racoon автоматическая раздача адресов

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
pixel_61
проходил мимо
Сообщения: 6
Зарегистрирован: 2011-07-22 14:20:21

racoon автоматическая раздача адресов

Непрочитанное сообщение pixel_61 » 2011-07-22 14:51:38

Добрый день!
ракун сконфигурирован как хост в сеть.
Возникла проблема с автоматической раздачей адресов ракуном, невозможно назначить шлюз клиентам.
вот интересующий блок конфига ракуна

Код: Выделить всё

mode_cfg {
auth_source system;          
network4 10.10.10.2;       
netmask4 255.255.255.0;
pool_size 254;                     
dns4 192.168.1.33;              
default_domain "mydomen.ru";
split_network include 192.168.0.0/24;   
split_dns "mydomen.ru";             
banner "/etc/racoon/banner";    
pfs_group 2;                               
}
как указать шлюз? перерыл весь гугл, не нашёл ответа.
клиенты подключаются с помощью клиента shrew, самое интересное, что при ручном конфигурировании IP - в шреве нет пункта "указать шлюз"
зы адрес шлюза должен быть 10.10.10.1

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Electronik
капитан
Сообщения: 1593
Зарегистрирован: 2008-11-15 17:32:56
Откуда: Минск
Контактная информация:

Re: racoon автоматическая раздача адресов

Непрочитанное сообщение Electronik » 2011-07-23 14:43:52

зы адрес шлюза должен быть 10.10.10.1
почему?
Предскажем будущее hw по логам и дампу, снимем сглаз и порчу с рута, поможем придумать пароль(С)
Блог

nnmax
рядовой
Сообщения: 42
Зарегистрирован: 2010-03-28 21:48:28

Re: racoon автоматическая раздача адресов

Непрочитанное сообщение nnmax » 2011-07-25 7:24:17

pixel_61 писал(а):Добрый день!
ракун сконфигурирован как хост в сеть.
Возникла проблема с автоматической раздачей адресов ракуном, невозможно назначить шлюз клиентам.
вот интересующий блок конфига ракуна

Код: Выделить всё

mode_cfg {
auth_source system;          
network4 10.10.10.2;       
netmask4 255.255.255.0;
pool_size 254;                     
dns4 192.168.1.33;              
default_domain "mydomen.ru";
split_network include 192.168.0.0/24;   
split_dns "mydomen.ru";             
banner "/etc/racoon/banner";    
pfs_group 2;                               
}
как указать шлюз? перерыл весь гугл, не нашёл ответа.
клиенты подключаются с помощью клиента shrew, самое интересное, что при ручном конфигурировании IP - в шреве нет пункта "указать шлюз"
зы адрес шлюза должен быть 10.10.10.1

шлюз там не нужен!
Маршрутизация работает на основе политик, политики можете посмотреть setkey -D , setkey -DP (соответственно вы их должны предварительно сгенерировать в автоматическом либо в ручном режиме)
И кстати маску /24 указывать бесполезно если вы эту сеть не добавляете в политики!

pixel_61
проходил мимо
Сообщения: 6
Зарегистрирован: 2011-07-22 14:20:21

Re: racoon автоматическая раздача адресов

Непрочитанное сообщение pixel_61 » 2011-07-25 10:08:35

Electronik писал(а):
зы адрес шлюза должен быть 10.10.10.1
почему?
например потому что я этот IP назначил вторым IP на сетевой карте с внешним адресом
nnmax писал(а): шлюз там не нужен!
Маршрутизация работает на основе политик, политики можете посмотреть setkey -D , setkey -DP (соответственно вы их должны предварительно сгенерировать в автоматическом либо в ручном режиме)
И кстати маску /24 указывать бесполезно если вы эту сеть не добавляете в политики!
а как указать в политиках?
как указать в режиме хост-хост - знаю, а как в режиме хост-сеть - не знаю :(
вот пример конфига ipsec.conf для хост-хост. А как его переделать под хост-сеть?

Код: Выделить всё

spdadd [локальная сеть1/маска] [локальная сеть2/маска] any -P out ipsec esp/tunnel/[gateway первой сети]-[gateway второй сети]/require;                                                            
spdadd [локальная сеть2/маска] [локальная сеть1/маска] any -P in ipsec esp/tunnel/[gateway второй сети]-[gateway первой сети]/require;
делается это для подключения людей из дома к рабочей сети.

nnmax
рядовой
Сообщения: 42
Зарегистрирован: 2010-03-28 21:48:28

Re: racoon автоматическая раздача адресов

Непрочитанное сообщение nnmax » 2011-07-25 21:20:19

Доступ нужен только в сеть "split_network include 192.168.0.0/24;" или есть еще набор?

Если сеть только одна то вам на roadwarrior'e достаточно добавить опцию generate_policy on;
после этого обе стороны должны добавлять политики для этой сети автоматом.
хотя я бы рекомендовал всегда включать эту опцию даже в случае когда сеть не одна, т.к полагаю что в сплит можно передать список сетей и клиент на них должен сгенерировать политики, сам не проверял, но иного способа я не вижу для таких железок как iPad и прочие агрегаты работающие на основе Cisco VPN client .
Если сеть не одна то политики будет логично добавлять и удалять скриптами во время открытия и закрытия сессий , также для мертвых допустимо, синтаксис там примерно следующий:

script "ph1.up" phase1_up;
script "ph1.down" phase1_down;
script "ph1.down" phase1_dead;

Содержимое самих скриптов примерно следующее:

ph1.up

Код: Выделить всё

#!/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
echo "
spdadd 192.168.0.0/24 ${INTERNAL_ADDR4}/32 any -P out ipsec esp/tunnel/${LOCAL_ADDR} [500]-${REMOTE_ADDR}[500]/require;
spdadd ${INTERNAL_ADDR4}/32 192.168.0.0/24 any -P in ipsec esp/tunnel/${REMOTE_ADDR}[500]-${LOCAL_ADDR}[500]/require;
" | setkey -c
ph1.down

Код: Выделить всё

#!/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
echo "
spddelete 192.168.0.0/24 ${INTERNAL_ADDR4}/32 any -P out ipsec esp/tunnel/${LOCAL_ADDR} [500]-${REMOTE_ADDR}[500]/require;
spddelete ${INTERNAL_ADDR4}/32 192.168.0.0/24 any -P in ipsec esp/tunnel/${REMOTE_ADDR}[500]-${LOCAL_ADDR}[500]/require;
" | setkey -c
Да тут я указал порт 500, хотя в случае ната будет отличаться, можно подставить соответствующие переменные. Для одной сети еще раз повторюсь такие скрипты излишни.

pixel_61
проходил мимо
Сообщения: 6
Зарегистрирован: 2011-07-22 14:20:21

Re: racoon автоматическая раздача адресов

Непрочитанное сообщение pixel_61 » 2011-07-26 14:37:04

Спасибо за помощь, но вот есть какая-то загвоздка
nnmax писал(а):Доступ нужен только в сеть "split_network include 192.168.0.0/24;" или есть еще набор?

Если сеть только одна то вам на roadwarrior'e достаточно добавить опцию generate_policy on;

после этого обе стороны должны добавлять политики для этой сети автоматом.
пока достаточно одной сети, в конфиге прописано уже generate_policy on; но клиент автоматом не подтягивает настройки.

Код: Выделить всё

remote anonymous
{
        exchange_mode main,aggressive;
        doi ipsec_doi;
        situation identity_only;
        certificate_type x509 "ipsec-server.crt" "ipsec-server.key";
        peers_certfile x509 "client.crt";
        passive on;
        generate_policy on;
        nonce_size 16;
        lifetime time 60 min;   
        initial_contact on;
        proposal_check obey;   

        proposal
        {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method rsasig ;
                dh_group 2 ;
        }
}
nnmax писал(а): Если сеть не одна то политики будет логично добавлять и удалять скриптами во время открытия и закрытия сессий , также для мертвых допустимо, синтаксис там примерно следующий:

script "ph1.up" phase1_up;
script "ph1.down" phase1_down;
script "ph1.down" phase1_dead;

Содержимое самих скриптов примерно следующее:

ph1.up

Код: Выделить всё

#!/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
echo "
spdadd 192.168.0.0/24 ${INTERNAL_ADDR4}/32 any -P out ipsec esp/tunnel/${LOCAL_ADDR} [500]-${REMOTE_ADDR}[500]/require;
spdadd ${INTERNAL_ADDR4}/32 192.168.0.0/24 any -P in ipsec esp/tunnel/${REMOTE_ADDR}[500]-${LOCAL_ADDR}[500]/require;
" | setkey -c
ph1.down

Код: Выделить всё

#!/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
echo "
spddelete 192.168.0.0/24 ${INTERNAL_ADDR4}/32 any -P out ipsec esp/tunnel/${LOCAL_ADDR} [500]-${REMOTE_ADDR}[500]/require;
spddelete ${INTERNAL_ADDR4}/32 192.168.0.0/24 any -P in ipsec esp/tunnel/${REMOTE_ADDR}[500]-${LOCAL_ADDR}[500]/require;
" | setkey -c
Да тут я указал порт 500, хотя в случае ната будет отличаться, можно подставить соответствующие переменные. Для одной сети еще раз повторюсь такие скрипты излишни.
Разве это подходит в моём случае? ведь у клиентов серые адреса? или я что-то не вкурил? Для Хост-Хост, конечно это то,что надо.

nnmax
рядовой
Сообщения: 42
Зарегистрирован: 2010-03-28 21:48:28

Re: racoon автоматическая раздача адресов

Непрочитанное сообщение nnmax » 2011-07-26 17:05:41

Какая разница какие адреса у клиентов, вы им сами адреса раздаёте! И все это тунелируется. А чтобы ядро понимало какой трафик в этом тунеле гонять(нужны политики на основе которых будут созданы SA для которых ракун создаст соответствующие ключи)

А то что клиенты не подтягивают сплит нетворк говорит о том, что со стороны клиента что-то не так работает!

Что за софт в качестве клиента юзаете?
Я бы посоветовал CiscoVPN.

pixel_61
проходил мимо
Сообщения: 6
Зарегистрирован: 2011-07-22 14:20:21

Re: racoon автоматическая раздача адресов

Непрочитанное сообщение pixel_61 » 2011-07-26 22:43:22

nnmax писал(а):Какая разница какие адреса у клиентов, вы им сами адреса раздаёте! И все это тунелируется. А чтобы ядро понимало какой трафик в этом тунеле гонять(нужны политики на основе которых будут созданы SA для
Что за софт в качестве клиента юзаете?
Я бы посоветовал CiscoVPN.
Использую shrew (альтернатива CiscoVPN)
начитался, что у CiscoVPN проблемы с win7-64, и поэтому решил заморочиться с shrew.

Гость
проходил мимо

Re: racoon автоматическая раздача адресов

Непрочитанное сообщение Гость » 2011-07-27 9:23:28

Ток что проверил на W7 клиент cisco_vpn v5 64bit , настроек минимум, подкинул сертификат, указал сервер, и все , политики автоматом с обоих сторон пролились.

nnmax
рядовой
Сообщения: 42
Зарегистрирован: 2010-03-28 21:48:28

Re: racoon автоматическая раздача адресов

Непрочитанное сообщение nnmax » 2011-07-27 9:35:40

Вот конфиг к нему:

Код: Выделить всё

path certificate "/usr/local/etc/racoon/cert" ;
log debug2;
 
listen {
        isakmp 1.1.1.1;
        isakmp_natt 1.1.1.1[4500];
}
 
timer
{
        counter 5;
        interval 20 sec;
        persend 1;
        phase1 30 sec;
        phase2 15 sec;
}

remote anonymous
{
        nat_traversal on;
        exchange_mode main, aggressive;
        my_identifier asn1dn;
        peers_identifier asn1dn *;
        certificate_type x509 "server.crt" "server.key" ;
        ca_type x509 "ca.crt";
        verify_cert on;
        mode_cfg on;
        proposal_check obey;
        passive on;
        generate_policy on;

        proposal {

                encryption_algorithm aes;
                hash_algorithm sha1;
                authentication_method xauth_rsa_server;
                dh_group 2;

        }
}
 
sainfo anonymous
{
        lifetime time 10 hour;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1,hmac_md5;
        compression_algorithm deflate;
}
 
mode_cfg {
        banner "/usr/local/etc/racoon/motd";
        network4 10.10.10.1;
		pool_size 250;
        netmask4 255.255.255.255;
        dns4 10.3.2.1;
        split_network include 192.168.2.0/24,10.3.2.0/24;
}