Страница 2 из 2

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-03-28 11:47:30
Хрюша
gumeniuc писал(а):На этой циске есть CLI ?
К сожалению CLI на этой циске нет.
werder31 писал(а):Вот мои рабочий конфиг. У меня обьеденено так 4-и сетки, но в конфиге я оставил только одну.
При таком конфиге предполагается, что на фре и циске публичные статические IP адреса. У меня статика только на фре. Как при динамическом адресе на cisco прописывать gif и ipsec.conf на freebsd?

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-03-28 15:39:50
gumeniuc
на циске какие-то инструменты для диагностики есть ?

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-03-28 16:09:37
Хрюша
gumeniuc писал(а):на циске какие-то инструменты для диагностики есть ?
Только ping и trace route, capture packets и log.

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-03-28 16:24:05
gumeniuc
откуда отправляете тестовые пинги ?

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-03-28 16:29:17
Хрюша
gumeniuc писал(а):откуда отправляете тестовые пинги ?
Как с хостов в сети так и с самой циски и фри.

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-03-28 16:53:45
gumeniuc
покажите /var/log/racoon.log

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-03-28 22:06:44
Хрюша
racoon.log

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-03-31 11:49:00
gumeniuc
при пинге хоста из локальной сети с циски tcpdump что-то показывает ?

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-04-14 16:37:10
Хрюша
gumeniuc писал(а):при пинге хоста из локальной сети с циски tcpdump что-то показывает ?
Если с циски пинговать сеть за тонелем пишет 5 пакетов послано, 0 получено. Если с циски сделать трасероут показывает, что пакеты на сеть за тонелем заварачиваются не в тонель, а идут на шлюз по умолчанию. Такая же картина и на freebsd. Такое ощущение, что не циска ни фри просто не знают куда заварачивать пакеты. Почему?
tcpdump на freebsd показывает, что пакеты от узла в локальной сети попадают на него, и запрос идет, но ответа нет.

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-04-18 18:40:30
kharkov_max
1. Ракун не маршрутизит, а шифрует трафик, по политикам setkey.
Попробуйте начать с более простого, не шифровать...
т.е. соеденить сетки без racoon, только через gif, если заработает, нахлабучивайте далее.

2. setkey -DP показывает какие политики вообще есть, но НЕ показывает работает шифрование по ним или нет.
Что бы проверить шифрование по политикам нужно юзать setkey -D, и если тут пусто - то шифрованый трафик не ходит.

3. Думаю что имеет смысл задать gif интерфейс через rc.conf, хоты можно и скриптом.
Я бы убрал mtu оно не нужно ...

Код: Выделить всё

>>cat /etc/rc.conf | grep gif0
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="111.111.111.111 222.222.222.222"
ifconfig_gif0="inet 192.168.200.1 192.168.200.3 netmask 255.255.255.0"
4. У меня тоже когда то был косяк с ipsec-tool, нечто похожее, помогло обновление системы и всех портов.

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-04-22 14:22:33
Хрюша
kharkov_max писал(а):1. Ракун не маршрутизит, а шифрует трафик, по политикам setkey.
Попробуйте начать с более простого, не шифровать...
т.е. соеденить сетки без racoon, только через gif, если заработает, нахлабучивайте далее.

2. setkey -DP показывает какие политики вообще есть, но НЕ показывает работает шифрование по ним или нет.
Что бы проверить шифрование по политикам нужно юзать setkey -D, и если тут пусто - то шифрованый трафик не ходит.

3. Думаю что имеет смысл задать gif интерфейс через rc.conf, хоты можно и скриптом.
Я бы убрал mtu оно не нужно ...

Код: Выделить всё

>>cat /etc/rc.conf | grep gif0
cloned_interfaces="gif0"
gif_interfaces="gif0"
gifconfig_gif0="111.111.111.111 222.222.222.222"
ifconfig_gif0="inet 192.168.200.1 192.168.200.3 netmask 255.255.255.0"
4. У меня тоже когда то был косяк с ipsec-tool, нечто похожее, помогло обновление системы и всех портов.
Как я могу сделать gif интерфейс если у меня со стороны циски динамика? Я так понимаю для gif-a обязательно наличие статики с обеих сторон?
Система только что установленная, и порты обновлены. Может конечно какие-то приколы у free в версии 9.2?
К тому же тоннель-то устанавливается, и вывод команд setkey -D и setkey -DP есть. Тоннель устанавливается без вопросов, но вот почему не хочет трафик в него заворачиваться ни как не пойму?!

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-04-22 14:35:14
kharkov_max
А что говорит netstat -rn на freebsd после того как setkey -D что то начинает показывать ?

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-04-22 14:55:22
Хрюша
kharkov_max писал(а):А что говорит netstat -rn на freebsd после того как setkey -D что то начинает показывать ?
Ничего не показывает, то есть никаких дополнительных маршрутов после установления тоннеля не появляется. Я пробовал и руками прописать маршрут на удаленную подсеть не помогает. Может конечно я не так маршрут прописываю - я прописывал:
на freebsd
route add ccc.ccc.ccc.0 aaa.aaa.aaa.57 255.255.255.0
на циске
route add aaa.aaa.aaa.0 ccc.ccc.ccc.1 255.255.254.0

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-04-22 15:07:31
kharkov_max

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-04-22 15:32:36
Хрюша
Я понимаю, что скорее всего не хватает какого-то маршрута, но какого именно? С gif понятно, он виден и ясно где что прописывать. Но без gif, когда все создается динамически, что и где прописывать я так и не пойму?

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-04-22 15:52:24
kharkov_max
Вообще, при установленном туннеле, должно автоматом маршрутизировать, будет работать и без gif.
Но, (не буду утверждать), только для связки сеть - сеть, а если за сетями есть еще сети, то придется gif поднимать.
Хотя может и политики setkey это разрулят - не пробовал, врать не буду.

А Вы уверены что туннель строится ?
Может он все таки не строится потому и маршрут не работает.

Проверте setkey -D, до запуска racoon и после.
До запуска там ни чего не должно быть.

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-04-22 16:11:54
Хрюша
Точно строиться - на фре setkey -D до соединения ничего не показывает, после соединения там есть тоннель. На циске в оснастке показывает IPsec SA Established, да и в логах пишет фаза 1 и фаза 2 прошли успешно. Где проблема в упор не вижу! На неделе попробую все перенести на фри 8.2, может в 9.2 какие-то приколы. Все что можно уже перепробовал.

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-05-05 14:09:18
Хрюша
Переустановка фри ни к чему не привела - проблема осталась та же. Но как удалось в итоге выяснить проблемы именно в циске. То есть если на фре в racoon.conf сделать generate_policy off и прописать в setkey.conf:

Код: Выделить всё

flush;
spdflush;
spdadd aaa.aaa.8.0/24 bbb.bbb.0.0/24 any -P out ipsec esp/tunnel/XXX.XXX.XXX.XXX-YYY.YYY.YYY.YYY/use;
spdadd bbb.bbb.0.0/24 aaa.aaa.8.0/24 any -P in ipsec esp/tunnel/YYY.YYY.YYY.YYY-XXX.XXX.XXX.XXX/use;
то все работает как с gif так и без него. Но как только сделать generate_policy on, то есть политика берется с циски - все перестает работать. Хотя в setkey -D и setkey -DP показывают что политики есть, но не работает.
Как можно сделать, что бы все работало, при этом что бы клиент который подключается имел динамический адрес?

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-05-06 12:03:37
gumeniuc
Хрюша писал(а):что бы клиент который подключается имел динамический адрес?
Dynamic CryptoMap

Re: FreeBSD+racoon почему не маршрутизит?

Добавлено: 2014-05-06 15:24:59
Хрюша
gumeniuc писал(а): Dynamic CryptoMap
И как же это реализовать на фре? Насколько я понял Dynamic CryptoMap это цисковская настройка?