FreeBSD ipsec Windows 7
Добавлено: 2011-04-23 13:19:38
Может тема уже поднималась, но я не нашел
Значит есть машина с FreeBSD в одном городе и Windows 7 (нет возможности поставить туда что-нибудь порядочное) в другом необходимо как это ни печально настроить меж ними ipsec тунель. На FreeBSD настроил ракун и setkey:
racoon.conf
remote x.x.x.x
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
my_identifier address y.y.y.y;
peers_identifier address x.x.x.x;
lifetime time 50000 sec;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo address 172.16.8.0/21 any address 172.16.28.0/24 any
{
lifetime time 50000 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
ipsec.conf
spdadd 172.16.8.0/21 172.16.28.0/24 any -P out ipsec esp/tunnel/y.y.y.y-x.x.x.x/require;
spdadd 172.16.28.0/24 172.16.8.0/21 any -P in ipsec esp/tunnel/x.x.x.x-y.y.y.y/require;
со стороны винды настроил политики фильтры ну и всякое такое.
на винде для пущей важности запущен wireshark. с FreeBSD пытаюсь пинговать удаленную сеть (внутренний интерфейс windows 7). в wireshark видно что проходит согласование политик isakmp и потом видны пакетики esp, но винда почему-то не отвечает на эти пакетики. Когда начинаю пинговать со стороны винды то в wireshark не видно пакетов isakmp и esp, походу дела не отрабатывает политика и пакеты уходят во внешний мир минуя ipsec.
setkey -D показывает следующее:
y.y.y.y x.x.x.x
esp mode=tunnel spi=709772320(0x2a4e4420) reqid=0(0x00000000)
E: 3des-cbc b39226ab 83524b79 15e78a97 3563f5f0 4b8eb883 fbce5423
A: hmac-sha1 d1d1b72e c101a9d6 ddf0c35d 6c191033 57664d42
seq=0x00000004 replay=4 flags=0x00000000 state=mature
created: Apr 23 14:14:05 2011 current: Apr 23 14:15:03 2011
diff: 58(s) hard: 50000(s) soft: 40000(s)
last: Apr 23 14:15:02 2011 hard: 0(s) soft: 0(s)
current: 448(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 4 hard: 0 soft: 0
sadb_seq=13 pid=8859 refcnt=2
x.x.x.x y.y.y.y
esp mode=tunnel spi=181666555(0x0ad402fb) reqid=0(0x00000000)
E: 3des-cbc 255c3ba9 1baeed0f 1ad62af3 df2fa45e 211b0aef 72c646b2
A: hmac-sha1 5bbb106b c43b2669 1d7550aa 312b9b8b 105be326
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Apr 23 14:14:05 2011 current: Apr 23 14:15:03 2011
diff: 58(s) hard: 50000(s) soft: 40000(s)
last: hard: 0(s) soft: 0(s)
current: 0(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 0 hard: 0 soft: 0
sadb_seq=10 pid=8859 refcnt=1
Если кому-нибудь приходилось связывать туннелем винду и фряху поделитесь опытом))
Значит есть машина с FreeBSD в одном городе и Windows 7 (нет возможности поставить туда что-нибудь порядочное) в другом необходимо как это ни печально настроить меж ними ipsec тунель. На FreeBSD настроил ракун и setkey:
racoon.conf
remote x.x.x.x
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
my_identifier address y.y.y.y;
peers_identifier address x.x.x.x;
lifetime time 50000 sec;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo address 172.16.8.0/21 any address 172.16.28.0/24 any
{
lifetime time 50000 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
ipsec.conf
spdadd 172.16.8.0/21 172.16.28.0/24 any -P out ipsec esp/tunnel/y.y.y.y-x.x.x.x/require;
spdadd 172.16.28.0/24 172.16.8.0/21 any -P in ipsec esp/tunnel/x.x.x.x-y.y.y.y/require;
со стороны винды настроил политики фильтры ну и всякое такое.
на винде для пущей важности запущен wireshark. с FreeBSD пытаюсь пинговать удаленную сеть (внутренний интерфейс windows 7). в wireshark видно что проходит согласование политик isakmp и потом видны пакетики esp, но винда почему-то не отвечает на эти пакетики. Когда начинаю пинговать со стороны винды то в wireshark не видно пакетов isakmp и esp, походу дела не отрабатывает политика и пакеты уходят во внешний мир минуя ipsec.
setkey -D показывает следующее:
y.y.y.y x.x.x.x
esp mode=tunnel spi=709772320(0x2a4e4420) reqid=0(0x00000000)
E: 3des-cbc b39226ab 83524b79 15e78a97 3563f5f0 4b8eb883 fbce5423
A: hmac-sha1 d1d1b72e c101a9d6 ddf0c35d 6c191033 57664d42
seq=0x00000004 replay=4 flags=0x00000000 state=mature
created: Apr 23 14:14:05 2011 current: Apr 23 14:15:03 2011
diff: 58(s) hard: 50000(s) soft: 40000(s)
last: Apr 23 14:15:02 2011 hard: 0(s) soft: 0(s)
current: 448(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 4 hard: 0 soft: 0
sadb_seq=13 pid=8859 refcnt=2
x.x.x.x y.y.y.y
esp mode=tunnel spi=181666555(0x0ad402fb) reqid=0(0x00000000)
E: 3des-cbc 255c3ba9 1baeed0f 1ad62af3 df2fa45e 211b0aef 72c646b2
A: hmac-sha1 5bbb106b c43b2669 1d7550aa 312b9b8b 105be326
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Apr 23 14:14:05 2011 current: Apr 23 14:15:03 2011
diff: 58(s) hard: 50000(s) soft: 40000(s)
last: hard: 0(s) soft: 0(s)
current: 0(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 0 hard: 0 soft: 0
sadb_seq=10 pid=8859 refcnt=1
Если кому-нибудь приходилось связывать туннелем винду и фряху поделитесь опытом))