Страница 1 из 2
FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 12:39:50
Хрюша
Есть FreeBSD 9.2 на нем установлен racoon+ipfw.
rc.d:
Код: Выделить всё
gateway_enable="YES"
sshd_enable="YES"
hostname="ipsec.my"
ifconfig_de0=" inet aaa.aaa.aaa.57 netmask 255.255.254.0"
ifconfig_de1=" inet bbb.bbb.bbb.85 netmask 255.255.255.240"
defaultrouter="bbb.bbb.bbb.81"
firewall_enable="YES"
firewall_script="/home/firewall.conf"
racoon_enable="YES"
racoon_flags="-l /var/log/racoon.log"
racoon_create_dirs="YES"
racoon.conf:
Код: Выделить всё
path include "/usr/local/etc/racoon";
path pre_shared_key "/usr/local/etc/racoon/cert/psk.txt";
path certificate "/usr/local/etc/racoon/cert/";
log debug2;
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
listen
{
#isakmp ::1 [7000];
isakmp bbb.bbb.bbb.85 [500];
isakmp_natt bbb.bbb.bbb.85 [4500];
#admin [7002]; # administrative port for racoonctl.
#strict_address; # requires that all addresses must be bound.
}
timer
{
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per send.
phase1 30 sec;
phase2 15 sec;
}
remote anonymous
{
exchange_mode aggressive,main;
doi ipsec_doi;
lifetime time 24 hours;
generate_policy on;
nat_traversal on;
ike_frag on;
dpd_delay 10;
dpd_retry 5;
dpd_maxfail 5;
situation identity_only;
nonce_size 16;
initial_contact on;
proposal_check strict; # obey, strict, or claim
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
lifetime time 1 hour;
compression_algorithm deflate;
}
firewall.conf:
Код: Выделить всё
fwcmd="/sbin/ipfw -q"
${fwcmd} -f flush
${fwcmd} -f pipe flush
${fwcmd} -f queue flush
${fwcmd} add allow ip from any to any via de1
${fwcmd} add allow ip from any to any via lo0
${fwcmd} add allow icmp from any to any
${fwcmd} add allow log esp from any to any
${fwcmd} add allow log ah from any to any
${fwcmd} add allow log ipencap from any to any
${fwcmd} add allow log udp from any 500 to any
${fwcmd} add allow ip from ccc.ccc.ccc.0/24 to aaa.aaa.aaa.0/23
${fwcmd} add allow ip from aaa.aaa.aaa.0/23 to ccc.ccc.ccc.0/24
В качестве клиента выступает router cisco rv180w. Тоннель поднимается нормально о чем говорит статус на роутере - IPsec SA Established. Но вот пропинговать из сети aaa в сеть ccc, и наоборот невозможно. Что делаю не так? Как соединить две сети?
P.S. Как очищать повисшие тоннели, а то setkey -D показывает старые тоннели?
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 13:18:26
gumeniuc
На циске ничего не блокирует пинги?
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 13:46:19
werder31
А как Вы хотите маршрутизировать????
У Вас на Фре и циске включены протоколы маршрутизации, или хоть статики прописаны??
Если нет, то о чем речь?
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 13:52:50
Хрюша
gumeniuc писал(а):На циске ничего не блокирует пинги?
Точно не блокируется
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 13:55:29
gumeniuc
показывайте setkey.conf
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 13:59:48
Хрюша
werder31 писал(а):А как Вы хотите маршрутизировать????
У Вас на Фре и циске включены протоколы маршрутизации, или хоть статики прописаны??
Если нет, то о чем речь?
Конечно прописано, на free:
route add -net ccc.ccc.ccc.0/24 aaa.aaa.aaa.57
на cisco статический маршрут:
Static Route Table
Name Active Private Destination Subnet Mask Interface Gateway Metric
free Yes No aaa.aaa.aaa.0 255.255.254.0 LAN (Local Network) ccc.ccc.ccc.1 2
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 14:03:44
gumeniuc
вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 14:06:25
Хрюша
gumeniuc писал(а):показывайте setkey.conf
У меня нет такого файла, я ничего в нем не правил. Есть вывод команды setkey -DP:
Код: Выделить всё
ccc.ccc.ccc.0/24[any] aaa.aaa.aaa.0/23[any] any
in ipsec
esp/tunnel/ddd.ddd.ddd.133-bbb.bbb.bbb.85/require
created: Mar 26 15:32:28 2014 lastused: Mar 26 15:32:28 2014
lifetime: 3600(s) validtime: 0(s)
spid=3 seq=1 pid=1299
refcnt=1
aaa.aaa.aaa.0/23[any] ccc.ccc.ccc.0/24[any] any
out ipsec
esp/tunnel/bbb.bbb.bbb.85-ddd.ddd.ddd.133/require
created: Mar 26 15:32:28 2014 lastused: Mar 26 15:33:02 2014
lifetime: 3600(s) validtime: 0(s)
spid=4 seq=0 pid=1299
refcnt=1
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 14:08:01
Хрюша
gumeniuc писал(а):вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.
я пробовал, с прописанными маршрутами, и без них - все равно не пингуются сети.
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 14:45:53
werder31
1) Покажите ipsec.conf
2) Вы используете сертификаты или логин-пас?? а то у Вас там и то и то....
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 14:48:57
werder31
gumeniuc писал(а):вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.
Ну у него точка-точка... а что бы увидить локалку полюбому нужно маршрут...
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 15:31:32
gumeniuc
werder31 писал(а):gumeniuc писал(а):вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.
Ну у него точка-точка... а что бы увидить локалку полюбому нужно маршрут...
что значит точка-точка ? ipsec туннель бывает не точка-точка ? никакие машруты не нужны
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 15:32:32
gumeniuc
Хрюша писал(а):gumeniuc писал(а):вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.
я пробовал, с прописанными маршрутами, и без них - все равно не пингуются сети.
тогда смотрите на циске что уходит в туннель
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 15:33:08
Хрюша
werder31 писал(а):1) Покажите ipsec.conf
2) Вы используете сертификаты или логин-пас?? а то у Вас там и то и то....
1)У меня нет файла ipsec.conf, я его и не создавал. Единственное собрано ядро с опцией IPSEC.
2) authentication_method pre_shared_key.
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 15:36:35
gumeniuc
покажите настройки на циске
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 15:38:32
werder31
1) Ну так какой пигн, чем Вы тогда будете шифровать(протокол)?
http://www.lissyara.su/ipsec_cisco/
2) Если authentication_method pre_shared_key то зачем в конфиге
Код: Выделить всё
path certificate "/usr/local/etc/racoon/cert/";
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 15:53:30
Хрюша
werder31 писал(а):1) Покажите ipsec.conf
2) Вы используете сертификаты или логин-пас?? а то у Вас там и то и то....
1)У меня нет файла ipsec.conf, я его и не создавал. Единственное собрано ядро с опцией IPSEC.
2) authentication_method pre_shared_key.
gumeniuc писал(а):Хрюша писал(а):gumeniuc писал(а):вам не нужна никакая маршрутизация. encryption domain указывает какому пиру какой трафик слать.
я пробовал, с прописанными маршрутами, и без них - все равно не пингуются сети.
тогда смотрите на циске что уходит в туннель
Я заметил, что если тоннель поднят, и из сети за freebsd сделать пинг, то начинает подниматься еще один тонель (если верить setkey -D).
Если не прописывать маршруты на freebsd и cisco, то на роутере cisco в оснастке IPsec Connection Status показано, что пакеты из сети за циско в тоннель попадают, а дальше не идут
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 15:57:41
Хрюша
gumeniuc писал(а):покажите настройки на циске
Какие именно? настройки IPsec?
werder31 писал(а):1) Ну так какой пигн, чем Вы тогда будете шифровать(протокол)?
http://www.lissyara.su/ipsec_cisco/
2) Если authentication_method pre_shared_key то зачем в конфиге
Код: Выделить всё
path certificate "/usr/local/etc/racoon/cert/";
1)Я настраивал по этой статье
http://www.lissyara.su/articles/freebsd ... ty/ipsec2/
2) сейчас уберу)
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 16:16:13
werder31
Ну даже в той статье есть ipsec...
Код: Выделить всё
ipsec_enable="YES"
ipsec_file="/usr/local/etc/racoon/setkey.conf"
Без этого трафик не будет ходить поскольку он не будет шифроватся
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 16:26:59
gumeniuc
Хрюша писал(а):gumeniuc писал(а):покажите настройки на циске
Какие именно? настройки IPsec?
да
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 16:57:42
Хрюша
werder31 писал(а):Ну даже в той статье есть ipsec...
Код: Выделить всё
ipsec_enable="YES"
ipsec_file="/usr/local/etc/racoon/setkey.conf"
Без этого трафик не будет ходить поскольку он не будет шифроватся
Как написано в статье:"Как говорил выше, в конфиге есть интересная опция generate_policy on;. Если на СЕРВЕРЕ ее поставить в on, то на сервере будут создаваться политики, соответствующие политикам на клиенте.", поэтому на сервере я setkey.conf не прописывал - политика берется из клиента.
gumeniuc писал(а):Хрюша писал(а):gumeniuc писал(а):покажите настройки на циске
Какие именно? настройки IPsec?
да
Выкладываю в файликах:
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-27 18:00:31
gumeniuc
я бы добавил
Код: Выделить всё
ipsec_enable="YES"
ipsec_file="/usr/local/etc/racoon/setkey.conf"
и перезагрузил БСД.
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-28 9:09:12
Хрюша
gumeniuc писал(а):я бы добавил
Код: Выделить всё
ipsec_enable="YES"
ipsec_file="/usr/local/etc/racoon/setkey.conf"
и перезагрузил БСД.
Сделал, не помогло. Как пинга не было так и нет(
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-28 9:42:40
werder31
Вот мои рабочий конфиг. У меня обьеденено так 4-и сетки, но в конфиге я оставил только одну.
XXX.XXX.XXX.XXX - ip Freebsd
YYY.YYY.YYY.YYY - ip Cisco
/etc/rc.conf
Код: Выделить всё
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon_enable="YES"
racoon_flags="-f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log"
/etc/ipsec.conf
Код: Выделить всё
flush;
spdflush;
spdadd XXX.XXX.XXX.XXX/32 YYY.YYY.YYY.YYY/32 ipencap -P out ipsec esp/tunnel/XXX.XXX.XXX.XXX-YYY.YYY.YYY.YYY/require;
spdadd YYY.YYY.YYY.YYY/32 XXX.XXX.XXX.XXX/32 ipencap -P in ipsec esp/tunnel/YYY.YYY.YYY.YYY-XXX.XXX.XXX.XXX/require;
/usr/local/etc/racoon/racoon.conf
Код: Выделить всё
path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
padding
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
listen
{
isakmp XXX.XXX.XXX.XXX [500];
}
timer
{
counter 5;
interval 20 sec;
persend 1;
phase1 60 sec;
phase2 30 sec;
}
remote YYY.YYY.YYY.YYY [500]
{
exchange_mode aggressive,main;
doi ipsec_doi;
situation identity_only;
my_identifier address;
lifetime time 10 hour;
initial_contact on;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key ;
dh_group 2 ;
}
}
sainfo anonymous
{
pfs_group 2;
lifetime time 10 hour;
encryption_algorithm 3des ;
authentication_algorithm hmac_sha1;
compression_algorithm deflate ;
}
firewall
Код: Выделить всё
$cmd add allow ip from any to any via gif1
$cmd add allow ip from XXX.XXX.XXX.XXX to YYY.YYY.YYY.YYY2 isakmp
$cmd add allow ip from YYY.YYY.YYY.YYY to XXX.XXX.XXX.XXX isakmp
$cmd add allow ip from XXX.XXX.XXX.XXX 500 to YYY.YYY.YYY.YYY
$cmd add allow ip from YYY.YYY.YYY.YYY 500 to XXX.XXX.XXX.XXX
$cmd add allow ipencap from YYY.YYY.YYY.YYY to XXX.XXX.XXX.XXX
$cmd add allow ipencap from XXX.XXX.XXX.XXX to YYY.YYY.YYY.YYY
$cmd add allow esp from XXX.XXX.XXX.XXX to YYY.YYY.YYY.YYY
$cmd add allow esp from YYY.YYY.YYY.YYY to XXX.XXX.XXX.XXX
/usr/local/etc/rc.d/tunnel.sh - маршруты!!!!!!!!!
Код: Выделить всё
#!/bin/sh
case "$1" in
start)
/sbin/ifconfig gif1 create
/sbin/ifconfig gif1 tunnel XXX.XXX.XXX.XXX YYY.YYY.YYY.YYY
/sbin/ifconfig gif1 192.168.0.1 192.168.1.1 netmask 255.255.255.0
/sbin/ifconfig gif1 mtu 1500
/sbin/route add 192.168.1.0 192.168.1.1
;;
esac
Re: FreeBSD+racoon почему не маршрутизит?
Добавлено: 2014-03-28 11:29:19
gumeniuc
На этой циске есть CLI ?