ipsec
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2007-02-01 17:07:06
ipsec
Помогите, плз?
Настраивал ipsec по статье http://www.lissyara.su/?id=1050.
могу пинговать с внутреннего ип шлюза1 (192.168.45.1) внутренний ип шлюза2 (192.168.1.5) и наоборот.
Но дальше ничего пингануть не получается
Пишет:
ping 192.168.45.10
PING 192.168.45.10 (192.168.45.10): 56 data bytes
2007-02-01 16:47:53: INFO: IPsec-SA expired: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=49584892(0x2f49afc)
2007-02-01 16:47:53: INFO: IPsec-SA expired: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=86856830(0x52d547e)
2007-02-01 16:47:54: INFO: respond new phase 2 negotiation: y.y.y.y[0]<=>x.x.x.x[0]
2007-02-01 16:47:54: INFO: IPsec-SA established: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=122535306(0x74dbd8a)
2007-02-01 16:47:54: INFO: IPsec-SA established: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=70123285(0x42dff15)
2007-02-01 16:48:16: INFO: ISAKMP-SA expired y.y.y.y[500]-x.x.x.x[500] spi:fdfba51c90cb36b0:b346592c8ee704d8
2007-02-01 16:48:17: INFO: ISAKMP-SA deleted y.y.y.y[500]-x.x.x.x[500] spi:fdfba51c90cb36b0:b346592c8ee704d8
2007-02-01 16:49:30: INFO: respond new phase 1 negotiation: y.y.y.y[500]<=>x.x.x.x[500]
2007-02-01 16:49:30: INFO: begin Aggressive mode.
2007-02-01 16:49:30: INFO: received Vendor ID: DPD
2007-02-01 16:49:31: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
2007-02-01 16:49:31: INFO: ISAKMP-SA established y.y.y.y[500]-x.x.x.x[500] spi:829d1900674b782c:790b804e43194abc
2007-02-01 16:49:31: INFO: IPsec-SA expired: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=70123285(0x42dff15)
2007-02-01 16:49:31: INFO: IPsec-SA expired: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=122535306(0x74dbd8a)
2007-02-01 16:49:32: INFO: respond new phase 2 negotiation: y.y.y.y[0]<=>x.x.x.x[0]
2007-02-01 16:49:32: INFO: IPsec-SA established: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=217899727(0xcfce2cf)
2007-02-01 16:49:32: INFO: IPsec-SA established: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=99478408(0x5edeb88)
и в конце
2007-02-02 12:52:28: INFO: ISAKMP-SA expired x.x.x.x[500]-y.y.y.y[500] spi:5054174066368e00:38acb18fdeb13b9c
2007-02-02 12:52:29: INFO: ISAKMP-SA deleted x.x.x.x[500]-y.y.y.y[500] spi:5054174066368e00:38acb18fdeb13b9c
2007-02-02 12:52:28: INFO: ISAKMP-SA expired x.x.x.x[500]-y.y.y.y[500] spi:5054174066368e00:38acb18fdeb13b9c
20
Еще стали появляться такие надписи:
2007-02-02 12:53:43: INFO: respond new phase 1 negotiation: x.x.x.x[500]<=>y.y.y.y[500]
2007-02-02 12:53:43: INFO: begin Aggressive mode.
2007-02-02 12:53:43: INFO: received Vendor ID: DPD
2007-02-02 12:53:43: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
2007-02-02 12:53:43: INFO: ISAKMP-SA established x.x.x.x[[500]-y.y.y.y[500] spi:c3d1425bfb8675fc:65a6fbcd73b5e07a
200
Что забыл настроить, если можно по подробней, я с этим делом первый раз сталкиваюсь
Настраивал ipsec по статье http://www.lissyara.su/?id=1050.
могу пинговать с внутреннего ип шлюза1 (192.168.45.1) внутренний ип шлюза2 (192.168.1.5) и наоборот.
Но дальше ничего пингануть не получается
Пишет:
ping 192.168.45.10
PING 192.168.45.10 (192.168.45.10): 56 data bytes
2007-02-01 16:47:53: INFO: IPsec-SA expired: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=49584892(0x2f49afc)
2007-02-01 16:47:53: INFO: IPsec-SA expired: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=86856830(0x52d547e)
2007-02-01 16:47:54: INFO: respond new phase 2 negotiation: y.y.y.y[0]<=>x.x.x.x[0]
2007-02-01 16:47:54: INFO: IPsec-SA established: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=122535306(0x74dbd8a)
2007-02-01 16:47:54: INFO: IPsec-SA established: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=70123285(0x42dff15)
2007-02-01 16:48:16: INFO: ISAKMP-SA expired y.y.y.y[500]-x.x.x.x[500] spi:fdfba51c90cb36b0:b346592c8ee704d8
2007-02-01 16:48:17: INFO: ISAKMP-SA deleted y.y.y.y[500]-x.x.x.x[500] spi:fdfba51c90cb36b0:b346592c8ee704d8
2007-02-01 16:49:30: INFO: respond new phase 1 negotiation: y.y.y.y[500]<=>x.x.x.x[500]
2007-02-01 16:49:30: INFO: begin Aggressive mode.
2007-02-01 16:49:30: INFO: received Vendor ID: DPD
2007-02-01 16:49:31: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
2007-02-01 16:49:31: INFO: ISAKMP-SA established y.y.y.y[500]-x.x.x.x[500] spi:829d1900674b782c:790b804e43194abc
2007-02-01 16:49:31: INFO: IPsec-SA expired: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=70123285(0x42dff15)
2007-02-01 16:49:31: INFO: IPsec-SA expired: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=122535306(0x74dbd8a)
2007-02-01 16:49:32: INFO: respond new phase 2 negotiation: y.y.y.y[0]<=>x.x.x.x[0]
2007-02-01 16:49:32: INFO: IPsec-SA established: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=217899727(0xcfce2cf)
2007-02-01 16:49:32: INFO: IPsec-SA established: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=99478408(0x5edeb88)
и в конце
2007-02-02 12:52:28: INFO: ISAKMP-SA expired x.x.x.x[500]-y.y.y.y[500] spi:5054174066368e00:38acb18fdeb13b9c
2007-02-02 12:52:29: INFO: ISAKMP-SA deleted x.x.x.x[500]-y.y.y.y[500] spi:5054174066368e00:38acb18fdeb13b9c
2007-02-02 12:52:28: INFO: ISAKMP-SA expired x.x.x.x[500]-y.y.y.y[500] spi:5054174066368e00:38acb18fdeb13b9c
20
Еще стали появляться такие надписи:
2007-02-02 12:53:43: INFO: respond new phase 1 negotiation: x.x.x.x[500]<=>y.y.y.y[500]
2007-02-02 12:53:43: INFO: begin Aggressive mode.
2007-02-02 12:53:43: INFO: received Vendor ID: DPD
2007-02-02 12:53:43: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
2007-02-02 12:53:43: INFO: ISAKMP-SA established x.x.x.x[[500]-y.y.y.y[500] spi:c3d1425bfb8675fc:65a6fbcd73b5e07a
200
Что забыл настроить, если можно по подробней, я с этим делом первый раз сталкиваюсь
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
- Сообщения: 7
- Зарегистрирован: 2007-02-01 17:07:06
А для того что бы это все работало, обязательно поднимать НАТ?
Довел до состояния когда в одну сеть пингуетсЯ, а во вторую не пингуется
sockstat | grep raco
root racoon 883 3 dgram -> /var/run/logpriv
root racoon 883 5 udp4 x.x.x.x:500 *:*
Хотя в примере.
root racoon 10396 6 udp4 192.168.20.254:500 *:*
root racoon 10396 7 udp4 127.0.0.1:500 *:*
root racoon 10396 8 udp4 222.222.222.222:500 *:*
не пойму, куда что не дописал
Довел до состояния когда в одну сеть пингуетсЯ, а во вторую не пингуется
sockstat | grep raco
root racoon 883 3 dgram -> /var/run/logpriv
root racoon 883 5 udp4 x.x.x.x:500 *:*
Хотя в примере.
root racoon 10396 6 udp4 192.168.20.254:500 *:*
root racoon 10396 7 udp4 127.0.0.1:500 *:*
root racoon 10396 8 udp4 222.222.222.222:500 *:*
не пойму, куда что не дописал
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
- проходил мимо
-
- проходил мимо
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
-
- проходил мимо
не страшно? а на onlamp_дот_ком написано:
2002-12-29 12:48:31: NOTIFY: oakley.c:2040:oakley_skeyid():
couldn't find the proper pskey, try to get one by the peer's address.
2002-12-29 12:48:31: ERROR: oakley.c:2054:oakley_skeyid(): couldn't find
the pskey for B.B.B.B.Fortunately, this one is fairly straightforward as it indicates a problem with /usr/local/etc/racoon/psk.txt. On both peers, check that:
The file contains the external IP address of the other peer
The password is the same
The permissions are set correctly
2002-12-29 12:48:31: NOTIFY: oakley.c:2040:oakley_skeyid():
couldn't find the proper pskey, try to get one by the peer's address.
2002-12-29 12:48:31: ERROR: oakley.c:2054:oakley_skeyid(): couldn't find
the pskey for B.B.B.B.Fortunately, this one is fairly straightforward as it indicates a problem with /usr/local/etc/racoon/psk.txt. On both peers, check that:
The file contains the external IP address of the other peer
The password is the same
The permissions are set correctly
-
- проходил мимо
- Alex Keda
- стреляли...
- Сообщения: 35465
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
обратил внимание на статью по кторой делаете.
там приписку вверху кто-нить читал?
http://www.lissyara.su/?id=1328
там приписку вверху кто-нить читал?
http://www.lissyara.su/?id=1328
Убей их всех! Бог потом рассортирует...
-
- мл. сержант
- Сообщения: 72
- Зарегистрирован: 2006-12-12 14:13:23
- Откуда: Тольятти
тоже проблема с IPSEC, причём как-то всё не однозначно.........
xocт A
хост B
пингую из подсети А ip 192.168.1.3 пинг идёт, пингую другие ip скажем 192.168.1.11 не идёт, причём с хоста В обои машины пингуються
вот чё говорит tcpdump
15:01:50.395776 IP 192.168.1.3 > 192.168.145.10: ICMP echo reply, id 768, seq 52233, length 40
15:01:51.397661 IP 192.168.145.10 > 192.168.1.3: ICMP echo request, id 768, seq 52489, length 40
т.е всё нормально туда-сюда
15:02:19.969338 IP 192.168.145.10 > 192.168.1.11: ICMP echo request, id 768, seq 53769, length 40
15:02:25.255544 IP 192.168.145.10 > 192.168.1.11: ICMP echo request, id 768, seq 54025, length 40
шлюз локальных компьютеров подсети В нормально настроен, уже никаких мыслей нет
может кто что подскажет
xocт A
Код: Выделить всё
Destination Gateway Flags Refs Use Netif Expire
default 81.28.182.XX UGS 0 16912 fxp0
81.28.182.XX/30 link#3 UC 0 0 fxp0
81.28.182.XX 00:1a:6d:2e:03:3f UHLW 2 0 fxp0 17
81.28.182.30 00:07:e9:da:44:c0 UHLW 1 56 lo0
127.0.0.1 127.0.0.1 UH 0 11146 lo0
192.168.1 gif0 US 0 2136 gif0
192.168.1.254 192.168.145.60 UH 0 7 gif0
192.168.145 link#2 UC 0 0 rl0
192.168.145.1 00:16:76:36:e2:d6 UHLW 1 13593 rl0 434
хост B
Код: Выделить всё
default 195.144.192.XX UGS 0 5032 rl0
127.0.0.1 127.0.0.1 UH 0 6 lo0
192.168.1 link#2 UC 0 0 rl1
192.168.1.1 00:16:76:36:e4:ad UHLW 1 72 rl1 122
192.168.1.3 00:0c:f1:e4:db:b0 UHLW 1 2051 rl1 8
192.168.1.11 00:10:dc:4b:92:bf UHLW 1 24 rl1 70
192.168.145 gif0 US 0 1915 gif0
192.168.145.60 192.168.1.254 UH 0 7 gif0
195.144.192.XX/30 link#1 UC 0 0 rl0
195.144.192.XX 00:03:e3:39:c1:fe UHLW 2 0 rl0 109
вот чё говорит tcpdump
15:01:50.395776 IP 192.168.1.3 > 192.168.145.10: ICMP echo reply, id 768, seq 52233, length 40
15:01:51.397661 IP 192.168.145.10 > 192.168.1.3: ICMP echo request, id 768, seq 52489, length 40
т.е всё нормально туда-сюда
15:02:19.969338 IP 192.168.145.10 > 192.168.1.11: ICMP echo request, id 768, seq 53769, length 40
15:02:25.255544 IP 192.168.145.10 > 192.168.1.11: ICMP echo request, id 768, seq 54025, length 40
шлюз локальных компьютеров подсети В нормально настроен, уже никаких мыслей нет
может кто что подскажет