Проблемы с Ipsec-tools

Проблемы с установкой, настройкой и работой системных и сетевых программ.

Модераторы: GRooVE, alexco

Правила форума
Убедительная просьба юзать теги [code] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Проблемы с Ipsec-tools

Непрочитанное сообщение kharkov_max » 2010-02-17 23:50:09

Вечер добрый.

По статье лисяры установил Ipsec-tools.
Прописал одинаковые конфиги на шлюзах (изменил IP соответственно)

Один из шлюзов уже успешно работает с несколькими тунелями, вот пытаюсь еще один тунел поднять.
На втором шлюзе стоит 8 ка. в log debug2 валится такое:

Код: Выделить всё

2010-02-17 22:06:38: WARNING: setsockopt(UDP_ENCAP_ESPINUDP_NON_IKE): UDP_ENCAP Invalid argument
2010-02-17 22:06:38: DEBUG: pk_recv: retry[0] recv() 
2010-02-17 22:06:38: DEBUG: get pfkey X_SPDDUMP message
2010-02-17 22:06:38: DEBUG2: 
02120200 02000000 00000000 1e3b0000
2010-02-17 22:06:38: DEBUG: pfkey X_SPDDUMP failed: No such file or directory
2010-02-17 22:12:46: DEBUG: pk_recv: retry[0] recv() 
2010-02-17 22:12:46: DEBUG: get pfkey FLUSH message
2010-02-17 22:12:46: DEBUG2: 
02090000 02000000 00000000 00490000
2010-02-17 22:12:46: DEBUG2: flushing all ph2 handlers...
Путь к psk.txt правильный, права дал верно. ipsec.conf настроен верно.
Правила шифрования и время на обоих компах верное, ядро перекомпилил для поддержки IPSEC.
Конфиги 10 раз проверил. Тем более что один комп работает с другими тунелями, я из его конфигов в итоге куски скопировал на новый шлюз когда искать ошибку надоело. IPSEC-Tools ставил как по лисяре 3 основные опции, но выставлял и все, но ничего не помогает.
По инету погуглил, ответа не нашел. ipsec-tools последние из портов.

Код: Выделить всё

setkey -DP                      
No SPD entries.
В racoon.conf пробовал вместо aggressive ставить main и менял md5 на sha1 - ни чего не помогает.
Ко всей этой каше еще поднял gif и прописал маршрут, но наступив на гравли отключил gif и маршрут т.к. должно и без них работать.

Не подскажете где грабли ?

racoon.conf

Код: Выделить всё

path include "/usr/local/etc/racoon";

path pre_shared_key "/usr/local/etc/racoon/psk.txt";

log debug2;
padding
{
        maximum_length 20;      # нБЛУЙНБМШОБС ДМЙООБ ОБВЙЧЛЙ(?).
        randomize off;          # чЛМАЮЕОЙЕ УМХЮБКОПК ДМЙООЩ.
        strict_check off;       # чЛМАЮЙФШ УФТПЗХА РТПЧЕТЛХ.
        exclusive_tail off;     # йЪЧМЕЛБФШ ПДЙО РПУМЕДОЙК ПЛФЕФ.
}

listen
{
        #isakmp ::1 [7000];
        isakmp qq.ww.ee.rr [500];
        #admin [7002];          # БДНЙОЙУФТБФЙЧОЩК РПТФ ДМС racoonctl.
        #strict_address;        # ФТЕВХЕФ ЮФП ЧУЕ БДТЕУБ ДПМЦОЩ ВЩФШ ПЗТБОЙЮЕОЩ.
}

timer
{
        counter 5;              # нБЛУЙНБМШОЩК УЮЕФЮЙЛ РБРЩФПЛ ПФУЩМБ.
        interval 20 sec;        # нБЛУЙННБМШОЩК ЙОФЕТЧБМ ДМС РПЧФПТОПК РПРЩФЛЙ.
        persend 1;              # юЙУМП ПФУЩМБЕНЩИ РБЛЕФПЧ.

        phase1 30 sec;
        phase2 15 sec;
}

remote  xx.yy.zz.ww
{
        exchange_mode aggressive;
        doi ipsec_doi;
        situation identity_only;
        lifetime time 3600 sec;
        initial_contact on;
        proposal_check strict;
        #dpd_delay 60;
        nonce_size 16;
        proposal {
              encryption_algorithm 3des;
              hash_algorithm md5;
              authentication_method pre_shared_key;
              dh_group 2;
        }
}

sainfo address 192.168.10.0/24 any address 192.168.90.0/24 any
{
        pfs_group 2;
        lifetime time 86400 sec;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1, hmac_md5;
        compression_algorithm deflate;
}

ipsec.conf

Код: Выделить всё

flush;
spdflush;
spdadd 192.168.10.0/24 192.168.90.0/24 any-P out ipsec
           esp/tunnel/qq.ww.ee.rr-xx.yy.zz.ww/require;
spdadd 192.168.90.0/24 192.168.10.0/24 any -P in ipsec
          esp/tunnel/xx.yy.zz.ww-qq.ww.ee.rr/require;

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Проблемы с Ipsec-tools

Непрочитанное сообщение snorlov » 2010-02-18 14:11:19

Сам же написал

Код: Выделить всё

setkey -DP                      
No SPD entries.
Смотри ipsec.conf, наверное в одну строчку

Код: Выделить всё

flush;
spdflush;
spdadd 192.168.10.0/24 192.168.90.0/24 any-P out ipsec esp/tunnel/qq.ww.ee.rr-xx.yy.zz.ww/require;
spdadd 192.168.90.0/24 192.168.10.0/24 any -P in ipsec  esp/tunnel/xx.yy.zz.ww-qq.ww.ee.rr/require;

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Проблемы с Ipsec-tools

Непрочитанное сообщение kharkov_max » 2010-02-18 16:10:03

snorlov писал(а):Сам же написал

Код: Выделить всё

setkey -DP                      
No SPD entries.
Смотри ipsec.conf, наверное в одну строчку

Код: Выделить всё

flush;
spdflush;
spdadd 192.168.10.0/24 192.168.90.0/24 any-P out ipsec esp/tunnel/qq.ww.ee.rr-xx.yy.zz.ww/require;
spdadd 192.168.90.0/24 192.168.10.0/24 any -P in ipsec  esp/tunnel/xx.yy.zz.ww-qq.ww.ee.rr/require;
Да не работает и в одну строчку и в две, any-P это опечатка, в конфиге нормально ....
Похоже как я понимаю правила не добавляются, как можно проверить почему ?

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Проблемы с Ipsec-tools

Непрочитанное сообщение snorlov » 2010-02-18 16:34:07

Ты прости, но в rc.conf все добавил?

Код: Выделить всё

rc.conf
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Проблемы с Ipsec-tools

Непрочитанное сообщение kharkov_max » 2010-02-18 16:52:32

ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"

racoon_enable="YES"
racoon_flags="-f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log"

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Проблемы с Ipsec-tools

Непрочитанное сообщение snorlov » 2010-02-18 17:09:03

А firewall ? ну тогда не знаю...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Проблемы с Ipsec-tools

Непрочитанное сообщение kharkov_max » 2010-02-18 17:28:23

snorlov писал(а):А firewall ? ну тогда не знаю...
Фаервол PF pass all и IPFW натит только GRE и 1723.
По идее для тунеля все открыто ...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Проблемы с Ipsec-tools

Непрочитанное сообщение kharkov_max » 2010-02-18 17:32:31

Хм...
Теперь вот так.

Код: Выделить всё

>setkey -DP
192.168.90.0/24[any] 192.168.10.0/24[any] any
        in ipsec
        esp/tunnel/xx.yy.zz.qq-ww.ee.rr.tt/require
        spid=2 seq=1 pid=2198
        refcnt=1
192.168.10.0/24[any] 192.168.90.0/24[any] any
        out ipsec
        esp/tunnel/ww.ee.rr.tt-xx.yy.zz.qq/require
        spid=1 seq=0 pid=2198
        refcnt=1

И влогах:

Код: Выделить всё

2010-02-18 16:16:59: DEBUG: msg 1 not interesting
2010-02-18 16:16:59: DEBUG: caught rtm:2, need update interface address list
2010-02-18 16:16:59: DEBUG: caught rtm:13, need update interface address list

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Проблемы с Ipsec-tools

Непрочитанное сообщение snorlov » 2010-02-18 20:30:51

kharkov_max писал(а):Хм...
Теперь вот так.

Код: Выделить всё

>setkey -DP
192.168.90.0/24[any] 192.168.10.0/24[any] any
        in ipsec
        esp/tunnel/xx.yy.zz.qq-ww.ee.rr.tt/require
        spid=2 seq=1 pid=2198
        refcnt=1
192.168.10.0/24[any] 192.168.90.0/24[any] any
        out ipsec
        esp/tunnel/ww.ee.rr.tt-xx.yy.zz.qq/require
        spid=1 seq=0 pid=2198
        refcnt=1
Замечательно
kharkov_max писал(а): И влогах:

Код: Выделить всё

2010-02-18 16:16:59: DEBUG: msg 1 not interesting
2010-02-18 16:16:59: DEBUG: caught rtm:2, need update interface address list
2010-02-18 16:16:59: DEBUG: caught rtm:13, need update interface address list
Смотри привязку racoon'а к конкретному ip

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Проблемы с Ipsec-tools

Непрочитанное сообщение kharkov_max » 2010-02-18 21:41:25

snorlov писал(а):
kharkov_max писал(а):Хм...
Теперь вот так.

Код: Выделить всё

>setkey -DP
192.168.90.0/24[any] 192.168.10.0/24[any] any
        in ipsec
        esp/tunnel/xx.yy.zz.qq-ww.ee.rr.tt/require
        spid=2 seq=1 pid=2198
        refcnt=1
192.168.10.0/24[any] 192.168.90.0/24[any] any
        out ipsec
        esp/tunnel/ww.ee.rr.tt-xx.yy.zz.qq/require
        spid=1 seq=0 pid=2198
        refcnt=1
Замечательно
kharkov_max писал(а): И влогах:

Код: Выделить всё

2010-02-18 16:16:59: DEBUG: msg 1 not interesting
2010-02-18 16:16:59: DEBUG: caught rtm:2, need update interface address list
2010-02-18 16:16:59: DEBUG: caught rtm:13, need update interface address list
Смотри привязку racoon'а к конкретному ip
А подробнее ...

arkan
ст. прапорщик
Сообщения: 559
Зарегистрирован: 2008-08-03 19:58:13
Откуда: Новосибирск
Контактная информация:

Re: Проблемы с Ipsec-tools

Непрочитанное сообщение arkan » 2010-02-19 5:54:35

kharkov_max писал(а):Ко всей этой каше еще поднял gif и прописал маршрут, но наступив на гравли отключил gif и маршрут т.к. должно и без них работать.
Включи обратно gif
У тебя же в ipsec.conf прописаны подсети а самого gif нету

Сначало создай тунель с гифами чтоб все везде работало а потом уже поверх этой настройки выстраивай IPSEC

Там кстати еще приходится машину ребутить - покрайней мере мне пришлось так как без ребута неработало нормально

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Проблемы с Ipsec-tools

Непрочитанное сообщение kharkov_max » 2010-02-19 8:54:47

arkan писал(а):
kharkov_max писал(а):Ко всей этой каше еще поднял gif и прописал маршрут, но наступив на гравли отключил gif и маршрут т.к. должно и без них работать.
Включи обратно gif
У тебя же в ipsec.conf прописаны подсети а самого gif нету

Сначало создай тунель с гифами чтоб все везде работало а потом уже поверх этой настройки выстраивай IPSEC

Там кстати еще приходится машину ребутить - покрайней мере мне пришлось так как без ребута неработало нормально
Да, но все это должно и без gif интерфейсов работать ...
Т.е. для туреня достаточно ipsec и racoon.

snorlov
подполковник
Сообщения: 3927
Зарегистрирован: 2008-09-04 11:51:25
Откуда: Санкт-Петербург

Re: Проблемы с Ipsec-tools

Непрочитанное сообщение snorlov » 2010-02-19 9:11:42

kharkov_max писал(а):
arkan писал(а):
kharkov_max писал(а):Ко всей этой каше еще поднял gif и прописал маршрут, но наступив на гравли отключил gif и маршрут т.к. должно и без них работать.
Включи обратно gif
У тебя же в ipsec.conf прописаны подсети а самого gif нету
Сначало создай тунель с гифами чтоб все везде работало а потом уже поверх этой настройки выстраивай IPSEC
Там кстати еще приходится машину ребутить - покрайней мере мне пришлось так как без ребута неработало нормально
Да, но все это должно и без gif интерфейсов работать ...
Т.е. для туреня достаточно ipsec и racoon.
Если хочешь иметь работу без тоннеля, то ты должен политику включить на реальные адреса между серваками, т.е. IPSEC работает на канале между серваками, шифрируя все, что идет между ними, в случае тоннеля у тебя есть выбор, ты можешь шифрировать только то, что засовано в тоннель или же все, что гуляет между серваками...

Аватара пользователя
kharkov_max
капитан
Сообщения: 1862
Зарегистрирован: 2008-10-03 14:56:40

Re: Проблемы с Ipsec-tools

Непрочитанное сообщение kharkov_max » 2010-02-19 15:45:34

Вопрос закрыт.

Все решилось перезагрузкой обоих шлюзов.
Работает и с gif интерфейсом и без него и с gif только с одной стороны.

Всем спасибо.