ipsec

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
shmyga
проходил мимо
Сообщения: 7
Зарегистрирован: 2007-02-01 17:07:06

ipsec

Непрочитанное сообщение shmyga » 2007-02-01 18:20:39

Помогите, плз?
Настраивал ipsec по статье http://www.lissyara.su/?id=1050.
могу пинговать с внутреннего ип шлюза1 (192.168.45.1) внутренний ип шлюза2 (192.168.1.5) и наоборот.
Но дальше ничего пингануть не получается :(

Пишет:
ping 192.168.45.10
PING 192.168.45.10 (192.168.45.10): 56 data bytes
2007-02-01 16:47:53: INFO: IPsec-SA expired: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=49584892(0x2f49afc)
2007-02-01 16:47:53: INFO: IPsec-SA expired: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=86856830(0x52d547e)
2007-02-01 16:47:54: INFO: respond new phase 2 negotiation: y.y.y.y[0]<=>x.x.x.x[0]
2007-02-01 16:47:54: INFO: IPsec-SA established: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=122535306(0x74dbd8a)
2007-02-01 16:47:54: INFO: IPsec-SA established: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=70123285(0x42dff15)
2007-02-01 16:48:16: INFO: ISAKMP-SA expired y.y.y.y[500]-x.x.x.x[500] spi:fdfba51c90cb36b0:b346592c8ee704d8
2007-02-01 16:48:17: INFO: ISAKMP-SA deleted y.y.y.y[500]-x.x.x.x[500] spi:fdfba51c90cb36b0:b346592c8ee704d8
2007-02-01 16:49:30: INFO: respond new phase 1 negotiation: y.y.y.y[500]<=>x.x.x.x[500]
2007-02-01 16:49:30: INFO: begin Aggressive mode.
2007-02-01 16:49:30: INFO: received Vendor ID: DPD
2007-02-01 16:49:31: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
2007-02-01 16:49:31: INFO: ISAKMP-SA established y.y.y.y[500]-x.x.x.x[500] spi:829d1900674b782c:790b804e43194abc
2007-02-01 16:49:31: INFO: IPsec-SA expired: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=70123285(0x42dff15)
2007-02-01 16:49:31: INFO: IPsec-SA expired: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=122535306(0x74dbd8a)
2007-02-01 16:49:32: INFO: respond new phase 2 negotiation: y.y.y.y[0]<=>x.x.x.x[0]
2007-02-01 16:49:32: INFO: IPsec-SA established: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=217899727(0xcfce2cf)
2007-02-01 16:49:32: INFO: IPsec-SA established: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=99478408(0x5edeb88)

и в конце

2007-02-02 12:52:28: INFO: ISAKMP-SA expired x.x.x.x[500]-y.y.y.y[500] spi:5054174066368e00:38acb18fdeb13b9c
2007-02-02 12:52:29: INFO: ISAKMP-SA deleted x.x.x.x[500]-y.y.y.y[500] spi:5054174066368e00:38acb18fdeb13b9c
2007-02-02 12:52:28: INFO: ISAKMP-SA expired x.x.x.x[500]-y.y.y.y[500] spi:5054174066368e00:38acb18fdeb13b9c
20

Еще стали появляться такие надписи:

2007-02-02 12:53:43: INFO: respond new phase 1 negotiation: x.x.x.x[500]<=>y.y.y.y[500]
2007-02-02 12:53:43: INFO: begin Aggressive mode.
2007-02-02 12:53:43: INFO: received Vendor ID: DPD
2007-02-02 12:53:43: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
2007-02-02 12:53:43: INFO: ISAKMP-SA established x.x.x.x[[500]-y.y.y.y[500] spi:c3d1425bfb8675fc:65a6fbcd73b5e07a
200

Что забыл настроить, если можно по подробней, я с этим делом первый раз сталкиваюсь :(

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

shmyga
проходил мимо
Сообщения: 7
Зарегистрирован: 2007-02-01 17:07:06

Непрочитанное сообщение shmyga » 2007-02-02 12:09:30

А для того что бы это все работало, обязательно поднимать НАТ?
Довел до состояния когда в одну сеть пингуетсЯ, а во вторую не пингуется :(

sockstat | grep raco
root racoon 883 3 dgram -> /var/run/logpriv
root racoon 883 5 udp4 x.x.x.x:500 *:*

Хотя в примере.
root racoon 10396 6 udp4 192.168.20.254:500 *:*
root racoon 10396 7 udp4 127.0.0.1:500 *:*
root racoon 10396 8 udp4 222.222.222.222:500 *:*

не пойму, куда что не дописал :(

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-02-02 13:05:13

может чё с маршрутами?
Убей их всех! Бог потом рассортирует...

Ванёк
проходил мимо

Непрочитанное сообщение Ванёк » 2007-02-02 13:13:35

Скорее всего с маршрутами. Но, помойму, проше на обоих шлюзах поднять нат да и всё...

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-06-07 11:20:26

уважаемые, а
NOTIFY: couldn't find the proper pskey, try to get one by the peer's address
это нормально?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-06-07 11:22:11

уведомление.
нестрашно
Убей их всех! Бог потом рассортирует...

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-06-07 11:44:44

не страшно? а на onlamp_дот_ком написано:

2002-12-29 12:48:31: NOTIFY: oakley.c:2040:oakley_skeyid():
couldn't find the proper pskey, try to get one by the peer's address.
2002-12-29 12:48:31: ERROR: oakley.c:2054:oakley_skeyid(): couldn't find
the pskey for B.B.B.B.Fortunately, this one is fairly straightforward as it indicates a problem with /usr/local/etc/racoon/psk.txt. On both peers, check that:

The file contains the external IP address of the other peer
The password is the same
The permissions are set correctly

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-06-07 11:46:26

мне почему-то кажется что у меня не работает по этой причине, потому как это единственный еррор в логах, ито токо на одном тазике.

но я уже даже не знаю куда еще копать... третий день совокупляюсь...
спаси!

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35465
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-06-07 13:00:00

обратил внимание на статью по кторой делаете.
там приписку вверху кто-нить читал?
http://www.lissyara.su/?id=1328
Убей их всех! Бог потом рассортирует...

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-06-07 13:22:18

какую именно приписку? про 6.2?
конечно обратил

s.romanov
мл. сержант
Сообщения: 72
Зарегистрирован: 2006-12-12 14:13:23
Откуда: Тольятти

Непрочитанное сообщение s.romanov » 2007-06-08 13:11:23

тоже проблема с IPSEC, причём как-то всё не однозначно.........

xocт A

Код: Выделить всё

Destination        Gateway            Flags    Refs      Use  Netif Expire
default            81.28.182.XX       UGS         0    16912   fxp0
81.28.182.XX/30    link#3             UC          0        0   fxp0
81.28.182.XX       00:1a:6d:2e:03:3f  UHLW        2        0   fxp0     17
81.28.182.30       00:07:e9:da:44:c0  UHLW        1       56    lo0
127.0.0.1          127.0.0.1          UH          0    11146    lo0
192.168.1          gif0               US          0     2136   gif0
192.168.1.254      192.168.145.60     UH          0        7   gif0
192.168.145        link#2             UC          0        0    rl0
192.168.145.1      00:16:76:36:e2:d6  UHLW        1    13593    rl0    434


хост B

Код: Выделить всё

default            195.144.192.XX     UGS         0     5032    rl0
127.0.0.1          127.0.0.1          UH          0        6    lo0
192.168.1          link#2             UC          0        0    rl1
192.168.1.1        00:16:76:36:e4:ad  UHLW        1       72    rl1    122
192.168.1.3        00:0c:f1:e4:db:b0  UHLW        1     2051    rl1      8
192.168.1.11       00:10:dc:4b:92:bf  UHLW        1       24    rl1     70
192.168.145        gif0               US          0     1915   gif0
192.168.145.60     192.168.1.254      UH          0        7   gif0
195.144.192.XX/30  link#1             UC          0        0    rl0
195.144.192.XX     00:03:e3:39:c1:fe  UHLW        2        0    rl0    109
пингую из подсети А ip 192.168.1.3 пинг идёт, пингую другие ip скажем 192.168.1.11 не идёт, причём с хоста В обои машины пингуються

вот чё говорит tcpdump
15:01:50.395776 IP 192.168.1.3 > 192.168.145.10: ICMP echo reply, id 768, seq 52233, length 40
15:01:51.397661 IP 192.168.145.10 > 192.168.1.3: ICMP echo request, id 768, seq 52489, length 40
т.е всё нормально туда-сюда
15:02:19.969338 IP 192.168.145.10 > 192.168.1.11: ICMP echo request, id 768, seq 53769, length 40
15:02:25.255544 IP 192.168.145.10 > 192.168.1.11: ICMP echo request, id 768, seq 54025, length 40

шлюз локальных компьютеров подсети В нормально настроен, уже никаких мыслей нет
может кто что подскажет