VPN между FreeBSD7 и D-Link DI804

Настройка сетевых служб, маршрутизации, фаерволлов. Проблемы с сетевым оборудованием.
Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
altaranenco
проходил мимо
Сообщения: 4
Зарегистрирован: 2008-03-23 22:56:48

VPN между FreeBSD7 и D-Link DI804

Непрочитанное сообщение altaranenco » 2008-04-10 14:18:33

В общем с горем пополам настроил я впн между ними. Использовал это http://www.lissyara.su/?id=1328 и это http://www.dlink.ru/technical/faq_vpn_11.php.
Опишу сети:
192.168.0.0\24 -сеть фри, ип фри 192.168.0.2
192.168.1.0\24 - сеть длинка, ип длинка 192.168.1.1
публичные адреса в локалке провайдера 10.0.0.47\25 и 10.0.0.57\25
ВПН поднялось, но есть несколько проблем:
1)пинги между сетями идут только с фри. Т.е. фря спокойно видит все компы в сети длинка. Но ни из сети фри, ни из сети длинка клиентов и даже шлюзов в других сетях не видно.
2)почему-то не срабатывает ipsec_file="/etc/ipsec.conf" при загрузке. Приходится вручную каждый раз добавлять setkey -f /etc/ipsec.conf.
Фаервол отключен.

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

altaranenco
проходил мимо
Сообщения: 4
Зарегистрирован: 2008-03-23 22:56:48

Re: VPN между FreeBSD7 и D-Link DI804

Непрочитанное сообщение altaranenco » 2008-04-11 10:54:00

в общем лишний раз убеждаюсь что в 90% всех проблем виноваты кривые руки и не внимательность. Оказалось опечатка в rc.conf. Ну и как и думал немного недокурил статику на длинке. Тему можно закрвать.

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35466
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Re: VPN между FreeBSD7 и D-Link DI804

Непрочитанное сообщение Alex Keda » 2008-04-11 11:20:30

конфиги рабочие выложи.
мож кому пригодитьяс
Убей их всех! Бог потом рассортирует...

Аватара пользователя
Lazy caT
мл. сержант
Сообщения: 101
Зарегистрирован: 2008-09-11 9:59:17
Откуда: Местные мы...
Контактная информация:

Re: VPN между FreeBSD7 и D-Link DI804

Непрочитанное сообщение Lazy caT » 2009-04-28 17:35:57

У меня подобная проблема но только с D-Link DI-808HV...
Заключается в следующем...
Поднимается туннель нормально. Из FreeBSD'шной сети, сеть за D-Link'ком видна полностью, в обратную сторону нифига, причем,
при просмотре на FreeBSD пакетов на gif0 (tcpdump -i gif0) вижу что пинги на gif0 приходят... а вот дальше не идут... :(

Код: Выделить всё

[18:32]  / >tcpdump -i gif0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on gif0, link-type NULL (BSD loopback), capture size 96 bytes
18:32:59.768141 IP 192.168.26.137 > 192.168.23.205: ICMP echo request, id 512, seq 52736, length 40
18:33:05.268304 IP 192.168.26.137 > 192.168.23.205: ICMP echo request, id 512, seq 52992, length 40
18:33:07.192393 IP 192.168.26.1 > 192.168.23.1: ICMP echo request, id 0, seq 9752, length 60
18:33:09.284041 IP 192.168.26.137.1027 > 192.168.23.243.snmp:  GetRequest(62)  25.3.2.1.5.1 25.3.5.1.1.1 [|snmp]
18:33:10.768405 IP 192.168.26.137 > 192.168.23.205: ICMP echo request, id 512, seq 53248, length 40
18:33:16.268546 IP 192.168.26.137 > 192.168.23.205: ICMP echo request, id 512, seq 53504, length 40
Что имею:
FreeBSD - XXX.XXX.XXX.XXX
D-Link - YYY.YYY.YYY.YYY

rc.conf

Код: Выделить всё

gif_interfaces="gif0"
gifconfig_gif0="XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY"
ifconfig_gif0="192.168.23.1 192.168.26.1 netmask 0xffffff00"
static_routes="RemoteLan"
route_RemoteLan="192.168.26.0/24 -interface gif0"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"
ipsec.conf

Код: Выделить всё

flush;
spdflush;
spdadd 192.168.23.0/24 192.168.26.0/24 any -P out ipsec esp/tunnel/XXX.XXX.XXX.XXX-YYY.YYY.YYY.YYY/require;
spdadd 192.168.26.0/24 192.168.23.0/24 any -P in  ipsec esp/tunnel/YYY.YYY.YYY.YYY-XXX.XXX.XXX.XXX/require;
Думаю racoon.conf смысла приводить нет т.к. туннель поднимается нормально.

ipfw или отключен вообще (на время настройки) или в режиме "open"... Хотя от этого ничего не меняется...

На D-Link'е прописан статичный маршрут:
Безымянный.jpg
Если в этом маршруте gateway поменять на XXX.XXX.XXX.XXX (как тут http://www.lissyara.su/?id=1503) туннель падает и не поднимается до тех пор пока
настройки не восстановят обратно.

У меня такое ощущение что косяг где-то на машине с FreeBSD... Это она не хочет пускать пакеты с gif0 дальше в сетку... Почему?
Может кто объяснит?...
Спасибо.

Аватара пользователя
FenX
ст. прапорщик
Сообщения: 513
Зарегистрирован: 2008-04-23 17:46:53
Откуда: Moscow
Контактная информация:

Re: VPN между FreeBSD7 и D-Link DI804

Непрочитанное сообщение FenX » 2009-04-29 9:32:59

Lazy caT, как ни странно, но такая же фигна была и у меня :)
сетка за 808-ым видна нормально,
за фрёй - нет ))

долго я тогда колупал мозг, в итоге плюнул...
через полгода поменяли 808-й на фрю - тунель поднялся с полпинка, видны были обе подсети :)))
(старая фря даже не трогалась)

так что скорее всего это косяк исключительно 808-го

Аватара пользователя
Lazy caT
мл. сержант
Сообщения: 101
Зарегистрирован: 2008-09-11 9:59:17
Откуда: Местные мы...
Контактная информация:

Re: VPN между FreeBSD7 и D-Link DI804

Непрочитанное сообщение Lazy caT » 2009-04-29 16:10:04

И все-таки мне кажется что я где-то накосячил в межсетевой маршрутизации на фре...

Сегодня попробовал поднять туннель между той-же фрей и новым vpn-маршрутизатором (благо есть возможность)
Взял Linksys BEFSX41 версия прошивки 1.52.9
Немного подкрутил настройки racoon, туннель поднялся без запинок, мгновенно...
Но вот пакеты в сеть за FreeBSD так и не идут...

Может кто подскажет что и где нужно посмотреть или куда пнуть?... :)

добавленный маршрут на LinkSys'е
ls.jpg

Аватара пользователя
kabachok
мл. сержант
Сообщения: 148
Зарегистрирован: 2009-01-20 2:13:18
Откуда: msk.ru
Контактная информация:

Re: VPN между FreeBSD7 и D-Link DI804

Непрочитанное сообщение kabachok » 2009-04-30 0:45:06

может быть, нам поможет помоч вам netstat -rn?
Мы стены ломаем силой ума. © Кирпичи.

Аватара пользователя
Lazy caT
мл. сержант
Сообщения: 101
Зарегистрирован: 2008-09-11 9:59:17
Откуда: Местные мы...
Контактная информация:

Re: VPN между FreeBSD7 и D-Link DI804

Непрочитанное сообщение Lazy caT » 2009-04-30 10:17:31

kabachok писал(а):может быть, нам поможет помоч вам netstat -rn?
Пжалста :)

Код: Выделить всё

[11:15]  / >netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            XXX.XXX.XXX.1         UGS         0      162   sis0
XXX.XXX.XXX.0/28   link#1             UC          0        0   sis0
XXX.XXX.XXX.1      00:20:8f:0b:08:63  UHLW        2        0   sis0   1196
XXX.XXX.XXX.2      00:0c:6e:fb:51:3c  UHLW        1        4    lo0
XXX.XXX.XXX.4      00:1a:92:96:28:3c  UHLW        1        2   sis0   1127
XXX.XXX.XXX.15     ff:ff:ff:ff:ff:ff  UHLWb       1        6   sis0
127.0.0.1          127.0.0.1          UH          0       92    lo0
192.168.23.0/24    link#2             UC          0        0    rl0
192.168.23.18      00:1d:60:6d:fa:19  UHLW        1       97    rl0   1170
192.168.23.19      00:19:21:21:2e:be  UHLW        1        3    rl0   1156
192.168.23.30      00:19:21:1a:7c:bb  UHLW        1       60    rl0   1131
192.168.23.58      00:19:21:1b:6f:bc  UHLW        1       11    rl0   1158
192.168.23.100     00:1e:8c:ca:9a:90  UHLW        1     1258    rl0   1181
192.168.23.137     00:17:9a:c1:ab:ca  UHLW        1        3    rl0   1127
192.168.23.235     00:17:9a:c1:ab:ca  UHLW        1        0    rl0   1186
192.168.23.255     ff:ff:ff:ff:ff:ff  UHLWb       1       25    rl0
192.168.26.0/24    gif0               US          0        0   gif0
192.168.26.1       192.168.23.1       UH          0        0   gif0

Internet6:
Destination                       Gateway                       Flags      Netif Expire
::1                               ::1                           UHL         lo0
fe80::%lo0/64                     fe80::1%lo0                   U           lo0
fe80::1%lo0                       link#3                        UHL         lo0
ff01:3::/32                       fe80::1%lo0                   UC          lo0
ff02::%lo0/32                     fe80::1%lo0                   UC          lo0

Аватара пользователя
kabachok
мл. сержант
Сообщения: 148
Зарегистрирован: 2009-01-20 2:13:18
Откуда: msk.ru
Контактная информация:

Re: VPN между FreeBSD7 и D-Link DI804

Непрочитанное сообщение kabachok » 2009-05-01 0:59:53

С маршрутами помоему все в порядке у вас.
Мы стены ломаем силой ума. © Кирпичи.

Аватара пользователя
Lazy caT
мл. сержант
Сообщения: 101
Зарегистрирован: 2008-09-11 9:59:17
Откуда: Местные мы...
Контактная информация:

Re: VPN между FreeBSD7 и D-Link DI804

Непрочитанное сообщение Lazy caT » 2009-05-04 15:07:20

kabachok писал(а):С маршрутами помоему все в порядке у вас.
Вот то-то и оно... а пакеты дальше gif0 не идут... :(

Аватара пользователя
Lazy caT
мл. сержант
Сообщения: 101
Зарегистрирован: 2008-09-11 9:59:17
Откуда: Местные мы...
Контактная информация:

Re: VPN между FreeBSD7 и D-Link DI804

Непрочитанное сообщение Lazy caT » 2009-05-09 23:49:00

Похоже я просек в чем трабла... :-D
После праздников буду разбираться...
Кстати, всех с праздником 9го мая... :-D

Аватара пользователя
kabachok
мл. сержант
Сообщения: 148
Зарегистрирован: 2009-01-20 2:13:18
Откуда: msk.ru
Контактная информация:

Re: VPN между FreeBSD7 и D-Link DI804

Непрочитанное сообщение kabachok » 2009-05-11 1:47:19

обязательно отпишись
Мы стены ломаем силой ума. © Кирпичи.

Аватара пользователя
Lazy caT
мл. сержант
Сообщения: 101
Зарегистрирован: 2008-09-11 9:59:17
Откуда: Местные мы...
Контактная информация:

Re: VPN между FreeBSD7 и D-Link DI804

Непрочитанное сообщение Lazy caT » 2009-05-25 15:56:42

Итак...
Похоже что нифига у меня не получилось что-либо придумать...
Очень долго копал интернет накопал вот такую вещь:
в rc.conf меняется строчка route_RemoteLan

Код: Выделить всё

с route_RemoteLan="192.168.26.0/24 -interface gif0"
на route_RemoteLan="-net 192.168.26.0/24 192.168.26.1"
после этого пакеты пошли и туда и обратно...

и получается вот что:
rc.conf

Код: Выделить всё

# создаём gif-интерфейс
cloned_interfaces="gif0"
# пробиваем туннель
gif_interfaces="gif0"
gifconfig_gif0="XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY"
ifconfig_gif0="192.168.23.1 192.168.26.1 netmask 255.255.255.0"
# вводим статический роутинг
static_routes="RemoteLan"
route_RemoteLan="-net 192.168.26.0/24 192.168.26.1"
# Включаем IPSEC
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
# Включем racoon
racoon_enable="YES"
racoon_flags="-l /var/log/racoon.log"
далее:
ipsec.conf

Код: Выделить всё

#!/bin/sh
flush;
spdflush;
spdadd 192.168.23.0/24 192.168.26.0/24 any -P out ipsec esp/tunnel/XXX.XXX.XXX.XXX-YYY.YYY.YYY.YYY/require;
spdadd 192.168.26.0/24 192.168.23.0/24 any -P in ipsec esp/tunnel/YYY.YYY.YYY.YYY-XXX.XXX.XXX.XXX/require;
далее:
racoon.conf

Код: Выделить всё

#!/bin/sh

path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt";

log notify;

padding
{
    maximum_length 20;      # максимальная длинна набивки (?).
    randomize off;          # включение случайной длинны.
    strict_check off;       # включить строгую проверку.
    exclusive_tail off;     # извлекать один последний октет.
}

listen
{
    isakmp XXX.XXX.XXX.XXX [500];
}

timer
{
    counter 5;              # максимальный счётчик попыток отсыла.
    interval 20 sec;        # максимальный интерал для повторной посылки.
    persend 1;              # число отсылаемых пакетов.

    phase1 30 sec;
    phase2 15 sec;
}

remote YYY.YYY.YYY.YYY [500]
{
    exchange_mode main,aggressive;
    doi ipsec_doi;
    situation identity_only;

    nonce_size 16;
    lifetime time 24 hour; # sec,min,hour
    initial_contact on;
    support_proxy off;
    support_mip6 on;
    proposal_check obey;    # obey, strict, or claim

    proposal {
        encryption_algorithm 3des;
        hash_algorithm sha1;
        authentication_method pre_shared_key;
        dh_group 1;
        lifetime time 28800 sec;
    }
}

sainfo anonymous
{
    pfs_group 1;
    lifetime time 3600 sec;
    encryption_algorithm 3des ;
    authentication_algorithm hmac_md5;
    compression_algorithm deflate ;
}
настройка D-Link'а:
VPN
dlink1.jpg
IKE Proposal
сорри, "в текст всралась опечатка"... тут в lifetime стоит не 0 а 28800 сек.
dlink2.jpg
IPSec Proposal
dlink3.jpg
Таблица маршрутизации
dlink4.jpg
Скорее всего есть косяки в ракуне... ибо у меня туннель умирает насмерть после того как lifetime оттикает...
Буду ковырять... :)

Аватара пользователя
Lazy caT
мл. сержант
Сообщения: 101
Зарегистрирован: 2008-09-11 9:59:17
Откуда: Местные мы...
Контактная информация:

Re: VPN между FreeBSD7 и D-Link DI804

Непрочитанное сообщение Lazy caT » 2009-05-27 11:04:55

Точно, то что туннель падал, косяк был в конфиге ракуна... :-D поправил теперь 2й день пашет...

Итак, после 2х дневного прогона что имеем...

Таблица маршрутизации:

Код: Выделить всё

[11:58]  / >netstat -rn
Routing tables

Internet:
Destination        Gateway            Flags    Refs      Use  Netif Expire
default            XXX.XXX.XXX.1         UGS         0   364399   sis0
XXX.XXX.XXX.0/28      link#1             UC          0        0   sis0
XXX.XXX.XXX.1         00:20:8f:0b:08:63  UHLW        2        0   sis0   1177
XXX.XXX.XXX.2         00:0c:6e:fb:51:3c  UHLW        1      116    lo0
XXX.XXX.XXX.4         00:1a:92:96:28:3c  UHLW        1        8   sis0    444
XXX.XXX.XXX.5         00:0d:88:4f:c6:92  UHLW        1        6   sis0    310
XXX.XXX.XXX.10        00:13:46:dd:07:ba  UHLW        1    42884   sis0   1192
XXX.XXX.XXX.15        ff:ff:ff:ff:ff:ff  UHLWb       1    10284   sis0
127.0.0.1          127.0.0.1          UH          0    15230    lo0
192.168.23.0/24    link#2             UC          0        0    rl0
192.168.23.1       00:11:95:27:0b:7b  UHLW        1        4    lo0
192.168.23.11      00:19:21:1b:73:45  UHLW        1       23    rl0   1130
192.168.23.12      00:19:21:21:2f:72  UHLW        1     5571    rl0   1001
192.168.23.15      00:19:21:1b:71:e6  UHLW        1       51    rl0    998
192.168.23.18      00:1d:60:6d:fa:19  UHLW        1    61777    rl0    964
192.168.23.19      00:19:21:21:2e:be  UHLW        1       23    rl0   1086
192.168.23.23      00:50:04:99:da:98  UHLW        1       22    rl0   1191
192.168.23.25      00:0e:a6:56:67:0c  UHLW        1       12    rl0   1165
192.168.23.29      00:19:21:1f:cf:9e  UHLW        1       22    rl0   1196
192.168.23.30      00:19:21:1a:7c:bb  UHLW        1    84023    rl0   1046
192.168.23.31      00:19:21:20:7e:44  UHLW        1        1    rl0   1195
192.168.23.34      00:19:21:1b:73:1a  UHLW        1       22    rl0   1191
192.168.23.40      00:16:e6:40:66:d0  UHLW        1       12    rl0   1152
192.168.23.41      00:11:2f:43:36:34  UHLW        1        9    rl0   1016
192.168.23.53      00:1d:60:6d:fa:1f  UHLW        1        5    rl0   1108
192.168.23.57      00:18:f3:50:93:0e  UHLW        1       37    rl0    983
192.168.23.75      00:1b:fc:f4:1b:3c  UHLW        1        1    rl0   1123
192.168.23.100     00:1e:8c:ca:9a:90  UHLW        1   238507    rl0   1195
192.168.23.201     00:02:b3:e9:89:26  UHLW        1        0    rl0   1162
192.168.23.205     00:1b:fc:f3:37:43  UHLW        1      808    rl0   1199
192.168.23.216     00:11:11:77:b9:69  UHLW        1     1987    rl0    800
192.168.23.235     00:17:9a:c1:ab:ca  UHLW        1        4    rl0   1157
192.168.23.255     ff:ff:ff:ff:ff:ff  UHLWb       1     5915    rl0
192.168.26.0/24    192.168.26.1       UGS         0     7337   gif0
192.168.26.1       192.168.23.1       UH          1     9805   gif0

Internet6:
Destination                       Gateway                       Flags      Netif
 Expire
::1                               ::1                           UHL         lo0
fe80::%lo0/64                     fe80::1%lo0                   U           lo0
fe80::1%lo0                       link#3                        UHL         lo0
ff01:3::/32                       fe80::1%lo0                   UC          lo0
ff02::%lo0/32                     fe80::1%lo0                   UC          lo0
Проблем, пока ни каких не выявлено...

Аватара пользователя
Lazy caT
мл. сержант
Сообщения: 101
Зарегистрирован: 2008-09-11 9:59:17
Откуда: Местные мы...
Контактная информация:

Re: VPN между FreeBSD7 и D-Link DI804

Непрочитанное сообщение Lazy caT » 2009-05-27 11:11:46

кстати, я вот заметил вот такую вещь в таблице нынешней и в таблице предыдущей:

Код: Выделить всё

что было...
192.168.26.0/24    gif0               US          0        0   gif0
что стало...
192.168.26.0/24    192.168.26.1       UGS         0     7337   gif0
флаг поменялся... теперь этот маршрут стал gateway...

Sem
проходил мимо

Re: VPN между FreeBSD7 и D-Link DI804

Непрочитанное сообщение Sem » 2011-04-27 16:47:08

А какой косяк у тебя был в конфиге???У меня туннель тоже по-окончанию лайфтайма умирает.