Страница 1 из 1
racoon автоматическая раздача адресов
Добавлено: 2011-07-22 14:51:38
pixel_61
Добрый день!
ракун сконфигурирован как хост в сеть.
Возникла проблема с автоматической раздачей адресов ракуном, невозможно назначить шлюз клиентам.
вот интересующий блок конфига ракуна
Код: Выделить всё
mode_cfg {
auth_source system;
network4 10.10.10.2;
netmask4 255.255.255.0;
pool_size 254;
dns4 192.168.1.33;
default_domain "mydomen.ru";
split_network include 192.168.0.0/24;
split_dns "mydomen.ru";
banner "/etc/racoon/banner";
pfs_group 2;
}
как указать шлюз? перерыл весь гугл, не нашёл ответа.
клиенты подключаются с помощью клиента shrew, самое интересное, что при ручном конфигурировании IP - в шреве нет пункта "указать шлюз"
зы адрес шлюза должен быть 10.10.10.1
Re: racoon автоматическая раздача адресов
Добавлено: 2011-07-23 14:43:52
Electronik
зы адрес шлюза должен быть 10.10.10.1
почему?
Re: racoon автоматическая раздача адресов
Добавлено: 2011-07-25 7:24:17
nnmax
pixel_61 писал(а):Добрый день!
ракун сконфигурирован как хост в сеть.
Возникла проблема с автоматической раздачей адресов ракуном, невозможно назначить шлюз клиентам.
вот интересующий блок конфига ракуна
Код: Выделить всё
mode_cfg {
auth_source system;
network4 10.10.10.2;
netmask4 255.255.255.0;
pool_size 254;
dns4 192.168.1.33;
default_domain "mydomen.ru";
split_network include 192.168.0.0/24;
split_dns "mydomen.ru";
banner "/etc/racoon/banner";
pfs_group 2;
}
как указать шлюз? перерыл весь гугл, не нашёл ответа.
клиенты подключаются с помощью клиента shrew, самое интересное, что при ручном конфигурировании IP - в шреве нет пункта "указать шлюз"
зы адрес шлюза должен быть 10.10.10.1
шлюз там не нужен!
Маршрутизация работает на основе политик, политики можете посмотреть setkey -D , setkey -DP (соответственно вы их должны предварительно сгенерировать в автоматическом либо в ручном режиме)
И кстати маску /24 указывать бесполезно если вы эту сеть не добавляете в политики!
Re: racoon автоматическая раздача адресов
Добавлено: 2011-07-25 10:08:35
pixel_61
Electronik писал(а):зы адрес шлюза должен быть 10.10.10.1
почему?
например потому что я этот IP назначил вторым IP на сетевой карте с внешним адресом
nnmax писал(а):
шлюз там не нужен!
Маршрутизация работает на основе политик, политики можете посмотреть setkey -D , setkey -DP (соответственно вы их должны предварительно сгенерировать в автоматическом либо в ручном режиме)
И кстати маску /24 указывать бесполезно если вы эту сеть не добавляете в политики!
а как указать в политиках?
как указать в режиме хост-хост - знаю, а как в режиме хост-сеть - не знаю
вот пример конфига ipsec.conf для хост-хост. А как его переделать под хост-сеть?
Код: Выделить всё
spdadd [локальная сеть1/маска] [локальная сеть2/маска] any -P out ipsec esp/tunnel/[gateway первой сети]-[gateway второй сети]/require;
spdadd [локальная сеть2/маска] [локальная сеть1/маска] any -P in ipsec esp/tunnel/[gateway второй сети]-[gateway первой сети]/require;
делается это для подключения людей из дома к рабочей сети.
Re: racoon автоматическая раздача адресов
Добавлено: 2011-07-25 21:20:19
nnmax
Доступ нужен только в сеть "split_network include 192.168.0.0/24;" или есть еще набор?
Если сеть только одна то вам на roadwarrior'e достаточно добавить опцию generate_policy on;
после этого обе стороны должны добавлять политики для этой сети автоматом.
хотя я бы рекомендовал всегда включать эту опцию даже в случае когда сеть не одна, т.к полагаю что в сплит можно передать список сетей и клиент на них должен сгенерировать политики, сам не проверял, но иного способа я не вижу для таких железок как iPad и прочие агрегаты работающие на основе Cisco VPN client .
Если сеть не одна то политики будет логично добавлять и удалять скриптами во время открытия и закрытия сессий , также для мертвых допустимо, синтаксис там примерно следующий:
script "ph1.up" phase1_up;
script "ph1.down" phase1_down;
script "ph1.down" phase1_dead;
Содержимое самих скриптов примерно следующее:
ph1.up
Код: Выделить всё
#!/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
echo "
spdadd 192.168.0.0/24 ${INTERNAL_ADDR4}/32 any -P out ipsec esp/tunnel/${LOCAL_ADDR} [500]-${REMOTE_ADDR}[500]/require;
spdadd ${INTERNAL_ADDR4}/32 192.168.0.0/24 any -P in ipsec esp/tunnel/${REMOTE_ADDR}[500]-${LOCAL_ADDR}[500]/require;
" | setkey -c
ph1.down
Код: Выделить всё
#!/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
echo "
spddelete 192.168.0.0/24 ${INTERNAL_ADDR4}/32 any -P out ipsec esp/tunnel/${LOCAL_ADDR} [500]-${REMOTE_ADDR}[500]/require;
spddelete ${INTERNAL_ADDR4}/32 192.168.0.0/24 any -P in ipsec esp/tunnel/${REMOTE_ADDR}[500]-${LOCAL_ADDR}[500]/require;
" | setkey -c
Да тут я указал порт 500, хотя в случае ната будет отличаться, можно подставить соответствующие переменные. Для одной сети еще раз повторюсь такие скрипты излишни.
Re: racoon автоматическая раздача адресов
Добавлено: 2011-07-26 14:37:04
pixel_61
Спасибо за помощь, но вот есть какая-то загвоздка
nnmax писал(а):Доступ нужен только в сеть "split_network include 192.168.0.0/24;" или есть еще набор?
Если сеть только одна то вам на roadwarrior'e достаточно добавить опцию generate_policy on;
после этого обе стороны должны добавлять политики для этой сети автоматом.
пока достаточно одной сети, в конфиге прописано уже generate_policy on; но клиент автоматом не подтягивает настройки.
Код: Выделить всё
remote anonymous
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
certificate_type x509 "ipsec-server.crt" "ipsec-server.key";
peers_certfile x509 "client.crt";
passive on;
generate_policy on;
nonce_size 16;
lifetime time 60 min;
initial_contact on;
proposal_check obey;
proposal
{
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method rsasig ;
dh_group 2 ;
}
}
nnmax писал(а):
Если сеть не одна то политики будет логично добавлять и удалять скриптами во время открытия и закрытия сессий , также для мертвых допустимо, синтаксис там примерно следующий:
script "ph1.up" phase1_up;
script "ph1.down" phase1_down;
script "ph1.down" phase1_dead;
Содержимое самих скриптов примерно следующее:
ph1.up
Код: Выделить всё
#!/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
echo "
spdadd 192.168.0.0/24 ${INTERNAL_ADDR4}/32 any -P out ipsec esp/tunnel/${LOCAL_ADDR} [500]-${REMOTE_ADDR}[500]/require;
spdadd ${INTERNAL_ADDR4}/32 192.168.0.0/24 any -P in ipsec esp/tunnel/${REMOTE_ADDR}[500]-${LOCAL_ADDR}[500]/require;
" | setkey -c
ph1.down
Код: Выделить всё
#!/bin/bash
PATH=/bin:/sbin:/usr/bin:/usr/sbin:/usr/local/bin:/usr/local/sbin
echo "
spddelete 192.168.0.0/24 ${INTERNAL_ADDR4}/32 any -P out ipsec esp/tunnel/${LOCAL_ADDR} [500]-${REMOTE_ADDR}[500]/require;
spddelete ${INTERNAL_ADDR4}/32 192.168.0.0/24 any -P in ipsec esp/tunnel/${REMOTE_ADDR}[500]-${LOCAL_ADDR}[500]/require;
" | setkey -c
Да тут я указал порт 500, хотя в случае ната будет отличаться, можно подставить соответствующие переменные. Для одной сети еще раз повторюсь такие скрипты излишни.
Разве это подходит в моём случае? ведь у клиентов серые адреса? или я что-то не вкурил? Для Хост-Хост, конечно это то,что надо.
Re: racoon автоматическая раздача адресов
Добавлено: 2011-07-26 17:05:41
nnmax
Какая разница какие адреса у клиентов, вы им сами адреса раздаёте! И все это тунелируется. А чтобы ядро понимало какой трафик в этом тунеле гонять(нужны политики на основе которых будут созданы SA для которых ракун создаст соответствующие ключи)
А то что клиенты не подтягивают сплит нетворк говорит о том, что со стороны клиента что-то не так работает!
Что за софт в качестве клиента юзаете?
Я бы посоветовал CiscoVPN.
Re: racoon автоматическая раздача адресов
Добавлено: 2011-07-26 22:43:22
pixel_61
nnmax писал(а):Какая разница какие адреса у клиентов, вы им сами адреса раздаёте! И все это тунелируется. А чтобы ядро понимало какой трафик в этом тунеле гонять(нужны политики на основе которых будут созданы SA для
Что за софт в качестве клиента юзаете?
Я бы посоветовал CiscoVPN.
Использую shrew (альтернатива CiscoVPN)
начитался, что у CiscoVPN проблемы с win7-64, и поэтому решил заморочиться с shrew.
Re: racoon автоматическая раздача адресов
Добавлено: 2011-07-27 9:23:28
Гость
Ток что проверил на W7 клиент cisco_vpn v5 64bit , настроек минимум, подкинул сертификат, указал сервер, и все , политики автоматом с обоих сторон пролились.
Re: racoon автоматическая раздача адресов
Добавлено: 2011-07-27 9:35:40
nnmax
Вот конфиг к нему:
Код: Выделить всё
path certificate "/usr/local/etc/racoon/cert" ;
log debug2;
listen {
isakmp 1.1.1.1;
isakmp_natt 1.1.1.1[4500];
}
timer
{
counter 5;
interval 20 sec;
persend 1;
phase1 30 sec;
phase2 15 sec;
}
remote anonymous
{
nat_traversal on;
exchange_mode main, aggressive;
my_identifier asn1dn;
peers_identifier asn1dn *;
certificate_type x509 "server.crt" "server.key" ;
ca_type x509 "ca.crt";
verify_cert on;
mode_cfg on;
proposal_check obey;
passive on;
generate_policy on;
proposal {
encryption_algorithm aes;
hash_algorithm sha1;
authentication_method xauth_rsa_server;
dh_group 2;
}
}
sainfo anonymous
{
lifetime time 10 hour;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1,hmac_md5;
compression_algorithm deflate;
}
mode_cfg {
banner "/usr/local/etc/racoon/motd";
network4 10.10.10.1;
pool_size 250;
netmask4 255.255.255.255;
dns4 10.3.2.1;
split_network include 192.168.2.0/24,10.3.2.0/24;
}