forum.lissyara.su

Мы — долго запрягаем, быстро ездим, и сильно тормозим.
https://forum.lissyara.su/

VPN-туннель между Watchguard и FreeBSD 8.1

https://forum.lissyara.su/viewtopic.php?f=4&t=31179

Страница 1 из 1

VPN-туннель между Watchguard и FreeBSD 8.1

Добавлено: 2011-02-05 19:52:28
ashev
Здравствуйте. Помогите, пожалуйста, решить проблему. Пытаюсь настроить VPN-туннель между Watchguard и FreeBSD 8.1. Соединение, как мне кажется, устанавливается, но передать пакеты не получается. Вот лог racoon (ipsec-tools 0.7.3)

Код: Выделить всё

Feb  5 16:28:30 bershadmoloko racoon: 2011-02-05 16:28:30: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
Feb  5 16:28:30 bershadmoloko racoon: 2011-02-05 16:28:30: INFO: @(#)This product linked OpenSSL 0.9.8n 24 Mar 2010 (http://www.openssl.org/)
Feb  5 16:28:30 bershadmoloko racoon: 2011-02-05 16:28:30: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
Feb  5 16:28:30 bershadmoloko racoon: 2011-02-05 16:28:30: INFO: 111.111.111.111[500] used as isakmp port (fd=5)
Feb  5 16:28:30 bershadmoloko racoon: 2011-02-05 16:28:30: INFO: 111.111.111.111[500] used for NAT-T
Feb  5 16:28:37 bershadmoloko racoon: 2011-02-05 16:28:37: INFO: IPsec-SA request for 222.222.222.222 queued due to no phase1 found.
Feb  5 16:28:37 bershadmoloko racoon: 2011-02-05 16:28:37: ERROR: unknown AF: 0
Feb  5 16:28:37 bershadmoloko racoon: 2011-02-05 16:28:37: INFO: initiate new phase 1 negotiation: 111.111.111.111[500]<=>222.222.222.222[500]
Feb  5 16:28:37 bershadmoloko racoon: 2011-02-05 16:28:37: INFO: begin Identity Protection mode.
Feb  5 16:28:37 bershadmoloko racoon: phase1(ident I msg1): 0.000265
Feb  5 16:28:37 bershadmoloko racoon: 2011-02-05 16:28:37: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Feb  5 16:28:37 bershadmoloko racoon: 2011-02-05 16:28:37: INFO: received Vendor ID: DPD
Feb  5 16:28:37 bershadmoloko racoon: oakley_dh_generate(MODP1024): 0.006358
Feb  5 16:28:37 bershadmoloko racoon: phase1(ident I msg2): 0.006533
Feb  5 16:28:37 bershadmoloko racoon: oakley_dh_compute(MODP1024): 0.006267
Feb  5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=24): 0.000018
Feb  5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=145): 0.000006
Feb  5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=165): 0.000006
Feb  5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=165): 0.000006
Feb  5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=1): 0.000005
Feb  5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=20): 0.000006
Feb  5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=328): 0.000007
Feb  5 16:28:37 bershadmoloko racoon: alg_oakley_encdef_encrypt(3des klen=192 size=40): 0.000043
Feb  5 16:28:37 bershadmoloko racoon: phase1(ident I msg3): 0.006518
Feb  5 16:28:37 bershadmoloko racoon: alg_oakley_encdef_decrypt(3des klen=192 size=40): 0.000010
Feb  5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=328): 0.000013
Feb  5 16:28:37 bershadmoloko racoon: oakley_validate_auth(pre-shared key): 0.000033
Feb  5 16:28:37 bershadmoloko racoon: phase1(ident R msg3): 0.000083
Feb  5 16:28:37 bershadmoloko racoon: phase1(Identity Protection): 0.082813
Feb  5 16:28:37 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=32): 0.000008
Feb  5 16:28:37 bershadmoloko racoon: alg_oakley_encdef_encrypt(3des klen=192 size=56): 0.000011
Feb  5 16:28:37 bershadmoloko racoon: 2011-02-05 16:28:37: INFO: ISAKMP-SA established 111.111.111.111[500]-222.222.222.222[500] spi:f015a4d27d3df491:5d5201049c5a5b28
Feb  5 16:28:38 bershadmoloko racoon: 2011-02-05 16:28:38: INFO: initiate new phase 2 negotiation: 111.111.111.111[500]<=>222.222.222.222[500]
Feb  5 16:28:38 bershadmoloko racoon: oakley_dh_generate(MODP1024): 0.006361
Feb  5 16:28:38 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=240): 0.000007
Feb  5 16:28:38 bershadmoloko racoon: alg_oakley_encdef_encrypt(3des klen=192 size=264): 0.000017
Feb  5 16:28:38 bershadmoloko racoon: phase2(quick I msg1): 0.006460
Feb  5 16:28:38 bershadmoloko racoon: alg_oakley_encdef_decrypt(3des klen=192 size=40): 0.000007
Feb  5 16:28:38 bershadmoloko racoon: alg_oakley_hmacdef_one(hmac_sha1 size=20): 0.000006
Feb  5 16:28:38 bershadmoloko racoon: 2011-02-05 16:28:38: ERROR: fatal INVALID-ID-INFORMATION notify messsage, phase1 should be deleted.
Feb  5 16:28:58 bershadmoloko racoon: 2011-02-05 16:28:58: ERROR: 222.222.222.222 give up to get IPsec-SA due to time up to wait.

Re: VPN-туннель между Watchguard и FreeBSD 8.1

Добавлено: 2011-02-05 19:59:34
ashev
111.111.111.111 - IP FreeBSD
222.222.222.222 - IP Watchgard

Re: VPN-туннель между Watchguard и FreeBSD 8.1

Добавлено: 2011-02-06 21:51:19
blade_007
Диапазоны сетей на обоих концах проверьте.

Re: VPN-туннель между Watchguard и FreeBSD 8.1

Добавлено: 2011-02-07 10:36:09
ashev
Локальные?

Re: VPN-туннель между Watchguard и FreeBSD 8.1

Добавлено: 2011-02-07 10:36:43
ashev
10.0.0.0/24 и 192.168.3.0/24

Re: VPN-туннель между Watchguard и FreeBSD 8.1

Добавлено: 2011-02-07 10:40:24
blade_007
Это здорово, только проверьте, чтоб и в конфиге racoon это было указано и в watchguard, т.е. разрешить пакетам с адресом отправителя 192.168.3.0/24 в подсети 10.0.0.0/24 создавать туннель.

Re: VPN-туннель между Watchguard и FreeBSD 8.1

Добавлено: 2011-02-07 11:05:29
ashev
я это указывал в ipsec.conf

Код: Выделить всё

flush;
spdflush;
spdadd 10.0.0.0/24 192.168.3.0/24 any -P out ipsec esp/tunnel/111.111.111.111-222.222.222.222/require;
spdadd 192.168.3.0/24 10.0.0.0/24 any -P in ipsec  esp/tunnel/222.222.222.222-111.111.111.111/require;

Re: VPN-туннель между Watchguard и FreeBSD 8.1

Добавлено: 2011-02-07 11:14:04
blade_007
Покажите еще racoon.conf, где прописывается описание SA для разных хостов, типа:

Код: Выделить всё

path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

sainfo address 172.21.0.0/16 any address 192.168.100.0/28 any 
{
        pfs_group 2;
        lifetime time 1 hour ;
        encryption_algorithm 3des, blowfish 448, rijndael ;
        authentication_algorithm hmac_sha1, hmac_md5 ;
        compression_algorithm deflate ;
}
remote X5.6X.XX4.X5X 
{ 
        exchange_mode main,base; 
        doi ipsec_doi; 
        situation identity_only; 
        lifetime time 8 hour ; # sec,min,hour 
        initial_contact on; 
        generate_policy on;
        proposal { 
                encryption_algorithm 3des; 
                hash_algorithm sha1; 
                authentication_method pre_shared_key; 
                dh_group 2 ; 
                } 
        proposal_check obey; 
}
Настройки phase1 и phase2 должны быть ИДЕНТИЧНЫ НА ОБОИХ узлах.

Re: VPN-туннель между Watchguard и FreeBSD 8.1

Добавлено: 2011-02-07 11:42:07
ashev
racoon.conf

Код: Выделить всё

path pre_shared_key "/usr/local/etc/racoon/psk.txt";
padding
{
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
}
listen
{
        isakmp 111.111.111.111 [500];
}
timer
{
        # These value can be changed per remote node.
        counter 5;              # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
       # persend 1;              # the number of packets per send.
        # maximum time to wait for completing each phase.
      phase1 40 sec;
      phase2 20 sec;
}
remote 195.78.58.203
{
        exchange_mode main;
        proposal_check obey;    # obey, strict, or claim
        nat_traversal on;
        ike_frag on;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2;
        }
}
sainfo anonymous
{
       pfs_group 2;
       lifetime time 480  min;
        encryption_algorithm 3des;
        authentication_algorithm hmac_md5, hmac_sha1;
        compression_algorithm deflate;
}

Re: VPN-туннель между Watchguard и FreeBSD 8.1

Добавлено: 2011-02-07 11:46:04
ashev
а вот этого

Код: Выделить всё

sainfo address 172.21.0.0/16 any address 192.168.100.0/28 any
у меня действительно нету, а какую подсеть сначала ставить, свою или ту к которой нужно подключится?

Re: VPN-туннель между Watchguard и FreeBSD 8.1

Добавлено: 2011-02-07 11:56:02
blade_007
man racoon.conf

Код: Выделить всё

sainfo (source_id destination_id | anonymous) [from idtype [string]] { statements }
но у вас есть запись anonymous - она действительна для всех неявных определений соединений, так что если у вас одно соединение и не хотите заморачиваться - поправьте как нужно описание sainfo anonymous.

Re: VPN-туннель между Watchguard и FreeBSD 8.1

Добавлено: 2011-02-07 12:02:31
blade_007
и еще хинт: все таймеры и pfs_group должны СОВПАДАТЬ НА ОБОИХ концах.

Re: VPN-туннель между Watchguard и FreeBSD 8.1

Добавлено: 2012-11-06 20:20:31
ComBin
Вопрос автору топика. Удалось ли решить проблему, если да, поделитесь как пожалуйста.
Часовой пояс: UTC+03:00
Страница 1 из 1
Powered by phpBB® Forum Software © phpBB Limited
https://www.phpbb.com/