IPSec теория и практика

Обсуждаем сайт и форум.

Модератор: f0s

fazer
проходил мимо
Сообщения: 6
Зарегистрирован: 2010-01-05 9:48:57

Re: IPSec теория и практика

Непрочитанное сообщение fazer » 2013-01-21 17:04:17

ssh4 писал(а):Re: IPSec теория и практика
ssh4 » 2012-02-15 1:21:30
до инициализации работы демона mpd5 l2tp дело не доходит.
Я поэтому и не парился с выкладыванием конфига mpd5.
Аналогичная фигня..., что-нибудь удолось прояснить ?

2013-01-21 17:21:01: [95.28.213.55] INFO: Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02
2013-01-21 17:21:01: [92.204.164.3] INFO: Hashing 92.204.164.3[500] with algo #2
2013-01-21 17:21:01: INFO: NAT-D payload #0 verified
2013-01-21 17:21:01: [95.28.213.55] INFO: Hashing 95.28.213.55[56513] with algo #2
2013-01-21 17:21:01: INFO: NAT-D payload #1 doesn't match
2013-01-21 17:21:01: INFO: NAT detected: PEER
2013-01-21 17:21:01: [95.28.213.55] INFO: Hashing 95.28.213.55[56513] with algo #2
2013-01-21 17:21:01: [92.204.164.3] INFO: Hashing 92.204.164.3[500] with algo #2
2013-01-21 17:21:01: INFO: Adding remote and local NAT-D payloads.
2013-01-21 17:21:01: INFO: NAT-T: ports changed to: 95.28.213.55[53266]<->92.204.164.3[4500]
2013-01-21 17:21:01: INFO: KA list add: 92.204.164.3[4500]->95.28.213.55[53266]
2013-01-21 17:21:01: WARNING: Expecting IP address type in main mode, but FQDN.
2013-01-21 17:21:01: INFO: ISAKMP-SA established 92.204.164.3[4500]-95.28.213.55[53266] spi:28711ac3345a7ee1:1ff341eda2b3cec8
2013-01-21 17:21:01: INFO: respond new phase 2 negotiation: 92.204.164.3[4500]<=>95.28.213.55[53266]
2013-01-21 17:21:01: INFO: Update the generated policy : 95.28.213.55/32[53266] 92.204.164.3/32[1701] proto=udp dir=in
2013-01-21 17:21:01: INFO: Adjusting my encmode UDP-Transport->Transport
2013-01-21 17:21:01: INFO: Adjusting peer's encmode UDP-Transport(61444)->Transport(2)
2013-01-21 17:21:01: INFO: IPsec-SA established: ESP/Transport 92.204.164.3[500]->95.28.213.55[500] spi=230203707(0xdb8a13b)
2013-01-21 17:21:01: INFO: IPsec-SA established: ESP/Transport 92.204.164.3[500]->95.28.213.55[500] spi=411438922(0x18860f4a)

и ВСЁ, отваливается по таймауту

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Вовкааа
проходил мимо

Re: IPSec теория и практика

Непрочитанное сообщение Вовкааа » 2013-01-22 16:20:58

fazer » 2013-01-21 17:04:17

ssh4 писал(а):
Re: IPSec теория и практика
ssh4 » 2012-02-15 1:21:30
до инициализации работы демона mpd5 l2tp дело не доходит.
Я поэтому и не парился с выкладыванием конфига mpd5.


Аналогичная фигня..., что-нибудь удолось прояснить ?

2013-01-21 17:21:01: [95.28.213.55] INFO: Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02
2013-01-21 17:21:01: [92.204.164.3] INFO: Hashing 92.204.164.3[500] with algo #2
2013-01-21 17:21:01: INFO: NAT-D payload #0 verified
2013-01-21 17:21:01: [95.28.213.55] INFO: Hashing 95.28.213.55[56513] with algo #2
2013-01-21 17:21:01: INFO: NAT-D payload #1 doesn't match
2013-01-21 17:21:01: INFO: NAT detected: PEER
2013-01-21 17:21:01: [95.28.213.55] INFO: Hashing 95.28.213.55[56513] with algo #2
2013-01-21 17:21:01: [92.204.164.3] INFO: Hashing 92.204.164.3[500] with algo #2
2013-01-21 17:21:01: INFO: Adding remote and local NAT-D payloads.
2013-01-21 17:21:01: INFO: NAT-T: ports changed to: 95.28.213.55[53266]<->92.204.164.3[4500]
2013-01-21 17:21:01: INFO: KA list add: 92.204.164.3[4500]->95.28.213.55[53266]
2013-01-21 17:21:01: WARNING: Expecting IP address type in main mode, but FQDN.
2013-01-21 17:21:01: INFO: ISAKMP-SA established 92.204.164.3[4500]-95.28.213.55[53266] spi:28711ac3345a7ee1:1ff341eda2b3cec8
2013-01-21 17:21:01: INFO: respond new phase 2 negotiation: 92.204.164.3[4500]<=>95.28.213.55[53266]
2013-01-21 17:21:01: INFO: Update the generated policy : 95.28.213.55/32[53266] 92.204.164.3/32[1701] proto=udp dir=in
2013-01-21 17:21:01: INFO: Adjusting my encmode UDP-Transport->Transport
2013-01-21 17:21:01: INFO: Adjusting peer's encmode UDP-Transport(61444)->Transport(2)
2013-01-21 17:21:01: INFO: IPsec-SA established: ESP/Transport 92.204.164.3[500]->95.28.213.55[500] spi=230203707(0xdb8a13b)
2013-01-21 17:21:01: INFO: IPsec-SA established: ESP/Transport 92.204.164.3[500]->95.28.213.55[500] spi=411438922(0x18860f4a)

и ВСЁ, отваливается по таймауту
fazer
проходил мимо

Сообщения: 4
Зарегистрирован: 2010-01-05 9:48:57
У меня была такая беда когда в правилах ipfw allow к портам 1701,500,4500 стояло после divert а ....

fazer
проходил мимо
Сообщения: 6
Зарегистрирован: 2010-01-05 9:48:57

Re: IPSec теория и практика

Непрочитанное сообщение fazer » 2013-01-23 11:50:49

да не.., нету у меня на сервере ната, подозреваю что это виндовый клиент(ХР) не инициализирует соединение, но что с этим поделать ума не прикладу :(

yai73w
проходил мимо
Сообщения: 9
Зарегистрирован: 2011-05-16 8:42:07

Re: IPSec теория и практика

Непрочитанное сообщение yai73w » 2013-01-24 8:19:55

Добавлю может кому то поможет.
Начал делать примерно по статье.
Патч ядра обязателен, но сделал его выборочно - только игнорирование несовпадения контрольной суммы.
Тестил WinXP(клиент L2TP/IPSEC)(I) -> роутер FreeBSD8.3(NAT)(II) --- inet --- роутер FreeBSD8.3(сервер L2TP/IPSEC)(III)
Была только одна загвоздка:
Из дома из-за NAT работало(ADSL модем ZTF), через NAT на FreeBSD нет.
Оказалось необходимо разрешить прохождение фрагментированных пакетов на интерфейсе (II) к которому
подключен клиент.

Код: Выделить всё

#allow connection to l2tp/ipsec servise on relay
${fwcmd} add ${num}956 pass proto udp src-ip ${relay_ip} src-port isakmp,4500 out
${fwcmd} add ${num}956 pass proto udp dst-ip ${relay_ip} dst-port isakmp,4500 in
${fwcmd} add ${num}956 pass proto udp dst-ip ${relay_ip} frag in
где, ${relay_ip} адрес сервера L2TP/IPSEC
Иначе при передаче сертификата был затуп.

Вовкааа
проходил мимо

Re: IPSec теория и практика

Непрочитанное сообщение Вовкааа » 2013-01-25 16:45:16

Народ, извините за занудство.
У кого-нибудь работает 2 а коннекта из-за одного ната?
Перерыл всё что можно, перепадчил всем что нашел на эту тему (ядро, ракун)
Не получается.
Зарегистрировался на форуме http://forums.freebsd.org/showthread.php?t=26755&page=3
Спросил у rolfheinrich ... Говорит что работает..... Переправил конфиги как он посоветовал. Не фурычит.
Но судя по этим линкам, на сколько мне позволяет не знание английского.....
http://lists.freebsd.org/pipermail/free ... 33170.html
http://lists.freebsd.org/pipermail/free ... 67416.html
таких патчей еще нет. Или всё таки есть?

fazer
проходил мимо
Сообщения: 6
Зарегистрирован: 2010-01-05 9:48:57

Re: IPSec теория и практика

Непрочитанное сообщение fazer » 2013-02-11 11:21:44

Re: IPSec теория и практика
ssh4 » 2012-02-15 1:21:30
до инициализации работы демона mpd5 l2tp дело не доходит.
всё дело в "bad udp cksum"
лечится
alex_471
1. Нужен kernel patch kern/146190
2 . после пересборки ядра активировать net.inet.esp.esp_ignore_natt_cksum=1

Аватара пользователя
weec
лейтенант
Сообщения: 948
Зарегистрирован: 2007-07-24 11:17:35
Откуда: Afghanistan
Контактная информация:

Re: IPSec теория и практика

Непрочитанное сообщение weec » 2013-02-20 16:49:25

поднимал кто тоннели с компрессией (tunnel mode)?

kbakenov
мл. сержант
Сообщения: 74
Зарегистрирован: 2010-01-20 17:03:47
Откуда: оттуда
Контактная информация:

Re: IPSec теория и практика

Непрочитанное сообщение kbakenov » 2013-02-21 8:32:42

remote anonymous - мы предполагаем, что не знаем, с какого ип к нам будут конектиться. Если знаем, вместо anonymous пишем ип.

для создания ipsec тунеля - вроде как - адреса должны быть статичны?

Аватара пользователя
weec
лейтенант
Сообщения: 948
Зарегистрирован: 2007-07-24 11:17:35
Откуда: Afghanistan
Контактная информация:

Re: IPSec теория и практика

Непрочитанное сообщение weec » 2013-02-21 9:54:06

если используйте динамический адрес, то вместо идентификатора address используется отличные от него идентификаторы

Account
рядовой
Сообщения: 37
Зарегистрирован: 2011-07-01 15:01:13

Re: IPSec теория и практика

Непрочитанное сообщение Account » 2013-03-21 23:06:27

При проверке наблюдаю следующее (запускаю команду пинг) кроме шифрованных пакетов

Код: Выделить всё

23:40:11.597542 IP XX.XX.XX.XX > YY.YY.YY.YY: ESP(spi=0x0bd9619e,seq=0x9cc), length 116
чередуясь еще появляется

Код: Выделить всё

23:40:11.957788 IP XX.XX.XX.XX.63687 > YY.YY.YY.YY.2277: Flags [.], ack 1041, win 64147, length 0
Это нормально и что еще за пакет?
Так как если наоборот проверить то вторых пакетов не наблюдается.

Jeque
рядовой
Сообщения: 45
Зарегистрирован: 2009-01-23 12:28:33

Re: IPSec теория и практика

Непрочитанное сообщение Jeque » 2014-09-08 15:15:16

Прошу прощения за дурацкий вопрос, но хотелось бы понять, решена ли на данный момент проблема работоспособности связки mpd5 L2TPD + ipsec (racoon), если клиент Windows находится за NAT'ом?

jam
рядовой
Сообщения: 40
Зарегистрирован: 2008-05-21 11:28:33
Откуда: Красноярск
Контактная информация:

Re: IPSec теория и практика

Непрочитанное сообщение jam » 2014-10-31 14:57:03

Пытаюсь настроить клиента IPSec через l2tp (FreeBSD 9.1 + racoon + mpd5) до cisco ASA (сервер) из-за НАТ (все пакеты на рутере завернуты на BSD).
Настройка mpd:

Код: Выделить всё

l2tp_client:
        create bundle static B1
        set bundle disable compression
        set bundle disable round-robin
        set bundle disable encryption
        set bundle disable crypt-reqd
        set bundle disable bw-manage
        set bundle disable ipv6cp
        set bundle enable ipcp
        set ipcp no vjcomp
        set iface idle 0
        set iface enable tcpmssfix

        create link static L1 l2tp
        set link action bundle B1
        set auth authname blabla
        set auth password 12345
        set link max-redial 5
        set link mtu 1460
        set link keep-alive 20 75
        set l2tp peer xxx.xxx.xxx.xxx
        open
настройка racoon:

Код: Выделить всё

path pre_shared_key "/usr/local/etc/racoon/psk.txt";

log debug;

padding
{
 maximum_length 20;
 randomize off;
 strict_check off;
 exclusive_tail off;
}

listen
{
 isakmp 192.168.11.11 [500];
 isakmp_natt 192.168.11.11 [4500];
 adminsock "/var/db/racoon/racoon.sock";
}

timer
{
 counter 5;
 interval 20 sec;
 persend 1;
 phase1 90 sec;
 phase2 90 sec;
}

remote xxx.xxx.xxx.xxx
{
 exchange_mode main;
 lifetime time 28800 sec;
 generate_policy on;
 proposal_check obey;
 nat_traversal on;
 ike_frag on;
 my_identifier address xxx.xxx.xxx.xx1; внешний адрес на рутере
 proposal {
<------>encryption_algorithm 3des;
<------>#encryption_algorithm aes;
<------>#hash_algorithm md5;
<------>hash_algorithm sha1;
<------>authentication_method pre_shared_key;
<------>dh_group 2;
    }
}

sainfo anonymous
{
 pfs_group 2;
 lifetime time 1 hour;
 encryption_algorithm 3des;
 authentication_algorithm hmac_md5, hmac_sha1;
 compression_algorithm deflate;
}
setkey.conf

Код: Выделить всё

flush;
spdflush;

spdadd 192.168.11.11/32[any] xxx.xxx.xxx.xxx/32[1701] udp -P out ipsec esp/transport/192.168.11.11-xxx.xxx.xxx.xxx/unique;
spdadd xxx.xxx.xxx.xxx/32[1701] 192.168.11.11/32[any] udp -P in ipsec esp/transport/xxx.xxx.xxx.xxx-192.168.11.11/unique;
запускаю mpd5 и в логах racoon вижу:
  • racoon: INFO: IPsec-SA request for xxx.xxx.xxx.xxx queued due to no phase1 found.
    racoon: INFO: initiate new phase 1 negotiation: 192.168.11.11[500]<=>xxx.xxx.xxx.xxx[500]
    racoon: INFO: begin Identity Protection mode.
    racoon: INFO: received Vendor ID: RFC 3947
    racoon: INFO: received broken Microsoft ID: FRAGMENTATION
    racoon: [xxx.xxx.xxx.xxx] INFO: Selected NAT-T version: RFC 3947
    racoon: [xxx.xxx.xxx.xxx] INFO: Hashing xxx.xxx.xxx.xxx[500] with algo #2
    racoon: [192.168.11.11] INFO: Hashing 192.168.11.11[500] with algo #2
    racoon: INFO: Adding remote and local NAT-D payloads.
    racoon: INFO: received Vendor ID: CISCO-UNITY
    racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
    racoon: [192.168.11.11] INFO: Hashing 192.168.11.11[500] with algo #2
    racoon: INFO: NAT-D payload #0 doesn't match
    racoon: [xxx.xxx.xxx.xxx] INFO: Hashing xxx.xxx.xxx.xxx[500] with algo #2
    racoon: INFO: NAT-D payload #1 verified
    racoon: INFO: NAT detected: ME
    racoon: INFO: KA list add: 192.168.11.11[4500]->xxx.xxx.xxx.xxx[4500]
    racoon: INFO: received Vendor ID: DPD
    racoon: WARNING: port 4500 expected, but 0
    racoon: INFO: ISAKMP-SA established 192.168.11.11[4500]-xxx.xxx.xxx.xxx[4500] spi:afc1face5d027ecc:a7fb795f0104d980
    racoon: INFO: initiate new phase 2 negotiation: 192.168.11.11[4500]<=>xxx.xxx.xxx.xxx[4500]
    racoon: INFO: NAT detected -> UDP encapsulation (ENC_MODE 2->4).
    racoon: INFO: ISAKMP-SA expired 192.168.11.11[4500]-xxx.xxx.xxx.xxx[4500] spi:afc1face5d027ecc:a7fb795f0104d980
    racoon: INFO: ISAKMP-SA deleted 192.168.11.11[4500]-xxx.xxx.xxx.xxx[4500] spi:afc1face5d027ecc:a7fb795f0104d980
    racoon: INFO: KA remove: 192.168.11.11[4500]->xxx.xxx.xxx.xxx[4500]
в чём может быть проблема ? Могу детальные логи скинуть.

zurapa
рядовой
Сообщения: 23
Зарегистрирован: 2018-11-21 21:20:49
Откуда: Волгоград

IPSec теория и практика

Непрочитанное сообщение zurapa » 2019-05-26 10:24:55

jam, решили ли эту проблему? Если решили, то как?
У меня racoon в netbsd выдаёт аналогичное. На второй фазе заваливается. При том что на свой MikroTik цепляюсь нормально, а на рабочую Cisco VPN по L2TP/IPsec не цепляется. Настройки на Cisco мне не подконтрольны. Фазу 2 никак не хочет пройти, при том что и алгоритм шифрования и алгоритм авторизации я уже методом тыка подобрал, т.е. в них затыка не может быть, но при этом соединение отбрасывает с именно такой концовкой, как у вас racoon сообщает.