gateway servicing the 192.168.4.x subnet should have a port forward rule that says forward UDP port 1194 from my public IP address to 192.168.4.4.
o Open up the server's firewall to allow incoming connections to UDP port 1194 (or whatever TCP/UDP port you have configured in the server config file).

*

You get the error message: Initialization Sequence Completed with errors -- This error can occur on Windows if (a) You don't have the DHCP client service running, or (b) You are using certain third-party personal firewalls on XP SP2.

Solution: Start the DHCP client server and make sure that you are using a personal firewall which is known to work correctly on XP SP2.
*

You get the Initialization Sequence Completed message but the ping test fails -- This usually indicates that a firewall on either server or client is blocking VPN network traffic by filtering on the TUN/TAP interface.

Solution: Disable the client firewall (if one exists) from filtering the TUN/TAP interface on the client. For example on Windows XP SP2, you can do this by going to Windows Security Center -> Windows Firewall -> Advanced and unchecking the box which corresponds to the TAP-Win32 adapter (disabling the client firewall from filtering the TUN/TAP adapter is generally reasonable from a security perspective, as you are essentially telling the firewall not to block authenticated VPN traffic). Also make sure that the TUN/TAP interface on the server is not being filtered by a firewall (having said that, note that selective firewalling of the TUN/TAP interface on the server side can confer certain security benefits. See the access policies section below )
*

The connection stalls on startup when using a proto udp configuration, the server log file shows this line:

TLS: Initial packet from x.x.x.x:x, sid=xxxxxxxx xxxxxxxx

however the client log does not show an equivalent line.

Solution: You have a one-way connection from client to server. The server to client direction is blocked by a firewall, usually on the client side. The firewall can either be (a) a personal software firewall running on the client, or (b) the NAT router gateway for the client. Modify the firewall to allow returning UDP packets from the server to reach the client.

See the FAQ for additional troubleshooting information.
Но проблема не устранилась.

Если pkg_add -r openvpn собираю не из порта а из пакета. То собирается (почему-то очень быстро))_)
Появляется сразу /usr/local/etc/rc.d/openvpn
и директория /usr/local/shara/openvpn/easy-rsa/ (точно сейчас не вспомню но вроде такой путь).
Интерфейс tun не поднимается ./openvpn start
И ничего в процессах его нет.
/var/log/messages/
60]: Options error: Unrecognized option or missing parameter(s) in /usr/local/etc/openvpn/client.conf:5: client4 (2.1.1)
client.conf

Код: Выделить всё

dev tun
proto tcp
remote 78.... IPservera
port 1194
client
client-to-client
ca /usr/local/etc/openvpn/keys/ca.crt
cert /usr/local/etc/openvpn/keys/client.crt
key /usr/local/etc/openvpn/keys/client.key
tls-client
tls-auth /usr/local/etc/openvpn/keys/ta.key 
cipher BF-CBC
ns-cert-type server
comp-lzo
persist-key
persist-tun
log /var/log/openvpn/openvpn.log
file "client.conf", 18 lines

rc.conf

Код: Выделить всё

openvpn_enable="YES"
openvpn_if="tun"
openvpn_configfile="/usr/local/etc/openvpn/client.conf"
openvpn_dir="/usr/local/etc/openvpn"

"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "

Аватара пользователя
unix-admin
ст. сержант
Сообщения: 324
Зарегистрирован: 2010-11-26 12:43:04
Откуда: Cornucopia

Re: ipsec-racon

Непрочитанное сообщение unix-admin » 2010-12-30 17:52:47

* Make sure the client is using the correct hostname/IP address and port number which will allow it to reach the OpenVPN server.
* If the OpenVPN server machine is a single-NIC box inside a protected LAN, make sure you are using a correct port forward rule on the server's gateway firewall. For example, suppose your OpenVPN box is at 192.168.4.4 inside the firewall, listening for client connections on UDP port 1194. The NAT gateway servicing the 192.168.4.x subnet should have a port forward rule that says forward UDP port 1194 from my public IP address to 192.168.4.4.
* Open up the server's firewall to allow incoming connections to UDP port 1194 (or whatever TCP/UDP port you have configured in the server config file).
А это сделано?

Аватара пользователя
Spook1680
лейтенант
Сообщения: 989
Зарегистрирован: 2009-07-28 12:26:09

Re: ipsec-racon

Непрочитанное сообщение Spook1680 » 2010-12-30 19:08:17

unix-admin писал(а):
* Make sure the client is using the correct hostname/IP address and port number which will allow it to reach the OpenVPN server.
* If the OpenVPN server machine is a single-NIC box inside a protected LAN, make sure you are using a correct port forward rule on the server's gateway firewall. For example, suppose your OpenVPN box is at 192.168.4.4 inside the firewall, listening for client connections on UDP port 1194. The NAT gateway servicing the 192.168.4.x subnet should have a port forward rule that says forward UDP port 1194 from my public IP address to 192.168.4.4.
* Open up the server's firewall to allow incoming connections to UDP port 1194 (or whatever TCP/UDP port you have configured in the server config file).
А это сделано?
На клиенте сделано

Код: Выделить всё

00112   0     0 allow ip from any to any via tun0
00114   0     0 allow log logamount 100 tcp from any to IP dst-port 1194 in via fxp0
00115   0     0 allow ip from 10.10.10.0/24 to 192.168.5.0/24 out via stge0
00116   0     0 allow ip from 192.168.5.0/24 to 10.10.10.0/24 in via stge0
На сервере то же только подседка 192.168.0.0/24
"Гента вообще форкLFS в свою очередь мутант Скалвари
которая BSD с ядром Линя BSD - мутировал-AT&T UNIX
а там был UNICS - MULTICS, счёты, глиняные таблички, палочки,
большой взрыв, сингулярность, пиз...ц. Вывод: RedHat использует пиз..ц. "