forum.lissyara.su

Добавлено: **2009-03-05 12:37:42**

http://www.lissyara.su/?id=1887
Настройка VPN IPSec концентратора на FreeBSD 6.2 для клиента cisco с использованием ipsec-tools и авторизацией в активной директории.
Конструктивная критика и пожелания приветствуется

Добавлено: **2009-03-11 13:47:40**

В статье Вы сказали, что из-за особенности реализации VPN в Cisco их софтовый клиент и racoon не будут работать. Действительно, такая проблема есть и она очень актуальна для меня вот по какой причине: мне требуется инициировать VPN IPsec ДО логина пользователся в систему. К сожалению, я не нашел ни одного VPN клиента, который бы был совместим с racoon и в то же время позволял бы (как это позволяет Cisco VPN Client) инициировать VPN IPsec до логина пользователя в систему. Не подскажете выход из ситуации?

Добавлено: **2009-03-11 15:50:52**

Если Вы имеете в виду опцию "Enable start before logon", то я только что проверил - работает. Может быть проблема в другом?

Добавлено: **2009-03-22 21:15:29**

я как понял, это пач для 6, а на семёрке как быть? попробовал поставить

Код: Выделить всё

--------------------------
|Index: netinet6/ah_input.c
|===================================================================
|RCS file: /home/ncvs/src/sys/netinet6/ah_input.c,v
|retrieving revision 1.20
|diff -b -u -p -r1.20 ah_input.c
|--- netinet6/ah_input.c        7 Jan 2005 02:30:34 -0000       1.20
|+++ netinet6/ah_input.c        31 May 2007 13:08:50 -0000
--------------------------
File to patch:

Код: Выделить всё

[root@backup-bsd /usr/src/sys]# uname -a
FreeBSD backup-bsd.hq.telesens.lan 7.1-RELEASE FreeBSD 7.1-RELEASE #0: Wed Feb  4 12:18:56 UTC 2009     root@backup-bsd.hq.telesens.lan:/usr/obj/usr/src/sys/i386.v1  i386

Добавлено: **2009-03-23 9:52:01**

а дай ссылку на патч

(p.s. я не уверен что в 7 он вообще нужен)

Добавлено: **2009-03-23 10:01:30**

Попробуйте зайти http://vanhu.free.fr/FreeBSD/
Семерку еще не тестировал. Протестирую - отпишу.

Добавлено: **2009-03-23 10:19:37**

пишите тогда...

p.s. круто как он баннер в апачский вставил в DirectoryListing....

Добавлено: **2009-03-23 10:37:26**

я как понял весь прикол в

options IPSEC_NAT_T

посмотрел по 7.1, ненашел его. Поискал по инету, в NetBSD она присуьтсвует.

Добавлено: **2009-03-23 10:41:32**

если очень захотеть можно модуль ядра собрать, только я 1 не буду...

Добавлено: **2009-03-24 10:26:41**

я бы с радостью, но никогда таким не занимался и незнаю как делать

Добавлено: **2009-06-08 17:37:15**

всем привет

zingel писал(а):если очень захотеть можно модуль ядра собрать, только я 1 не буду...

как?
есть фриибсд releng_7 из cvs
нужна эта фича

спасибо

Добавлено: **2009-06-08 18:02:21**

что как, берём код и встраиваем в модульный каркас, подгружаем динамически, через loader.conf потом или kldload

Добавлено: **2009-06-08 19:52:31**

zingel писал(а):что как, берём код и встраиваем в модульный каркас, подгружаем динамически, через loader.conf потом или kldload

ничего не понял
матершина какая-то

но, при открытии http://ipsec-tools.sf.net/freebsd6-natt.diff попадаем сюда - http://vanhu.free.fr/FreeBSD/
а там есть патч для 7-ки
который успешно накладывается на cvs-нутую версию releng_7, правда с offset-ами
буду тестить ...

Добавлено: **2009-11-23 20:59:03**

У меня с патчем с http://vanhu.free.fr/FreeBSD/ не заработало. Ну может не так что-то делал.
А вот с http://people.freebsd.org/~vanhu/NAT-T/ ... 05-12.diff на FreeBSD 7.2 заработал NAT-T с racoon.
И заработал client-to-site IPSec VPN (практически по статье с данного сайта).

Все бы хорошо. Но смущает одна вещь.
Racoon собран с DPD, в конфиге "dpd_delay 20".
Подключаюсь через Cisco VPN client - все хорошо.
Но после отключения остается "установленное соединение".

Код: Выделить всё

2009-11-23 19:40:10: INFO: IPsec-SA established: ESP/Tunnel 10.0.0.115[0]->10.0.0.51[0] spi=36958550(0x233f156)
2009-11-23 19:40:10: INFO: IPsec-SA established: ESP/Tunnel 10.0.0.51[500]->10.0.0.115[1607] spi=3907668875(0xe8ea4b8b)
2009-11-23 19:40:10: ERROR: such policy does not already exist: "192.168.4.2/32[0] 0.0.0.0/0[0] proto=any dir=in"
2009-11-23 19:40:10: ERROR: such policy does not already exist: "0.0.0.0/0[0] 192.168.4.2/32[0] proto=any dir=out"
2009-11-23 19:40:12: ERROR: delete payload with invalid doi:0.
2009-11-23 19:40:12: INFO: ISAKMP-SA expired 10.0.0.51[500]-10.0.0.115[1607] spi:87da24876e81223c:3607420e8e36dc39
2009-11-23 19:40:13: INFO: ISAKMP-SA deleted 10.0.0.51[500]-10.0.0.115[1607] spi:87da24876e81223c:3607420e8e36dc39
2009-11-23 19:40:13: INFO: Released port 0

Что так и должно быть - я сомневаюсь.
Тогда что не так?
Пробовал менять dpd_delay - не дает результата.

Cisco VPN client с DPD работает, т.е. передает инфу:

Код: Выделить всё

2009-11-23 19:36:46: INFO: respond new phase 1 negotiation: 10.0.0.51[500]<=>10.0.0.115[1578]
2009-11-23 19:36:46: INFO: begin Aggressive mode.
2009-11-23 19:36:46: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
2009-11-23 19:36:46: INFO: received Vendor ID: DPD
2009-11-23 19:36:46: INFO: received broken Microsoft ID: FRAGMENTATION
2009-11-23 19:36:46: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02

2009-11-23 19:36:46: INFO: received Vendor ID: CISCO-UNITY
2009-11-23 19:36:46: INFO: Selected NAT-T version: draft-ietf-ipsec-nat-t-ike-02

2009-11-23 19:36:46: INFO: Adding remote and local NAT-D payloads.
2009-11-23 19:36:46: INFO: Hashing 10.0.0.115[1578] with algo #2
2009-11-23 19:36:46: INFO: Hashing 10.0.0.51[500] with algo #2
2009-11-23 19:36:46: INFO: Adding xauth VID payload.

Добавлено: **2009-11-24 13:11:54**

Включил лог на клиенте - DPD пакеты ходят.
Но смущает наличие SAD после разрыва (отключения, корректного) со стороны клиента:

Код: Выделить всё

10.0.0.51 10.0.0.135
        esp mode=tunnel spi=2217133514(0x8426c5ca) reqid=0(0x00000000)
        E: aes-cbc  bed6f972 bb25166a 28cd8c52 f1b92126 5eb2148f 749e5d1a 91ee1606 11cd1e83
        A: hmac-md5  85b4978e 25c60825 77e19843 5de2ceec
        seq=0x00000009 replay=4 flags=0x00000000 state=mature
        created: Nov 24 12:10:20 2009   current: Nov 24 12:10:38 2009
        diff: 18(s)     hard: 2147483(s)        soft: 1717986(s)
        last: Nov 24 12:10:32 2009      hard: 0(s)      soft: 0(s)
        current: 1272(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 9    hard: 0 soft: 0
        sadb_seq=1 pid=74115 refcnt=2
10.0.0.135 10.0.0.51
        esp mode=tunnel spi=86446906(0x0527133a) reqid=0(0x00000000)
        E: aes-cbc  a5209954 a84c5ea1 5fb0545b 634bd225 aab3fd9a 44e1437d c477cf34 efa9885a
        A: hmac-md5  ba5473d3 c57a7c76 80a27243 a7ec5932
        seq=0x00000009 replay=4 flags=0x00000000 state=mature
        created: Nov 24 12:10:20 2009   current: Nov 24 12:10:38 2009
        diff: 18(s)     hard: 2147483(s)        soft: 1717986(s)
        last: Nov 24 12:10:32 2009      hard: 0(s)      soft: 0(s)
        current: 936(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 9    hard: 0 soft: 0
        sadb_seq=0 pid=74115 refcnt=1

Добавлено: **2009-11-25 10:24:55**

Охренеть. Уже и хост, с которого поднимал туннель, выключил, а на фришке он, как бы, есть.

Код: Выделить всё

10.0.0.51 10.0.0.135
        esp mode=tunnel spi=1889651539(0x70a1cb53) reqid=0(0x00000000)
        E: aes-cbc  e40b299b b7d06f6d 8d496fbc 863f1303 7d972999 99679bef 43002631 57024a5a
        A: hmac-md5  4063199c 1780cedf 8d230c67 137efb01
        seq=0x00000007 replay=4 flags=0x00000000 state=mature
        created: Nov 24 14:08:19 2009   current: Nov 25 09:22:25 2009
        diff: 69246(s)  hard: 2147483(s)        soft: 1717986(s)
        last: Nov 24 14:08:23 2009      hard: 0(s)      soft: 0(s)
        current: 1272(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 7    hard: 0 soft: 0
        sadb_seq=1 pid=77226 refcnt=2
10.0.0.135 10.0.0.51
        esp mode=tunnel spi=29790874(0x01c6929a) reqid=0(0x00000000)
        E: aes-cbc  2982ddb0 4b645f99 0d1a3465 5f6fbbff 309e312f db371d99 68b5fd10 c1992e30
        A: hmac-md5  ed18aeb8 2db0213f fe6a6cf0 4812d540
        seq=0x00000007 replay=4 flags=0x00000000 state=mature
        created: Nov 24 14:08:19 2009   current: Nov 25 09:22:25 2009
        diff: 69246(s)  hard: 2147483(s)        soft: 1717986(s)
        last: Nov 24 14:08:23 2009      hard: 0(s)      soft: 0(s)
        current: 706(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 7    hard: 0 soft: 0
        sadb_seq=0 pid=77226 refcnt=1

Добавлено: **2009-11-26 18:14:06**

Еще экспериментировал ...
Так как вышла 8-ка, и где-то читал, что NAT-T уже встроен в ядро у нее, то решил проверить.

Поставил.
Перекомпилил ядро с "IPSEC" (в GENERIC его нет. Аргументируют overhead .., т.е. кому надо - ядро пересобирать надо всеравно).
Но для NAT-T патчить ядро уже не надо.
Поставил ipsec-tools.
Взял рабочие конфиги с freebsd 7.2 для ракуна.
Авторизация на радиусе через IAS. Добавил на IAS клиента, все готово.
Запускаю cisco vpn client - авторизацию не проходит.
Менаю в конфиге ракуна авторизацию с радиуса на локальную - все проходит нормально.
Возвращаю обратно на радиус.
Запускаю tcpdump и что я вижу - не шлет ракун на радиус никакие запросы.
Вот это номер ...
Повторюсь - конфиги рабочие брал. Локально авторизация проходит.
Пока забил, так как на 8-ке мне это не актуально на данный момент завести все.
Просто проверил, есть ли в ядре уже поддержка NAT-T - есть.

Добавлено: **2010-02-17 16:50:07**

Добрый день.
Не собирается у меня ipsec-tools под FreeBSD 7.2
пишет такую бяку:

Код: Выделить всё

checking whether to support NAT-T... yes
configure: error: NAT-T requested, but no kernel support! Aborting.
===>  Script "configure" failed unexpectedly.
Please report the problem to vanhu@netasq.com [maintainer] and attach the
"/usr/ports/security/ipsec-tools/work/ipsec-tools-0.7.1/config.log" including
the output of the failure of your make command. Also, it might be a good idea
to provide an overview of all packages installed on your system (e.g. an `ls
/var/db/pkg`).
*** Error code 1

Ядро собрано с параметрами:
options IPSEC
device crypto
options IPSEC_DEBUG

Что не так ??

Добавлено: **2010-02-17 18:15:15**

Для поддержки NAT-T в 7.2 надо патчить ядро. Патч применяли, ядро пересобирали?

Добавлено: **2010-02-17 18:37:37**

Патч не применял.

Где его можно взять, и с какими параметрами пере собрать?
Спасибо !

Добавлено: **2010-02-18 12:51:08**

Выполнил обновление как написано тут:

Код: Выделить всё

http://security.freebsd.org/advisories/FreeBSD-SA-09:17.freebsd-update.asc

Было скачало 67 исправлений, я так понимаю и для IPSEC тоже.
в конце написало:

Код: Выделить всё

The following files will be updated as part of updating to 7.2-RELEASE-p6

После этого снова пытался собрать ядро, пишет: unknown option "IPSEC_NAT_T"
Что еще я делаю не так ?

Добавлено: **2010-02-19 13:45:10**

Я патчил ядро.
После этого заработало. И сейчас работает ...

Добавлено: **2010-02-20 14:58:53**

gmn
Подскажите какой Вы использовали ПАЧ
Вот этот:

Код: Выделить всё

http://security.freebsd.org/advisories/FreeBSD-SA-08:04.ipsec.asc

Вот с этим почему-то не получаеться

Добавлено: **2010-02-25 12:46:53**

Для 7.2 - patch-natt-7.2-2009-05-12.diff
http://people.freebsd.org/~vanhu/NAT-T/

Добавлено: **2010-02-25 13:01:03**

Если есть возможность, то проверьте 8-ку. Там уже все есть в системе и патчить ничего не надо.

forum.lissyara.su

Настройка VPN IPSec для cisco vpn clients

Настройка VPN IPSec для cisco vpn clients

Вопрос относительно VPN IPSec

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients

Re: Настройка VPN IPSec для cisco vpn clients