ipsec

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Гость
проходил мимо

ipsec

Непрочитанное сообщение Гость » 2007-02-22 8:37:22

всем привет делал каналы ipsec по местной статейке на фрюхе 6.2 проблема тут возникает такая при старте серваков ракун вроде заводится но тунели не работают делаю запуск ракуна с отладкой начинает ругатся на протоколы шифрования, хотя на обеих маишнах все конфиги зеркальны, пытаюсь посмотреть setkey -F он мне выдаёт no ESP, кто сталкивался с такой траблой, у самого первый раз такая вывалила, всё уже перерыл ничего толкового(

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-02-22 8:42:26

телепаты в отпуске.
показывай как ругается, показывай конфиги...
Убей их всех! Бог потом рассортирует...

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-02-22 11:50:51

racoon.conf:

Код: Выделить всё

path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
# "log" specifies logging level.  It is followed by either "notify", "debug"
# or "debug2".
#log notify;
padding
{
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
}

listen
{
        #isakmp ::1 [7000];
        isakmp aa.aa.aa.aa [500];
        #admin [7002];          # administrative's port by kmpstat.
        #strict_address;        # required all addresses must be bound.
}

timer
{
        # These value can be changed per remote node.
        counter 5;              # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
        persend 1;              # the number of packets per a send.

        # timer for waiting to complete each phase.
        phase1 30 sec;
        phase2 15 sec;
}

remote anonymous
{
        #exchange_mode main,aggressive;
        exchange_mode aggressive,main;
        doi ipsec_doi;
        situation identity_only;

        my_identifier address;
        #certificate_type x509 "mycert" "mypriv";

        #nonce_size 16;
        lifetime time 2 min;    # sec,min,hour
        initial_contact on;
        #support_mip6 on;
        proposal_check obey;    # obey, strict or claim

        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key ;
                dh_group 2 ;
        }
}

sainfo anonymous
{
        pfs_group 1;
        lifetime time 2 min;
        encryption_algorithm 3des ;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate ;
}
tunnel.sh:

Код: Выделить всё

#!/bin/sh
case "$1" in
start)

/sbin/ifconfig gif0 create
/sbin/ifconfig gif0 tunnel aa.aa.aa.aa bb.bb.bb.bb
/sbin/ifconfig gif0 192.168.cc.cc 192.168.xx.xx netmask 255.255.255.0
/sbin/ifconfig gif0 mtu 1500
/sbin/route delete 192.168.xx.xx
/sbin/route add 192.168.xx.xx 192.168.xx.xx
;;
esac

ipsec.conf:

Код: Выделить всё

spdadd aa.aa.aa.aa/32 bb.bb.bb.bb/32 ipencap -P out ipsec
 esp/tunnel/aa.aa.aa.aa-bb.bb.bb.bb/require;
spdadd bb.bb.bb.bb/32 aa.aa.aa.aa/32 ipencap -P in ipsec
 esp/tunnel/85.114.92.134-bb.bb.bb.bb/require;
racoon.con & psk.txt права 600

ошипки выложу на днях

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-02-22 14:03:31

кнопочку коде юзай.
Убей их всех! Бог потом рассортирует...

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-02-22 15:57:28

угу, так что по конфигам ничего поганоого не видно?, кстати на фрюхе 6.1 такие конфиги пахали ток так

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-02-22 16:02:13

есчё маааленький вопросиу ток по poptop один сервак пашет отлично, ток с траблом в том что вин клиенты конектятся видять все мои подсети, а вот я их сети не вижу хотя маршруты прописываю, есть другой сервант, тоже вроде всё пашет ноесли прописываеш к примеру выдавать подсоеденившемуся клиенту 192.168.0.245 то он выдаёт а оконечном итоге 192.168.0.24, а если пишеш выдавать 192.168.0.24 то он откидывает клиента при коннекте с ошибкой что не могёт выдать айпишник.Такая вот фигня)

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-02-22 16:04:20

да вроде всё нормально
тока с раконом я больше года назад колупался последний раз :((
Убей их всех! Бог потом рассортирует...

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-02-22 16:06:04

может ещё что посоветуеш помимо IPSec для связи нормальной фрюхи и винды, хотя с другой стороны можно много гимора не иметь, ко мне так как конектятся парни которые сидять на ISA Server для них можно устроить перекидку на внутренний сервант опять же ISA-ой, чтото мне подсказывает что так будет наааамного проще)

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-02-22 16:07:04

а счаз что юзаеш?, кстати ты на сертификатах поднял или так же статику поользуеш?

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35069
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2007-02-22 16:08:33

vtund
да, так и с паролями висит.
в принципе - хватает ограничений фаера на коннект тока с нужных хостов на порты туннеля...
Убей их всех! Бог потом рассортирует...

Гость
проходил мимо

Непрочитанное сообщение Гость » 2007-02-22 16:11:04

и то верно что можно на фаере подрудактировать, а vtund номано будет пускать ко мне и от меня в другие сети?