forum.lissyara.su

Добавлено: **2013-01-21 17:04:17**

ssh4 писал(а):Re: IPSec теория и практика
ssh4 » 2012-02-15 1:21:30
до инициализации работы демона mpd5 l2tp дело не доходит.
Я поэтому и не парился с выкладыванием конфига mpd5.

Аналогичная фигня..., что-нибудь удолось прояснить ?

2013-01-21 17:21:01: [95.28.213.55] INFO: Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02
2013-01-21 17:21:01: [92.204.164.3] INFO: Hashing 92.204.164.3[500] with algo #2
2013-01-21 17:21:01: INFO: NAT-D payload #0 verified
2013-01-21 17:21:01: [95.28.213.55] INFO: Hashing 95.28.213.55[56513] with algo #2
2013-01-21 17:21:01: INFO: NAT-D payload #1 doesn't match
2013-01-21 17:21:01: INFO: NAT detected: PEER
2013-01-21 17:21:01: [95.28.213.55] INFO: Hashing 95.28.213.55[56513] with algo #2
2013-01-21 17:21:01: [92.204.164.3] INFO: Hashing 92.204.164.3[500] with algo #2
2013-01-21 17:21:01: INFO: Adding remote and local NAT-D payloads.
2013-01-21 17:21:01: INFO: NAT-T: ports changed to: 95.28.213.55[53266]<->92.204.164.3[4500]
2013-01-21 17:21:01: INFO: KA list add: 92.204.164.3[4500]->95.28.213.55[53266]
2013-01-21 17:21:01: WARNING: Expecting IP address type in main mode, but FQDN.
2013-01-21 17:21:01: INFO: ISAKMP-SA established 92.204.164.3[4500]-95.28.213.55[53266] spi:28711ac3345a7ee1:1ff341eda2b3cec8
2013-01-21 17:21:01: INFO: respond new phase 2 negotiation: 92.204.164.3[4500]<=>95.28.213.55[53266]
2013-01-21 17:21:01: INFO: Update the generated policy : 95.28.213.55/32[53266] 92.204.164.3/32[1701] proto=udp dir=in
2013-01-21 17:21:01: INFO: Adjusting my encmode UDP-Transport->Transport
2013-01-21 17:21:01: INFO: Adjusting peer's encmode UDP-Transport(61444)->Transport(2)
2013-01-21 17:21:01: INFO: IPsec-SA established: ESP/Transport 92.204.164.3[500]->95.28.213.55[500] spi=230203707(0xdb8a13b)
2013-01-21 17:21:01: INFO: IPsec-SA established: ESP/Transport 92.204.164.3[500]->95.28.213.55[500] spi=411438922(0x18860f4a)

и ВСЁ, отваливается по таймауту

Добавлено: **2013-01-22 16:20:58**

fazer » 2013-01-21 17:04:17

ssh4 писал(а):
Re: IPSec теория и практика
ssh4 » 2012-02-15 1:21:30
до инициализации работы демона mpd5 l2tp дело не доходит.
Я поэтому и не парился с выкладыванием конфига mpd5.

Аналогичная фигня..., что-нибудь удолось прояснить ?

2013-01-21 17:21:01: [95.28.213.55] INFO: Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02
2013-01-21 17:21:01: [92.204.164.3] INFO: Hashing 92.204.164.3[500] with algo #2
2013-01-21 17:21:01: INFO: NAT-D payload #0 verified
2013-01-21 17:21:01: [95.28.213.55] INFO: Hashing 95.28.213.55[56513] with algo #2
2013-01-21 17:21:01: INFO: NAT-D payload #1 doesn't match
2013-01-21 17:21:01: INFO: NAT detected: PEER
2013-01-21 17:21:01: [95.28.213.55] INFO: Hashing 95.28.213.55[56513] with algo #2
2013-01-21 17:21:01: [92.204.164.3] INFO: Hashing 92.204.164.3[500] with algo #2
2013-01-21 17:21:01: INFO: Adding remote and local NAT-D payloads.
2013-01-21 17:21:01: INFO: NAT-T: ports changed to: 95.28.213.55[53266]<->92.204.164.3[4500]
2013-01-21 17:21:01: INFO: KA list add: 92.204.164.3[4500]->95.28.213.55[53266]
2013-01-21 17:21:01: WARNING: Expecting IP address type in main mode, but FQDN.
2013-01-21 17:21:01: INFO: ISAKMP-SA established 92.204.164.3[4500]-95.28.213.55[53266] spi:28711ac3345a7ee1:1ff341eda2b3cec8
2013-01-21 17:21:01: INFO: respond new phase 2 negotiation: 92.204.164.3[4500]<=>95.28.213.55[53266]
2013-01-21 17:21:01: INFO: Update the generated policy : 95.28.213.55/32[53266] 92.204.164.3/32[1701] proto=udp dir=in
2013-01-21 17:21:01: INFO: Adjusting my encmode UDP-Transport->Transport
2013-01-21 17:21:01: INFO: Adjusting peer's encmode UDP-Transport(61444)->Transport(2)
2013-01-21 17:21:01: INFO: IPsec-SA established: ESP/Transport 92.204.164.3[500]->95.28.213.55[500] spi=230203707(0xdb8a13b)
2013-01-21 17:21:01: INFO: IPsec-SA established: ESP/Transport 92.204.164.3[500]->95.28.213.55[500] spi=411438922(0x18860f4a)

и ВСЁ, отваливается по таймауту
fazer
проходил мимо

Сообщения: 4
Зарегистрирован: 2010-01-05 9:48:57

У меня была такая беда когда в правилах ipfw allow к портам 1701,500,4500 стояло после divert а ....

Добавлено: **2013-01-23 11:50:49**

да не.., нету у меня на сервере ната, подозреваю что это виндовый клиент(ХР) не инициализирует соединение, но что с этим поделать ума не прикладу

Добавлено: **2013-01-24 8:19:55**

Добавлю может кому то поможет.
Начал делать примерно по статье.
Патч ядра обязателен, но сделал его выборочно - только игнорирование несовпадения контрольной суммы.
Тестил WinXP(клиент L2TP/IPSEC)(I) -> роутер FreeBSD8.3(NAT)(II) --- inet --- роутер FreeBSD8.3(сервер L2TP/IPSEC)(III)
Была только одна загвоздка:
Из дома из-за NAT работало(ADSL модем ZTF), через NAT на FreeBSD нет.
Оказалось необходимо разрешить прохождение фрагментированных пакетов на интерфейсе (II) к которому
подключен клиент.

Код: Выделить всё

#allow connection to l2tp/ipsec servise on relay
${fwcmd} add ${num}956 pass proto udp src-ip ${relay_ip} src-port isakmp,4500 out
${fwcmd} add ${num}956 pass proto udp dst-ip ${relay_ip} dst-port isakmp,4500 in
${fwcmd} add ${num}956 pass proto udp dst-ip ${relay_ip} frag in

где, ${relay_ip} адрес сервера L2TP/IPSEC
Иначе при передаче сертификата был затуп.

Добавлено: **2013-01-25 16:45:16**

Народ, извините за занудство.
У кого-нибудь работает 2 а коннекта из-за одного ната?
Перерыл всё что можно, перепадчил всем что нашел на эту тему (ядро, ракун)
Не получается.
Зарегистрировался на форуме http://forums.freebsd.org/showthread.php?t=26755&page=3
Спросил у rolfheinrich ... Говорит что работает..... Переправил конфиги как он посоветовал. Не фурычит.
Но судя по этим линкам, на сколько мне позволяет не знание английского.....
http://lists.freebsd.org/pipermail/free ... 33170.html
http://lists.freebsd.org/pipermail/free ... 67416.html
таких патчей еще нет. Или всё таки есть?

Добавлено: **2013-02-11 11:21:44**

Re: IPSec теория и практика
ssh4 » 2012-02-15 1:21:30
до инициализации работы демона mpd5 l2tp дело не доходит.

всё дело в "bad udp cksum"
лечится

alex_471
1. Нужен kernel patch kern/146190
2 . после пересборки ядра активировать net.inet.esp.esp_ignore_natt_cksum=1

Добавлено: **2013-02-20 16:49:25**

поднимал кто тоннели с компрессией (tunnel mode)?

Добавлено: **2013-02-21 8:32:42**

remote anonymous - мы предполагаем, что не знаем, с какого ип к нам будут конектиться. Если знаем, вместо anonymous пишем ип.

для создания ipsec тунеля - вроде как - адреса должны быть статичны?

Добавлено: **2013-02-21 9:54:06**

если используйте динамический адрес, то вместо идентификатора address используется отличные от него идентификаторы

Добавлено: **2013-03-21 23:06:27**

При проверке наблюдаю следующее (запускаю команду пинг) кроме шифрованных пакетов

Код: Выделить всё

23:40:11.597542 IP XX.XX.XX.XX > YY.YY.YY.YY: ESP(spi=0x0bd9619e,seq=0x9cc), length 116

чередуясь еще появляется

Код: Выделить всё

23:40:11.957788 IP XX.XX.XX.XX.63687 > YY.YY.YY.YY.2277: Flags [.], ack 1041, win 64147, length 0

Это нормально и что еще за пакет?
Так как если наоборот проверить то вторых пакетов не наблюдается.

Добавлено: **2014-09-08 15:15:16**

Прошу прощения за дурацкий вопрос, но хотелось бы понять, решена ли на данный момент проблема работоспособности связки mpd5 L2TPD + ipsec (racoon), если клиент Windows находится за NAT'ом?

Добавлено: **2014-10-31 14:57:03**

Пытаюсь настроить клиента IPSec через l2tp (FreeBSD 9.1 + racoon + mpd5) до cisco ASA (сервер) из-за НАТ (все пакеты на рутере завернуты на BSD).
Настройка mpd:

Код: Выделить всё

l2tp_client:
        create bundle static B1
        set bundle disable compression
        set bundle disable round-robin
        set bundle disable encryption
        set bundle disable crypt-reqd
        set bundle disable bw-manage
        set bundle disable ipv6cp
        set bundle enable ipcp
        set ipcp no vjcomp
        set iface idle 0
        set iface enable tcpmssfix

        create link static L1 l2tp
        set link action bundle B1
        set auth authname blabla
        set auth password 12345
        set link max-redial 5
        set link mtu 1460
        set link keep-alive 20 75
        set l2tp peer xxx.xxx.xxx.xxx
        open

настройка racoon:

Код: Выделить всё

path pre_shared_key "/usr/local/etc/racoon/psk.txt";

log debug;

padding
{
 maximum_length 20;
 randomize off;
 strict_check off;
 exclusive_tail off;
}

listen
{
 isakmp 192.168.11.11 [500];
 isakmp_natt 192.168.11.11 [4500];
 adminsock "/var/db/racoon/racoon.sock";
}

timer
{
 counter 5;
 interval 20 sec;
 persend 1;
 phase1 90 sec;
 phase2 90 sec;
}

remote xxx.xxx.xxx.xxx
{
 exchange_mode main;
 lifetime time 28800 sec;
 generate_policy on;
 proposal_check obey;
 nat_traversal on;
 ike_frag on;
 my_identifier address xxx.xxx.xxx.xx1; внешний адрес на рутере
 proposal {
<------>encryption_algorithm 3des;
<------>#encryption_algorithm aes;
<------>#hash_algorithm md5;
<------>hash_algorithm sha1;
<------>authentication_method pre_shared_key;
<------>dh_group 2;
    }
}

sainfo anonymous
{
 pfs_group 2;
 lifetime time 1 hour;
 encryption_algorithm 3des;
 authentication_algorithm hmac_md5, hmac_sha1;
 compression_algorithm deflate;
}

setkey.conf

Код: Выделить всё

flush;
spdflush;

spdadd 192.168.11.11/32[any] xxx.xxx.xxx.xxx/32[1701] udp -P out ipsec esp/transport/192.168.11.11-xxx.xxx.xxx.xxx/unique;
spdadd xxx.xxx.xxx.xxx/32[1701] 192.168.11.11/32[any] udp -P in ipsec esp/transport/xxx.xxx.xxx.xxx-192.168.11.11/unique;

запускаю mpd5 и в логах racoon вижу:

racoon: INFO: IPsec-SA request for xxx.xxx.xxx.xxx queued due to no phase1 found.
racoon: INFO: initiate new phase 1 negotiation: 192.168.11.11[500]<=>xxx.xxx.xxx.xxx[500]
racoon: INFO: begin Identity Protection mode.
racoon: INFO: received Vendor ID: RFC 3947
racoon: INFO: received broken Microsoft ID: FRAGMENTATION
racoon: [xxx.xxx.xxx.xxx] INFO: Selected NAT-T version: RFC 3947
racoon: [xxx.xxx.xxx.xxx] INFO: Hashing xxx.xxx.xxx.xxx[500] with algo #2
racoon: [192.168.11.11] INFO: Hashing 192.168.11.11[500] with algo #2
racoon: INFO: Adding remote and local NAT-D payloads.
racoon: INFO: received Vendor ID: CISCO-UNITY
racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
racoon: [192.168.11.11] INFO: Hashing 192.168.11.11[500] with algo #2
racoon: INFO: NAT-D payload #0 doesn't match
racoon: [xxx.xxx.xxx.xxx] INFO: Hashing xxx.xxx.xxx.xxx[500] with algo #2
racoon: INFO: NAT-D payload #1 verified
racoon: INFO: NAT detected: ME
racoon: INFO: KA list add: 192.168.11.11[4500]->xxx.xxx.xxx.xxx[4500]
racoon: INFO: received Vendor ID: DPD
racoon: WARNING: port 4500 expected, but 0
racoon: INFO: ISAKMP-SA established 192.168.11.11[4500]-xxx.xxx.xxx.xxx[4500] spi:afc1face5d027ecc:a7fb795f0104d980
racoon: INFO: initiate new phase 2 negotiation: 192.168.11.11[4500]<=>xxx.xxx.xxx.xxx[4500]
racoon: INFO: NAT detected -> UDP encapsulation (ENC_MODE 2->4).
racoon: INFO: ISAKMP-SA expired 192.168.11.11[4500]-xxx.xxx.xxx.xxx[4500] spi:afc1face5d027ecc:a7fb795f0104d980
racoon: INFO: ISAKMP-SA deleted 192.168.11.11[4500]-xxx.xxx.xxx.xxx[4500] spi:afc1face5d027ecc:a7fb795f0104d980
racoon: INFO: KA remove: 192.168.11.11[4500]->xxx.xxx.xxx.xxx[4500]

в чём может быть проблема ? Могу детальные логи скинуть.

Добавлено: **2019-05-26 10:24:55**

jam, решили ли эту проблему? Если решили, то как?
У меня racoon в netbsd выдаёт аналогичное. На второй фазе заваливается. При том что на свой MikroTik цепляюсь нормально, а на рабочую Cisco VPN по L2TP/IPsec не цепляется. Настройки на Cisco мне не подконтрольны. Фазу 2 никак не хочет пройти, при том что и алгоритм шифрования и алгоритм авторизации я уже методом тыка подобрал, т.е. в них затыка не может быть, но при этом соединение отбрасывает с именно такой концовкой, как у вас racoon сообщает.