VPN между FreeBSD7 и D-Link DI804
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
-
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2008-03-23 22:56:48
VPN между FreeBSD7 и D-Link DI804
В общем с горем пополам настроил я впн между ними. Использовал это http://www.lissyara.su/?id=1328 и это http://www.dlink.ru/technical/faq_vpn_11.php.
Опишу сети:
192.168.0.0\24 -сеть фри, ип фри 192.168.0.2
192.168.1.0\24 - сеть длинка, ип длинка 192.168.1.1
публичные адреса в локалке провайдера 10.0.0.47\25 и 10.0.0.57\25
ВПН поднялось, но есть несколько проблем:
1)пинги между сетями идут только с фри. Т.е. фря спокойно видит все компы в сети длинка. Но ни из сети фри, ни из сети длинка клиентов и даже шлюзов в других сетях не видно.
2)почему-то не срабатывает ipsec_file="/etc/ipsec.conf" при загрузке. Приходится вручную каждый раз добавлять setkey -f /etc/ipsec.conf.
Фаервол отключен.
Опишу сети:
192.168.0.0\24 -сеть фри, ип фри 192.168.0.2
192.168.1.0\24 - сеть длинка, ип длинка 192.168.1.1
публичные адреса в локалке провайдера 10.0.0.47\25 и 10.0.0.57\25
ВПН поднялось, но есть несколько проблем:
1)пинги между сетями идут только с фри. Т.е. фря спокойно видит все компы в сети длинка. Но ни из сети фри, ни из сети длинка клиентов и даже шлюзов в других сетях не видно.
2)почему-то не срабатывает ipsec_file="/etc/ipsec.conf" при загрузке. Приходится вручную каждый раз добавлять setkey -f /etc/ipsec.conf.
Фаервол отключен.
Услуги хостинговой компании Host-Food.ru
Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/
-
- проходил мимо
- Сообщения: 4
- Зарегистрирован: 2008-03-23 22:56:48
Re: VPN между FreeBSD7 и D-Link DI804
в общем лишний раз убеждаюсь что в 90% всех проблем виноваты кривые руки и не внимательность. Оказалось опечатка в rc.conf. Ну и как и думал немного недокурил статику на длинке. Тему можно закрвать.
- Alex Keda
- стреляли...
- Сообщения: 35466
- Зарегистрирован: 2004-10-18 14:25:19
- Откуда: Made in USSR
- Контактная информация:
Re: VPN между FreeBSD7 и D-Link DI804
конфиги рабочие выложи.
мож кому пригодитьяс
мож кому пригодитьяс
Убей их всех! Бог потом рассортирует...
- Lazy caT
- мл. сержант
- Сообщения: 101
- Зарегистрирован: 2008-09-11 9:59:17
- Откуда: Местные мы...
- Контактная информация:
Re: VPN между FreeBSD7 и D-Link DI804
У меня подобная проблема но только с D-Link DI-808HV...
Заключается в следующем...
Поднимается туннель нормально. Из FreeBSD'шной сети, сеть за D-Link'ком видна полностью, в обратную сторону нифига, причем,
при просмотре на FreeBSD пакетов на gif0 (tcpdump -i gif0) вижу что пинги на gif0 приходят... а вот дальше не идут...
Что имею:
FreeBSD - XXX.XXX.XXX.XXX
D-Link - YYY.YYY.YYY.YYY
rc.conf
ipsec.conf
Думаю racoon.conf смысла приводить нет т.к. туннель поднимается нормально.
ipfw или отключен вообще (на время настройки) или в режиме "open"... Хотя от этого ничего не меняется...
На D-Link'е прописан статичный маршрут: Если в этом маршруте gateway поменять на XXX.XXX.XXX.XXX (как тут http://www.lissyara.su/?id=1503) туннель падает и не поднимается до тех пор пока
настройки не восстановят обратно.
У меня такое ощущение что косяг где-то на машине с FreeBSD... Это она не хочет пускать пакеты с gif0 дальше в сетку... Почему?
Может кто объяснит?...
Спасибо.
Заключается в следующем...
Поднимается туннель нормально. Из FreeBSD'шной сети, сеть за D-Link'ком видна полностью, в обратную сторону нифига, причем,
при просмотре на FreeBSD пакетов на gif0 (tcpdump -i gif0) вижу что пинги на gif0 приходят... а вот дальше не идут...
Код: Выделить всё
[18:32] / >tcpdump -i gif0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on gif0, link-type NULL (BSD loopback), capture size 96 bytes
18:32:59.768141 IP 192.168.26.137 > 192.168.23.205: ICMP echo request, id 512, seq 52736, length 40
18:33:05.268304 IP 192.168.26.137 > 192.168.23.205: ICMP echo request, id 512, seq 52992, length 40
18:33:07.192393 IP 192.168.26.1 > 192.168.23.1: ICMP echo request, id 0, seq 9752, length 60
18:33:09.284041 IP 192.168.26.137.1027 > 192.168.23.243.snmp: GetRequest(62) 25.3.2.1.5.1 25.3.5.1.1.1 [|snmp]
18:33:10.768405 IP 192.168.26.137 > 192.168.23.205: ICMP echo request, id 512, seq 53248, length 40
18:33:16.268546 IP 192.168.26.137 > 192.168.23.205: ICMP echo request, id 512, seq 53504, length 40
FreeBSD - XXX.XXX.XXX.XXX
D-Link - YYY.YYY.YYY.YYY
rc.conf
Код: Выделить всё
gif_interfaces="gif0"
gifconfig_gif0="XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY"
ifconfig_gif0="192.168.23.1 192.168.26.1 netmask 0xffffff00"
static_routes="RemoteLan"
route_RemoteLan="192.168.26.0/24 -interface gif0"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"
Код: Выделить всё
flush;
spdflush;
spdadd 192.168.23.0/24 192.168.26.0/24 any -P out ipsec esp/tunnel/XXX.XXX.XXX.XXX-YYY.YYY.YYY.YYY/require;
spdadd 192.168.26.0/24 192.168.23.0/24 any -P in ipsec esp/tunnel/YYY.YYY.YYY.YYY-XXX.XXX.XXX.XXX/require;
ipfw или отключен вообще (на время настройки) или в режиме "open"... Хотя от этого ничего не меняется...
На D-Link'е прописан статичный маршрут: Если в этом маршруте gateway поменять на XXX.XXX.XXX.XXX (как тут http://www.lissyara.su/?id=1503) туннель падает и не поднимается до тех пор пока
настройки не восстановят обратно.
У меня такое ощущение что косяг где-то на машине с FreeBSD... Это она не хочет пускать пакеты с gif0 дальше в сетку... Почему?
Может кто объяснит?...
Спасибо.
- FenX
- ст. прапорщик
- Сообщения: 513
- Зарегистрирован: 2008-04-23 17:46:53
- Откуда: Moscow
- Контактная информация:
Re: VPN между FreeBSD7 и D-Link DI804
Lazy caT, как ни странно, но такая же фигна была и у меня
сетка за 808-ым видна нормально,
за фрёй - нет ))
долго я тогда колупал мозг, в итоге плюнул...
через полгода поменяли 808-й на фрю - тунель поднялся с полпинка, видны были обе подсети ))
(старая фря даже не трогалась)
так что скорее всего это косяк исключительно 808-го
сетка за 808-ым видна нормально,
за фрёй - нет ))
долго я тогда колупал мозг, в итоге плюнул...
через полгода поменяли 808-й на фрю - тунель поднялся с полпинка, видны были обе подсети ))
(старая фря даже не трогалась)
так что скорее всего это косяк исключительно 808-го
- Lazy caT
- мл. сержант
- Сообщения: 101
- Зарегистрирован: 2008-09-11 9:59:17
- Откуда: Местные мы...
- Контактная информация:
Re: VPN между FreeBSD7 и D-Link DI804
И все-таки мне кажется что я где-то накосячил в межсетевой маршрутизации на фре...
Сегодня попробовал поднять туннель между той-же фрей и новым vpn-маршрутизатором (благо есть возможность)
Взял Linksys BEFSX41 версия прошивки 1.52.9
Немного подкрутил настройки racoon, туннель поднялся без запинок, мгновенно...
Но вот пакеты в сеть за FreeBSD так и не идут...
Может кто подскажет что и где нужно посмотреть или куда пнуть?...
добавленный маршрут на LinkSys'е
Сегодня попробовал поднять туннель между той-же фрей и новым vpn-маршрутизатором (благо есть возможность)
Взял Linksys BEFSX41 версия прошивки 1.52.9
Немного подкрутил настройки racoon, туннель поднялся без запинок, мгновенно...
Но вот пакеты в сеть за FreeBSD так и не идут...
Может кто подскажет что и где нужно посмотреть или куда пнуть?...
добавленный маршрут на LinkSys'е
- kabachok
- мл. сержант
- Сообщения: 148
- Зарегистрирован: 2009-01-20 2:13:18
- Откуда: msk.ru
- Контактная информация:
Re: VPN между FreeBSD7 и D-Link DI804
может быть, нам поможет помоч вам netstat -rn?
Мы стены ломаем силой ума. © Кирпичи.
- Lazy caT
- мл. сержант
- Сообщения: 101
- Зарегистрирован: 2008-09-11 9:59:17
- Откуда: Местные мы...
- Контактная информация:
Re: VPN между FreeBSD7 и D-Link DI804
Пжалстаkabachok писал(а):может быть, нам поможет помоч вам netstat -rn?
Код: Выделить всё
[11:15] / >netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default XXX.XXX.XXX.1 UGS 0 162 sis0
XXX.XXX.XXX.0/28 link#1 UC 0 0 sis0
XXX.XXX.XXX.1 00:20:8f:0b:08:63 UHLW 2 0 sis0 1196
XXX.XXX.XXX.2 00:0c:6e:fb:51:3c UHLW 1 4 lo0
XXX.XXX.XXX.4 00:1a:92:96:28:3c UHLW 1 2 sis0 1127
XXX.XXX.XXX.15 ff:ff:ff:ff:ff:ff UHLWb 1 6 sis0
127.0.0.1 127.0.0.1 UH 0 92 lo0
192.168.23.0/24 link#2 UC 0 0 rl0
192.168.23.18 00:1d:60:6d:fa:19 UHLW 1 97 rl0 1170
192.168.23.19 00:19:21:21:2e:be UHLW 1 3 rl0 1156
192.168.23.30 00:19:21:1a:7c:bb UHLW 1 60 rl0 1131
192.168.23.58 00:19:21:1b:6f:bc UHLW 1 11 rl0 1158
192.168.23.100 00:1e:8c:ca:9a:90 UHLW 1 1258 rl0 1181
192.168.23.137 00:17:9a:c1:ab:ca UHLW 1 3 rl0 1127
192.168.23.235 00:17:9a:c1:ab:ca UHLW 1 0 rl0 1186
192.168.23.255 ff:ff:ff:ff:ff:ff UHLWb 1 25 rl0
192.168.26.0/24 gif0 US 0 0 gif0
192.168.26.1 192.168.23.1 UH 0 0 gif0
Internet6:
Destination Gateway Flags Netif Expire
::1 ::1 UHL lo0
fe80::%lo0/64 fe80::1%lo0 U lo0
fe80::1%lo0 link#3 UHL lo0
ff01:3::/32 fe80::1%lo0 UC lo0
ff02::%lo0/32 fe80::1%lo0 UC lo0
- kabachok
- мл. сержант
- Сообщения: 148
- Зарегистрирован: 2009-01-20 2:13:18
- Откуда: msk.ru
- Контактная информация:
Re: VPN между FreeBSD7 и D-Link DI804
С маршрутами помоему все в порядке у вас.
Мы стены ломаем силой ума. © Кирпичи.
- Lazy caT
- мл. сержант
- Сообщения: 101
- Зарегистрирован: 2008-09-11 9:59:17
- Откуда: Местные мы...
- Контактная информация:
Re: VPN между FreeBSD7 и D-Link DI804
Вот то-то и оно... а пакеты дальше gif0 не идут...kabachok писал(а):С маршрутами помоему все в порядке у вас.
- Lazy caT
- мл. сержант
- Сообщения: 101
- Зарегистрирован: 2008-09-11 9:59:17
- Откуда: Местные мы...
- Контактная информация:
Re: VPN между FreeBSD7 и D-Link DI804
Похоже я просек в чем трабла...
После праздников буду разбираться...
Кстати, всех с праздником 9го мая...
После праздников буду разбираться...
Кстати, всех с праздником 9го мая...
- kabachok
- мл. сержант
- Сообщения: 148
- Зарегистрирован: 2009-01-20 2:13:18
- Откуда: msk.ru
- Контактная информация:
- Lazy caT
- мл. сержант
- Сообщения: 101
- Зарегистрирован: 2008-09-11 9:59:17
- Откуда: Местные мы...
- Контактная информация:
Re: VPN между FreeBSD7 и D-Link DI804
Итак...
Похоже что нифига у меня не получилось что-либо придумать...
Очень долго копал интернет накопал вот такую вещь:
в rc.conf меняется строчка route_RemoteLan
после этого пакеты пошли и туда и обратно...
и получается вот что:
rc.conf
далее:
ipsec.conf
далее:
racoon.conf
настройка D-Link'а:
VPN IKE Proposal
сорри, "в текст всралась опечатка"... тут в lifetime стоит не 0 а 28800 сек. IPSec Proposal Таблица маршрутизации Скорее всего есть косяки в ракуне... ибо у меня туннель умирает насмерть после того как lifetime оттикает...
Буду ковырять...
Похоже что нифига у меня не получилось что-либо придумать...
Очень долго копал интернет накопал вот такую вещь:
в rc.conf меняется строчка route_RemoteLan
Код: Выделить всё
с route_RemoteLan="192.168.26.0/24 -interface gif0"
на route_RemoteLan="-net 192.168.26.0/24 192.168.26.1"
и получается вот что:
rc.conf
Код: Выделить всё
# создаём gif-интерфейс
cloned_interfaces="gif0"
# пробиваем туннель
gif_interfaces="gif0"
gifconfig_gif0="XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY"
ifconfig_gif0="192.168.23.1 192.168.26.1 netmask 255.255.255.0"
# вводим статический роутинг
static_routes="RemoteLan"
route_RemoteLan="-net 192.168.26.0/24 192.168.26.1"
# Включаем IPSEC
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
# Включем racoon
racoon_enable="YES"
racoon_flags="-l /var/log/racoon.log"
ipsec.conf
Код: Выделить всё
#!/bin/sh
flush;
spdflush;
spdadd 192.168.23.0/24 192.168.26.0/24 any -P out ipsec esp/tunnel/XXX.XXX.XXX.XXX-YYY.YYY.YYY.YYY/require;
spdadd 192.168.26.0/24 192.168.23.0/24 any -P in ipsec esp/tunnel/YYY.YYY.YYY.YYY-XXX.XXX.XXX.XXX/require;
racoon.conf
Код: Выделить всё
#!/bin/sh
path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
log notify;
padding
{
maximum_length 20; # максимальная длинна набивки (?).
randomize off; # включение случайной длинны.
strict_check off; # включить строгую проверку.
exclusive_tail off; # извлекать один последний октет.
}
listen
{
isakmp XXX.XXX.XXX.XXX [500];
}
timer
{
counter 5; # максимальный счётчик попыток отсыла.
interval 20 sec; # максимальный интерал для повторной посылки.
persend 1; # число отсылаемых пакетов.
phase1 30 sec;
phase2 15 sec;
}
remote YYY.YYY.YYY.YYY [500]
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
nonce_size 16;
lifetime time 24 hour; # sec,min,hour
initial_contact on;
support_proxy off;
support_mip6 on;
proposal_check obey; # obey, strict, or claim
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 1;
lifetime time 28800 sec;
}
}
sainfo anonymous
{
pfs_group 1;
lifetime time 3600 sec;
encryption_algorithm 3des ;
authentication_algorithm hmac_md5;
compression_algorithm deflate ;
}
VPN IKE Proposal
сорри, "в текст всралась опечатка"... тут в lifetime стоит не 0 а 28800 сек. IPSec Proposal Таблица маршрутизации Скорее всего есть косяки в ракуне... ибо у меня туннель умирает насмерть после того как lifetime оттикает...
Буду ковырять...
- Lazy caT
- мл. сержант
- Сообщения: 101
- Зарегистрирован: 2008-09-11 9:59:17
- Откуда: Местные мы...
- Контактная информация:
Re: VPN между FreeBSD7 и D-Link DI804
Точно, то что туннель падал, косяк был в конфиге ракуна... поправил теперь 2й день пашет...
Итак, после 2х дневного прогона что имеем...
Таблица маршрутизации:
Проблем, пока ни каких не выявлено...
Итак, после 2х дневного прогона что имеем...
Таблица маршрутизации:
Код: Выделить всё
[11:58] / >netstat -rn
Routing tables
Internet:
Destination Gateway Flags Refs Use Netif Expire
default XXX.XXX.XXX.1 UGS 0 364399 sis0
XXX.XXX.XXX.0/28 link#1 UC 0 0 sis0
XXX.XXX.XXX.1 00:20:8f:0b:08:63 UHLW 2 0 sis0 1177
XXX.XXX.XXX.2 00:0c:6e:fb:51:3c UHLW 1 116 lo0
XXX.XXX.XXX.4 00:1a:92:96:28:3c UHLW 1 8 sis0 444
XXX.XXX.XXX.5 00:0d:88:4f:c6:92 UHLW 1 6 sis0 310
XXX.XXX.XXX.10 00:13:46:dd:07:ba UHLW 1 42884 sis0 1192
XXX.XXX.XXX.15 ff:ff:ff:ff:ff:ff UHLWb 1 10284 sis0
127.0.0.1 127.0.0.1 UH 0 15230 lo0
192.168.23.0/24 link#2 UC 0 0 rl0
192.168.23.1 00:11:95:27:0b:7b UHLW 1 4 lo0
192.168.23.11 00:19:21:1b:73:45 UHLW 1 23 rl0 1130
192.168.23.12 00:19:21:21:2f:72 UHLW 1 5571 rl0 1001
192.168.23.15 00:19:21:1b:71:e6 UHLW 1 51 rl0 998
192.168.23.18 00:1d:60:6d:fa:19 UHLW 1 61777 rl0 964
192.168.23.19 00:19:21:21:2e:be UHLW 1 23 rl0 1086
192.168.23.23 00:50:04:99:da:98 UHLW 1 22 rl0 1191
192.168.23.25 00:0e:a6:56:67:0c UHLW 1 12 rl0 1165
192.168.23.29 00:19:21:1f:cf:9e UHLW 1 22 rl0 1196
192.168.23.30 00:19:21:1a:7c:bb UHLW 1 84023 rl0 1046
192.168.23.31 00:19:21:20:7e:44 UHLW 1 1 rl0 1195
192.168.23.34 00:19:21:1b:73:1a UHLW 1 22 rl0 1191
192.168.23.40 00:16:e6:40:66:d0 UHLW 1 12 rl0 1152
192.168.23.41 00:11:2f:43:36:34 UHLW 1 9 rl0 1016
192.168.23.53 00:1d:60:6d:fa:1f UHLW 1 5 rl0 1108
192.168.23.57 00:18:f3:50:93:0e UHLW 1 37 rl0 983
192.168.23.75 00:1b:fc:f4:1b:3c UHLW 1 1 rl0 1123
192.168.23.100 00:1e:8c:ca:9a:90 UHLW 1 238507 rl0 1195
192.168.23.201 00:02:b3:e9:89:26 UHLW 1 0 rl0 1162
192.168.23.205 00:1b:fc:f3:37:43 UHLW 1 808 rl0 1199
192.168.23.216 00:11:11:77:b9:69 UHLW 1 1987 rl0 800
192.168.23.235 00:17:9a:c1:ab:ca UHLW 1 4 rl0 1157
192.168.23.255 ff:ff:ff:ff:ff:ff UHLWb 1 5915 rl0
192.168.26.0/24 192.168.26.1 UGS 0 7337 gif0
192.168.26.1 192.168.23.1 UH 1 9805 gif0
Internet6:
Destination Gateway Flags Netif
Expire
::1 ::1 UHL lo0
fe80::%lo0/64 fe80::1%lo0 U lo0
fe80::1%lo0 link#3 UHL lo0
ff01:3::/32 fe80::1%lo0 UC lo0
ff02::%lo0/32 fe80::1%lo0 UC lo0
- Lazy caT
- мл. сержант
- Сообщения: 101
- Зарегистрирован: 2008-09-11 9:59:17
- Откуда: Местные мы...
- Контактная информация:
Re: VPN между FreeBSD7 и D-Link DI804
кстати, я вот заметил вот такую вещь в таблице нынешней и в таблице предыдущей:
флаг поменялся... теперь этот маршрут стал gateway...
Код: Выделить всё
что было...
192.168.26.0/24 gif0 US 0 0 gif0
что стало...
192.168.26.0/24 192.168.26.1 UGS 0 7337 gif0
-
- проходил мимо
Re: VPN между FreeBSD7 и D-Link DI804
А какой косяк у тебя был в конфиге???У меня туннель тоже по-окончанию лайфтайма умирает.