forum.lissyara.su

Добавлено: **2007-02-22 8:37:22**

всем привет делал каналы ipsec по местной статейке на фрюхе 6.2 проблема тут возникает такая при старте серваков ракун вроде заводится но тунели не работают делаю запуск ракуна с отладкой начинает ругатся на протоколы шифрования, хотя на обеих маишнах все конфиги зеркальны, пытаюсь посмотреть setkey -F он мне выдаёт no ESP, кто сталкивался с такой траблой, у самого первый раз такая вывалила, всё уже перерыл ничего толкового(

Добавлено: **2007-02-22 8:42:26**

телепаты в отпуске.
показывай как ругается, показывай конфиги...

Добавлено: **2007-02-22 11:50:51**

racoon.conf:

Код: Выделить всё

path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
# "log" specifies logging level.  It is followed by either "notify", "debug"
# or "debug2".
#log notify;
padding
{
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
}

listen
{
        #isakmp ::1 [7000];
        isakmp aa.aa.aa.aa [500];
        #admin [7002];          # administrative's port by kmpstat.
        #strict_address;        # required all addresses must be bound.
}

timer
{
        # These value can be changed per remote node.
        counter 5;              # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
        persend 1;              # the number of packets per a send.

        # timer for waiting to complete each phase.
        phase1 30 sec;
        phase2 15 sec;
}

remote anonymous
{
        #exchange_mode main,aggressive;
        exchange_mode aggressive,main;
        doi ipsec_doi;
        situation identity_only;

        my_identifier address;
        #certificate_type x509 "mycert" "mypriv";

        #nonce_size 16;
        lifetime time 2 min;    # sec,min,hour
        initial_contact on;
        #support_mip6 on;
        proposal_check obey;    # obey, strict or claim

        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key ;
                dh_group 2 ;
        }
}

sainfo anonymous
{
        pfs_group 1;
        lifetime time 2 min;
        encryption_algorithm 3des ;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate ;
}

tunnel.sh:

Код: Выделить всё

#!/bin/sh
case "$1" in
start)

/sbin/ifconfig gif0 create
/sbin/ifconfig gif0 tunnel aa.aa.aa.aa bb.bb.bb.bb
/sbin/ifconfig gif0 192.168.cc.cc 192.168.xx.xx netmask 255.255.255.0
/sbin/ifconfig gif0 mtu 1500
/sbin/route delete 192.168.xx.xx
/sbin/route add 192.168.xx.xx 192.168.xx.xx

;;
esac

ipsec.conf:

Код: Выделить всё

spdadd aa.aa.aa.aa/32 bb.bb.bb.bb/32 ipencap -P out ipsec
 esp/tunnel/aa.aa.aa.aa-bb.bb.bb.bb/require;
spdadd bb.bb.bb.bb/32 aa.aa.aa.aa/32 ipencap -P in ipsec
 esp/tunnel/85.114.92.134-bb.bb.bb.bb/require;

racoon.con & psk.txt права 600

ошипки выложу на днях

Добавлено: **2007-02-22 14:03:31**

кнопочку коде юзай.

Добавлено: **2007-02-22 15:57:28**

угу, так что по конфигам ничего поганоого не видно?, кстати на фрюхе 6.1 такие конфиги пахали ток так

Добавлено: **2007-02-22 16:02:13**

есчё маааленький вопросиу ток по poptop один сервак пашет отлично, ток с траблом в том что вин клиенты конектятся видять все мои подсети, а вот я их сети не вижу хотя маршруты прописываю, есть другой сервант, тоже вроде всё пашет ноесли прописываеш к примеру выдавать подсоеденившемуся клиенту 192.168.0.245 то он выдаёт а оконечном итоге 192.168.0.24, а если пишеш выдавать 192.168.0.24 то он откидывает клиента при коннекте с ошибкой что не могёт выдать айпишник.Такая вот фигня)

Добавлено: **2007-02-22 16:04:20**

да вроде всё нормально
тока с раконом я больше года назад колупался последний раз

(

Добавлено: **2007-02-22 16:06:04**

может ещё что посоветуеш помимо IPSec для связи нормальной фрюхи и винды, хотя с другой стороны можно много гимора не иметь, ко мне так как конектятся парни которые сидять на ISA Server для них можно устроить перекидку на внутренний сервант опять же ISA-ой, чтото мне подсказывает что так будет наааамного проще)

Добавлено: **2007-02-22 16:07:04**

а счаз что юзаеш?, кстати ты на сертификатах поднял или так же статику поользуеш?

Добавлено: **2007-02-22 16:08:33**

vtund
да, так и с паролями висит.
в принципе - хватает ограничений фаера на коннект тока с нужных хостов на порты туннеля...

Добавлено: **2007-02-22 16:11:04**

и то верно что можно на фаере подрудактировать, а vtund номано будет пускать ко мне и от меня в другие сети?