Проблемы с Ipsec-tools
Добавлено: 2010-02-17 23:50:09
Вечер добрый.
По статье лисяры установил Ipsec-tools.
Прописал одинаковые конфиги на шлюзах (изменил IP соответственно)
Один из шлюзов уже успешно работает с несколькими тунелями, вот пытаюсь еще один тунел поднять.
На втором шлюзе стоит 8 ка. в log debug2 валится такое:
Путь к psk.txt правильный, права дал верно. ipsec.conf настроен верно.
Правила шифрования и время на обоих компах верное, ядро перекомпилил для поддержки IPSEC.
Конфиги 10 раз проверил. Тем более что один комп работает с другими тунелями, я из его конфигов в итоге куски скопировал на новый шлюз когда искать ошибку надоело. IPSEC-Tools ставил как по лисяре 3 основные опции, но выставлял и все, но ничего не помогает.
По инету погуглил, ответа не нашел. ipsec-tools последние из портов.
В racoon.conf пробовал вместо aggressive ставить main и менял md5 на sha1 - ни чего не помогает.
Ко всей этой каше еще поднял gif и прописал маршрут, но наступив на гравли отключил gif и маршрут т.к. должно и без них работать.
Не подскажете где грабли ?
racoon.conf
ipsec.conf
По статье лисяры установил Ipsec-tools.
Прописал одинаковые конфиги на шлюзах (изменил IP соответственно)
Один из шлюзов уже успешно работает с несколькими тунелями, вот пытаюсь еще один тунел поднять.
На втором шлюзе стоит 8 ка. в log debug2 валится такое:
Код: Выделить всё
2010-02-17 22:06:38: WARNING: setsockopt(UDP_ENCAP_ESPINUDP_NON_IKE): UDP_ENCAP Invalid argument
2010-02-17 22:06:38: DEBUG: pk_recv: retry[0] recv()
2010-02-17 22:06:38: DEBUG: get pfkey X_SPDDUMP message
2010-02-17 22:06:38: DEBUG2:
02120200 02000000 00000000 1e3b0000
2010-02-17 22:06:38: DEBUG: pfkey X_SPDDUMP failed: No such file or directory
2010-02-17 22:12:46: DEBUG: pk_recv: retry[0] recv()
2010-02-17 22:12:46: DEBUG: get pfkey FLUSH message
2010-02-17 22:12:46: DEBUG2:
02090000 02000000 00000000 00490000
2010-02-17 22:12:46: DEBUG2: flushing all ph2 handlers...Правила шифрования и время на обоих компах верное, ядро перекомпилил для поддержки IPSEC.
Конфиги 10 раз проверил. Тем более что один комп работает с другими тунелями, я из его конфигов в итоге куски скопировал на новый шлюз когда искать ошибку надоело. IPSEC-Tools ставил как по лисяре 3 основные опции, но выставлял и все, но ничего не помогает.
По инету погуглил, ответа не нашел. ipsec-tools последние из портов.
Код: Выделить всё
setkey -DP
No SPD entries.Ко всей этой каше еще поднял gif и прописал маршрут, но наступив на гравли отключил gif и маршрут т.к. должно и без них работать.
Не подскажете где грабли ?
racoon.conf
Код: Выделить всё
path include "/usr/local/etc/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
log debug2;
padding
{
maximum_length 20; # нБЛУЙНБМШОБС ДМЙООБ ОБВЙЧЛЙ(?).
randomize off; # чЛМАЮЕОЙЕ УМХЮБКОПК ДМЙООЩ.
strict_check off; # чЛМАЮЙФШ УФТПЗХА РТПЧЕТЛХ.
exclusive_tail off; # йЪЧМЕЛБФШ ПДЙО РПУМЕДОЙК ПЛФЕФ.
}
listen
{
#isakmp ::1 [7000];
isakmp qq.ww.ee.rr [500];
#admin [7002]; # БДНЙОЙУФТБФЙЧОЩК РПТФ ДМС racoonctl.
#strict_address; # ФТЕВХЕФ ЮФП ЧУЕ БДТЕУБ ДПМЦОЩ ВЩФШ ПЗТБОЙЮЕОЩ.
}
timer
{
counter 5; # нБЛУЙНБМШОЩК УЮЕФЮЙЛ РБРЩФПЛ ПФУЩМБ.
interval 20 sec; # нБЛУЙННБМШОЩК ЙОФЕТЧБМ ДМС РПЧФПТОПК РПРЩФЛЙ.
persend 1; # юЙУМП ПФУЩМБЕНЩИ РБЛЕФПЧ.
phase1 30 sec;
phase2 15 sec;
}
remote xx.yy.zz.ww
{
exchange_mode aggressive;
doi ipsec_doi;
situation identity_only;
lifetime time 3600 sec;
initial_contact on;
proposal_check strict;
#dpd_delay 60;
nonce_size 16;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo address 192.168.10.0/24 any address 192.168.90.0/24 any
{
pfs_group 2;
lifetime time 86400 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1, hmac_md5;
compression_algorithm deflate;
}
Код: Выделить всё
flush;
spdflush;
spdadd 192.168.10.0/24 192.168.90.0/24 any-P out ipsec
esp/tunnel/qq.ww.ee.rr-xx.yy.zz.ww/require;
spdadd 192.168.90.0/24 192.168.10.0/24 any -P in ipsec
esp/tunnel/xx.yy.zz.ww-qq.ww.ee.rr/require;