Пару вопросов по ipsec-tools

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
kharkov_max
капитан
Сообщения: 1795
Зарегистрирован: 2008-10-03 14:56:40

Пару вопросов по ipsec-tools

Непрочитанное сообщение kharkov_max » 2010-03-16 14:04:42

День добрый.

Есть 2 сервера freebsd сервер А и сервер B между которыми настроен тунель на ipsec-tools.
На каждом из серверов есть еще тунели на другие серверы, другие тунели работают на 500 порту.

1. Если A и B связаны по 500 порту все работает нормально.
Но если скажем на сервере B я выставляю другой порт для подключения скажем 65000, соответственно меняя в нужном месте настройки на сервере A то: тунель поднимается, если нет пакетов засыпает и потом его можно реанимировать только с сервера A (к примеру пингом). Если пытаюсь как нить поднять тунель с сервера B то ничего не получается, не работает даже после перезагрузки B сервера, пока не включу, к примеру, пинги на A сервере.

Как бы заставить нормально работать на разных портах ?

2. Если в тунелях не ходят пакеты, происходит как бы "засыпание" racoon. Восстановить легко, достаточно пустить пинг или обратиться из одной сети к другой, но это большой таймаут, как избавиться от "засыпания" и подерживать связь постоянно ?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/


Аватара пользователя
kharkov_max
капитан
Сообщения: 1795
Зарегистрирован: 2008-10-03 14:56:40

Re: Пару вопросов по ipsec-tools

Непрочитанное сообщение kharkov_max » 2010-03-17 18:02:25

UP
Не уж то ни кто и не подскажет ?

Аватара пользователя
kharkov_max
капитан
Сообщения: 1795
Зарегистрирован: 2008-10-03 14:56:40

Re: Пару вопросов по ipsec-tools

Непрочитанное сообщение kharkov_max » 2010-03-18 11:18:49

Ну хоть по второму пункту подскажете...
Как поддерживать тунель постоянно ?

Аватара пользователя
kharkov_max
капитан
Сообщения: 1795
Зарегистрирован: 2008-10-03 14:56:40

Re: Пару вопросов по ipsec-tools

Непрочитанное сообщение kharkov_max » 2010-03-18 12:48:28

В первой фазе установлен параметр lifetime time = 600 sec
Во второй фазе также lifetime time = 600 sec

Эти параметры отвечают за время жизни ключей соединения соответствующих фаз.
Если в тунеле нет пакетов то тунель "засыпает" именно через 600 сек.

Когда я увеличиваю эти параметры, скажем до 24 hour, то "засыпание" тунеля видимо происходит позже.
Как минимум я проверил через 30 мин и 60 мин пинги ходят сразу без задержки (задержки на формирование новых ключей).

С одной стороны это выход, т.е. можно поставить эти параметры очень большими и все.
Но с другой стороны, это уменьшает защищенность тунеля.
Т.е. чем чаще переформировываются ключи, тем защищенее тунель.

Вопрос !!!
Есть ли в ipsec-tools механизм поддержки тунеля в рабочем состоянии даже если определенное время в тунеле не ходят пакеты?



Аватара пользователя
kharkov_max
капитан
Сообщения: 1795
Зарегистрирован: 2008-10-03 14:56:40

Re: Пару вопросов по ipsec-tools

Непрочитанное сообщение kharkov_max » 2010-03-24 11:12:06

UP
Не уж то ни кто не натыкался ?

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Пару вопросов по ipsec-tools

Непрочитанное сообщение FreeBSP » 2010-03-25 14:54:22

http://www.opennet.ru:8101/openforum/vs ... 686.html#5
я гуглил так
http://www.google.ru/search?q=ipsec-tools+keep+alive
это мысли на счет отваливания тоннеля по таймауту
на счет несимметричных портов - хз. ipsec на практике не щупал, да и теории много не копал
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
kharkov_max
капитан
Сообщения: 1795
Зарегистрирован: 2008-10-03 14:56:40

Re: Пару вопросов по ipsec-tools

Непрочитанное сообщение kharkov_max » 2010-03-25 17:43:53

По ману racoon.conf для keepalive нужно включить при инсталяции порта NAT-T
может кто нить объяснить что это за опция, что она даст и поможет ли в моей ситуации ?

Аватара пользователя
FreeBSP
майор
Сообщения: 2020
Зарегистрирован: 2009-05-24 20:20:19
Откуда: Москва

Re: Пару вопросов по ipsec-tools

Непрочитанное сообщение FreeBSP » 2010-03-25 20:45:53

http://forum.lissyara.su/viewtopic.php? ... ec#p221504
FreeBSP писал(а):agat,
фишка в том что при нате вносятся изменения в пакет, в том то и состоит нат. а IPSEC, насколько я знаю, содержит средства проверки целостности не только инкапсулированных данных, но и пакта - носителя. а поскольку целостность нарушается, то пакет становится невалидным и отбрасывается. таким образом установление ipsec соединения через нат невозможно. для решения проблемы была сделана технология NAT_Traversal(или както так похоже называется). там фишка в том что данные инкапсулируются в UDP пакты, которые нормально проходят нат.

вот
наверняка что то напутал, но идея вроде такая
для включения нат-т может потребоваться пересборка ядра и появился nat-t только в восьмерке. на 7.2 нормально пропатчить ядро я не смог
//************************************************
это технология для работы ipsec сквозь нат. надо ли вам это - зависит от того как ходят пакеты
Человек начинает получать первые наслаждения от знакомства с unix системами. Ему нужно помочь - дальше он сможет получать наслаждение самостоятельно ©
Ламер — не желающий самостоятельно разбираться. Не путать с новичком: ламер опасен и знает это!

Аватара пользователя
kharkov_max
капитан
Сообщения: 1795
Зарегистрирован: 2008-10-03 14:56:40

Re: Пару вопросов по ipsec-tools

Непрочитанное сообщение kharkov_max » 2010-03-25 21:58:15

Спасибо за разъяснения ...

Ну тогда получается какая то безвыходная ситуация.
Выходит так что средствами ipsec-tools невозможно поддерживать тунель постоянно.
И во время смены ключа, а если пакеты не ходят то ключ после окончания времени действия не поменяется, будут задержки, по времени ровно на формирование новых ключей и установке связи по ним.

Что то тут не так ...