Страница 1 из 4
Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-09-25 14:19:05
m0ps
поскольку у статьи (
http://www.lissyara.su/?id=1328) нет темы на форуме, а вопросы после проделанного есть решил создать данную тему.
и так, сразу вопрос:
настроил все по статье, тунель поднялся, пакеты бегают туда-сюда, но racoon -F -f /usr/local/etc/racoon/racoon.conf
выдает следующее:
Код: Выделить всё
Foreground mode.
2008-09-25 14:12:53: INFO: @(#)ipsec-tools 0.7.1 (http://ipsec-tools.sourceforge.net)
2008-09-25 14:12:53: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
2008-09-25 14:12:53: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2008-09-25 14:12:53: DEBUG2: lifetime = 28800
2008-09-25 14:12:53: DEBUG2: lifebyte = 0
2008-09-25 14:12:53: DEBUG2: encklen=0
2008-09-25 14:12:53: DEBUG2: p:1 t:1
2008-09-25 14:12:53: DEBUG2: 3DES-CBC(5)
2008-09-25 14:12:53: DEBUG2: SHA(2)
2008-09-25 14:12:53: DEBUG2: 1024-bit MODP group(2)
2008-09-25 14:12:53: DEBUG2: RSA signatures(3)
2008-09-25 14:12:53: DEBUG2:
2008-09-25 14:12:53: DEBUG: hmac(modp1024)
2008-09-25 14:12:53: DEBUG: compression algorithm can not be checked because sadb message doesn't support it.
2008-09-25 14:12:53: DEBUG: getsainfo params: loc='ANONYMOUS', rmt='ANONYMOUS', peer='NULL', id=0
2008-09-25 14:12:53: DEBUG: getsainfo pass #2
2008-09-25 14:12:53: DEBUG2: parse successed.
2008-09-25 14:12:53: ERROR: failed to bind to address 172.16.1.133[500] (Address already in use).
2008-09-25 14:12:53: ERROR: no address could be bound.
смущают 2 последние строчки:
Код: Выделить всё
2008-09-25 14:12:53: ERROR: failed to bind to address 172.16.1.133[500] (Address already in use).
2008-09-25 14:12:53: ERROR: no address could be bound.
аналогичная ситуация на второй машине.
в чем может быть проблема??
P.S.тестировал на vmware (freebsd1 - wan 172.16.1.134 lan 192.168.100.1; freebsd2 - wan 172.16.1.133 lan 192.168.200.1)
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-09-25 15:22:22
Alex Keda
значит уже запущщен
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-09-25 15:27:48
m0ps
тьфу ты, точно.. сам только разобрался и хотел отписаться... он же у меня при загрузке стартанул, а я его опять запускаю...
блин, вот так всегда, поспешишь, а потом оказывается что проблема элементарная (или ее вообще нет)
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-09-25 17:02:15
vasilastr
А у меня с IPsec такая беда (С одной стороны FreeBSD с другой MS ISA 2004)
так вот канал поднимается работает работает а потом бах и падает, потом через какоето время опять поднимается Setkey -D выдает
Код: Выделить всё
81.211.68.218 195.151.216.53
esp mode=tunnel spi=163073032(0x09b84c08) reqid=0(0x00000000)
E: 3des-cbc 47bca797 059cded6 151acd10 23b48565 99edb5d8 8f5eefa1
A: hmac-sha1 99ca8349 9203bb88 718edd46 4f4bf0ba 88394251
seq=0x0000004b replay=4 flags=0x00000000 state=mature
created: Sep 25 11:47:49 2008 current: Sep 25 17:58:26 2008
diff: 22237(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 11:53:48 2008 hard: 0(s) soft: 0(s)
current: 11404(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 75 hard: 0 soft: 0
sadb_seq=21 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=177938260(0x0a9b1f54) reqid=0(0x00000000)
E: 3des-cbc de3069a4 dd940878 2cf50227 db2165e8 dae71883 3ae28fb8
A: hmac-sha1 8e8d8a81 21f5ef0a 8eecec82 01d8112b 42c486de
seq=0x0000004a replay=4 flags=0x00000000 state=mature
created: Sep 25 11:42:17 2008 current: Sep 25 17:58:26 2008
diff: 22569(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 11:47:49 2008 hard: 0(s) soft: 0(s)
current: 11194(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 74 hard: 0 soft: 0
sadb_seq=20 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=190006125(0x0b53436d) reqid=0(0x00000000)
E: 3des-cbc b5a30bbc 2a2163f8 b74cdd38 08795054 5743c6d5 092a0caa
A: hmac-sha1 b4d7d598 57ce9016 f8efbeaa e9bae148 aab674dd
seq=0x0000007b replay=4 flags=0x00000000 state=mature
created: Sep 25 11:35:53 2008 current: Sep 25 17:58:26 2008
diff: 22953(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 11:41:34 2008 hard: 0(s) soft: 0(s)
current: 16883(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 123 hard: 0 soft: 0
sadb_seq=19 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=67158674(0x0400c292) reqid=0(0x00000000)
E: 3des-cbc 54a371a3 2095711f 177ec669 c7f97ef7 06fc5925 a9ae3f5d
A: hmac-sha1 78e73435 5f5069fa b5521a46 a66d90a5 3e099c61
seq=0x0000007a replay=4 flags=0x00000000 state=mature
created: Sep 25 11:29:54 2008 current: Sep 25 17:58:26 2008
diff: 23312(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 11:35:33 2008 hard: 0(s) soft: 0(s)
current: 16524(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 122 hard: 0 soft: 0
sadb_seq=18 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=254128015(0x0f25af8f) reqid=0(0x00000000)
E: 3des-cbc be48ddfb 96800eca 24361d54 114f41b2 4de9bbfc ceea9f26
A: hmac-sha1 0453c254 f7de7739 52ea6eb2 dea56e90 42a091e5
seq=0x00000095 replay=4 flags=0x00000000 state=mature
created: Sep 25 11:23:50 2008 current: Sep 25 17:58:26 2008
diff: 23676(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 11:29:43 2008 hard: 0(s) soft: 0(s)
current: 20418(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 149 hard: 0 soft: 0
sadb_seq=17 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=4350662(0x004262c6) reqid=0(0x00000000)
E: 3des-cbc ee3eee6f 34e98483 e87407e4 61e30ce4 99aca470 bd348679
A: hmac-sha1 e28c990f 2d8632a9 0a047d2f 95374b04 1c5d0c9a
seq=0x0000005c replay=4 flags=0x00000000 state=mature
created: Sep 25 11:06:00 2008 current: Sep 25 17:58:26 2008
diff: 24746(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 11:11:21 2008 hard: 0(s) soft: 0(s)
current: 15073(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 92 hard: 0 soft: 0
sadb_seq=16 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=90754424(0x0568cd78) reqid=0(0x00000000)
E: 3des-cbc 99522616 1376a7e0 956377a8 750bee11 7b5a6840 e31ecf84
A: hmac-sha1 cb03eba5 9e3dd19a 9cde514b aa1273f2 87e24d10
seq=0x00000047 replay=4 flags=0x00000000 state=mature
created: Sep 25 11:00:17 2008 current: Sep 25 17:58:26 2008
diff: 25089(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 11:05:37 2008 hard: 0(s) soft: 0(s)
current: 12614(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 71 hard: 0 soft: 0
sadb_seq=15 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=48919850(0x02ea752a) reqid=0(0x00000000)
E: 3des-cbc d21040d8 a5da176b c5226cbc ebae1d9a 4acb9c48 8d2f1f6f
A: hmac-sha1 ffaaa6c5 d6b4f3f7 db807e8c 51fd4c11 03c13cee
seq=0x00000047 replay=4 flags=0x00000000 state=mature
created: Sep 25 10:47:54 2008 current: Sep 25 17:58:26 2008
diff: 25832(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 10:53:33 2008 hard: 0(s) soft: 0(s)
current: 10467(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 71 hard: 0 soft: 0
sadb_seq=14 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=200269746(0x0befdfb2) reqid=0(0x00000000)
E: 3des-cbc 2d95ee71 94231221 a19c190a 1a6de641 70745a0b 9efc2aec
A: hmac-sha1 4a024a67 f11afa63 8072bf16 f7fe61ab a2acfaf5
seq=0x00000079 replay=4 flags=0x00000000 state=mature
created: Sep 25 10:27:50 2008 current: Sep 25 17:58:26 2008
diff: 27036(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 10:33:43 2008 hard: 0(s) soft: 0(s)
current: 17927(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 121 hard: 0 soft: 0
sadb_seq=13 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=39578872(0x025becf8) reqid=0(0x00000000)
E: 3des-cbc d208a8f9 47d37e29 ee991f91 48148680 965ac399 32c42ae6
A: hmac-sha1 3b55d4ce 56fafdcf b8d994d1 4afb1d8f 011ae467
seq=0x0000010f replay=4 flags=0x00000000 state=mature
created: Sep 25 10:14:26 2008 current: Sep 25 17:58:26 2008
diff: 27840(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 10:21:31 2008 hard: 0(s) soft: 0(s)
current: 77021(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 271 hard: 0 soft: 0
sadb_seq=12 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=99646374(0x05f07ba6) reqid=0(0x00000000)
E: 3des-cbc 91ee7e12 90424313 486d85b3 fe7b074d 26b504af d3ff32aa
A: hmac-sha1 1d48f8ac 7b508b6c c17a3881 8ea20a8e ed1631a0
seq=0x000001f8 replay=4 flags=0x00000000 state=mature
created: Sep 25 10:02:02 2008 current: Sep 25 17:58:26 2008
diff: 28584(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 10:06:50 2008 hard: 0(s) soft: 0(s)
current: 294554(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 504 hard: 0 soft: 0
sadb_seq=11 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=131225839(0x07d258ef) reqid=0(0x00000000)
E: 3des-cbc 62c0d0f4 3ca5efb0 f90cf91b 00f3fc98 1b997021 8613c7d3
A: hmac-sha1 19575efd bcd118f0 574afc1d baf2a541 b18f879b
seq=0x0000031a replay=4 flags=0x00000000 state=mature
created: Sep 25 09:54:41 2008 current: Sep 25 17:58:26 2008
diff: 29025(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 10:01:21 2008 hard: 0(s) soft: 0(s)
current: 364258(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 794 hard: 0 soft: 0
sadb_seq=10 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=263713770(0x0fb7f3ea) reqid=0(0x00000000)
E: 3des-cbc a259adae d101f396 243ef420 18b1ece3 7502d8b2 c3494c22
A: hmac-sha1 2c9b2b3c a0e057cf d1a27994 8761d0f0 5f7c674f
seq=0x00000018 replay=4 flags=0x00000000 state=mature
created: Sep 25 09:48:05 2008 current: Sep 25 17:58:26 2008
diff: 29421(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 09:53:00 2008 hard: 0(s) soft: 0(s)
current: 3658(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 24 hard: 0 soft: 0
sadb_seq=9 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=228101574(0x0d988dc6) reqid=0(0x00000000)
E: 3des-cbc 375d9821 b3773d92 47f97fca 977d163d 67927f88 f48520b3
A: hmac-sha1 e418c8a6 7a82fdd0 6d6a6cc4 c8b94480 53b3b86e
seq=0x0000002e replay=4 flags=0x00000000 state=mature
created: Sep 25 09:41:53 2008 current: Sep 25 17:58:26 2008
diff: 29793(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 09:47:47 2008 hard: 0(s) soft: 0(s)
current: 4100(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 46 hard: 0 soft: 0
sadb_seq=8 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=223975195(0x0d59971b) reqid=0(0x00000000)
E: 3des-cbc 2a6a236e 15c0b066 a0a9002c f4f6605c 3714ae80 1a83780b
A: hmac-sha1 83b4ccda c9023ff9 8b642d53 15fe5292 42605cb9
seq=0x00000060 replay=4 flags=0x00000000 state=mature
created: Sep 25 09:35:00 2008 current: Sep 25 17:58:26 2008
diff: 30206(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 09:41:42 2008 hard: 0(s) soft: 0(s)
current: 13450(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 96 hard: 0 soft: 0
sadb_seq=7 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=118771139(0x07144dc3) reqid=0(0x00000000)
E: 3des-cbc 5831c3ef c73705f5 40b04d1c 42b76c2b 1c4a6fad 40feebdf
A: hmac-sha1 450f4e3c 2eb428c2 e09cdf36 7e4b26b1 cd0effca
seq=0x00000005 replay=4 flags=0x00000000 state=mature
created: Sep 25 09:28:08 2008 current: Sep 25 17:58:26 2008
diff: 30618(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 09:32:02 2008 hard: 0(s) soft: 0(s)
current: 1098(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 5 hard: 0 soft: 0
sadb_seq=6 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=117085007(0x06fa934f) reqid=0(0x00000000)
E: 3des-cbc e1147069 f5a5c69f 181a7170 ab5c3762 9c9cca63 05c600c4
A: hmac-sha1 541253a7 40a1bf21 98adb3a2 82f28d0d c4dbe8d9
seq=0x000000a7 replay=4 flags=0x00000000 state=mature
created: Sep 25 09:22:00 2008 current: Sep 25 17:58:26 2008
diff: 30986(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 09:26:45 2008 hard: 0(s) soft: 0(s)
current: 63858(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 167 hard: 0 soft: 0
sadb_seq=5 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=146621027(0x08bd4263) reqid=0(0x00000000)
E: 3des-cbc 8883ca60 001caf5d b726f2e6 fd466669 fd720564 127e0fc1
A: hmac-sha1 87b965f4 3acf766a 00887969 b87fe729 a33b92c8
seq=0x00000073 replay=4 flags=0x00000000 state=mature
created: Sep 25 09:14:38 2008 current: Sep 25 17:58:26 2008
diff: 31428(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 09:21:47 2008 hard: 0(s) soft: 0(s)
current: 15863(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 115 hard: 0 soft: 0
sadb_seq=4 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=86951473(0x052ec631) reqid=0(0x00000000)
E: 3des-cbc 30d82411 0bd9a45e 6e2af3b2 2c05f7b4 c2adaa84 f0a844e0
A: hmac-sha1 13bf8259 6fd2fc77 34f3e869 298bb976 314ca5e6
seq=0x0000005e replay=4 flags=0x00000000 state=mature
created: Sep 25 09:07:49 2008 current: Sep 25 17:58:26 2008
diff: 31837(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 09:13:03 2008 hard: 0(s) soft: 0(s)
current: 14700(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 94 hard: 0 soft: 0
sadb_seq=3 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=144819615(0x08a1c59f) reqid=0(0x00000000)
E: 3des-cbc 3844f424 bf700c30 5c0301f0 93963391 7559b1d4 5ee591e5
A: hmac-sha1 53974bc2 97ab0e6e 0ed8d9e7 6dbf5c63 0aeba61b
seq=0x000000c9 replay=4 flags=0x00000000 state=mature
created: Sep 25 09:00:34 2008 current: Sep 25 17:58:26 2008
diff: 32272(s) hard: 43200(s) soft: 34560(s)
last: Sep 25 09:07:44 2008 hard: 0(s) soft: 0(s)
current: 27058(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 201 hard: 0 soft: 0
sadb_seq=2 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=173251097(0x0a539a19) reqid=0(0x00000000)
E: 3des-cbc c7276983 d3026883 1fd48b43 1fa89459 c569b702 f994360e
A: hmac-sha1 6dd5144d 98fd648a 0c5fd86e 3ffec607 0304e115
seq=0x00000031 replay=4 flags=0x00000000 state=dying
created: Sep 25 17:09:49 2008 current: Sep 25 17:58:26 2008
diff: 2917(s) hard: 3600(s) soft: 2880(s)
last: Sep 25 17:15:49 2008 hard: 0(s) soft: 0(s)
current: 2920(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 49 hard: 0 soft: 0
sadb_seq=1 pid=43628 refcnt=1
81.211.68.218 195.151.216.53
esp mode=tunnel spi=65397771(0x03e5e40b) reqid=0(0x00000000)
E: 3des-cbc dd189243 dda8c254 a0328eaa 42a811db ed421197 cd113797
A: hmac-sha1 ed799df1 937da499 9a0fdb97 a7b5b4de c8260d09
seq=0x00000034 replay=4 flags=0x00000000 state=dying
created: Sep 25 17:03:49 2008 current: Sep 25 17:58:26 2008
diff: 3277(s) hard: 3600(s) soft: 2880(s)
last: Sep 25 17:09:49 2008 hard: 0(s) soft: 0(s)
current: 3128(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 52 hard: 0 soft: 0
sadb_seq=0 pid=43628 refcnt=1
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-09-25 17:03:47
vasilastr
195.151.216.53
в самом начале один раз
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-10-23 12:35:43
Hatifnatt
Есть следующая проблема, если смотреть
Код: Выделить всё
tcpdump -i gif0
13:20:18.659528 IP 10.17.17.5 > 10.17.17.6: IP 192.168.1.250 > 192.168.0.254: ICMP echo request, id 38172, seq 7, length 64 (ipip-proto-4)
13:20:18.659576 IP 192.168.0.254 > 192.168.1.250: ICMP echo reply, id 38172, seq 7, length 64
13:20:19.330459 IP 10.17.17.5.51006 > 10.17.17.6.ssh: . ack 8065 win 65535
13:20:19.660530 IP 10.17.17.5 > 10.17.17.6: IP 192.168.1.250 > 192.168.0.254: ICMP echo request, id 38172, seq 8, length 64 (ipip-proto-4)
13:20:19.660580 IP 192.168.0.254 > 192.168.1.250: ICMP echo reply, id 38172, seq 8, length 64
то видно не зашифрованные пакеты идут во всю, хотя туннель есть, его видно
Код: Выделить всё
setkey -D
10.17.17.5 10.17.17.6
esp mode=tunnel spi=61505722(0x03aa80ba) reqid=0(0x00000000)
E: 3des-cbc cfdee020 f4e2e4e6 2751b30e 381fdd7d 958b089d 3e0c4de9
A: hmac-sha1 a3e2e075 8d0de1a7 c96773e5 2c455d6e 8e6d499b
seq=0x0000038b replay=4 flags=0x00000000 state=mature
created: Oct 23 10:34:35 2008 current: Oct 23 13:30:19 2008
diff: 10544(s) hard: 43200(s) soft: 43200(s)
last: Oct 23 13:20:22 2008 hard: 0(s) soft: 0(s)
current: 705904(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 907 hard: 0 soft: 0
sadb_seq=1 pid=7340 refcnt=2
10.17.17.6 10.17.17.5
esp mode=tunnel spi=231178427(0x0dc780bb) reqid=0(0x00000000)
E: 3des-cbc bb312bd3 0f5cf6e9 468f2c4c c5db26db 1601c576 00a96f55
A: hmac-sha1 a2d31339 b939e171 f153aadc 6b7dc3a8 a050bd1d
seq=0x0000026f replay=4 flags=0x00000000 state=mature
created: Oct 23 10:34:35 2008 current: Oct 23 13:30:19 2008
diff: 10544(s) hard: 43200(s) soft: 43200(s)
last: Oct 23 13:20:22 2008 hard: 0(s) soft: 0(s)
current: 87399(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 623 hard: 0 soft: 0
sadb_seq=0 pid=7340 refcnt=1
где может быть косяк?
сеть основная
Код: Выделить всё
192.168.1.0/24
внутренний адрес машины 192.168.1.250
внешний для туннеля 10.17.17.5
вторая сеть
Код: Выделить всё
192.168.0.0./24
внутренний адрес машины 192.168.1.254
внешний для туннеля 10.17.17.6
ipsec.conf
Код: Выделить всё
# flush all
flush;
spdflush;
spdadd 10.17.17.5/32 10.17.17.6/32 any -P out ipsec esp/tunnel/10.17.17.5-10.17.17.6/require;
spdadd 10.17.17.6/32 10.17.17.5/32 any -P in ipsec esp/tunnel/10.17.17.6-10.17.17.5/require;
Если необходимо то могу racoon.conf выложить, но т.к. туннель устанавливается то по моему дело не в нем, хотя я могу ошибаться.
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-10-23 14:10:33
Hatifnatt
Сам спросил сам ответил, слушать надо было физический интерфейс, там все отлично шифровалось.
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-11-18 21:35:58
Dimston
Здравствуйте.
Огромное спасибо уважаемому автору за статью (
http://www.lissyara.su/?id=1328)
Все отлично работает на FreeBSD7 amd64
Так случилось, что канал провайдера, редко, но падает, посему был создан резервный Wi-Fi линк (благо недалеко)
В каждую из двух машин (srv1, srv2) воткнуты 3с905, а другим концом в точку доступа в режиме "мост"
То есть добавилась сеть 192.168.0.0/29
Код: Выделить всё
srv1:
re0 10.12.32.52 - провайдер
sk0 192.168.1.254 - внутр.сеть
xl0 192.168.0.1 - к Wi-Fi
gif0 10.12.32.52 --> 10.12.32.53
192.168.1.254 --> 192.168.2.1
srv2:
re0 10.12.32.53 - провайдер
sk0 192.168.2.1 - внутр.сеть
xl0 192.168.0.2 - к Wi-Fi
gif0 10.12.32.53 --> 10.12.32.52
192.168.2.1 --> 192.168.1.254
Думал сделаю вот такие gif1
Код: Выделить всё
gif1 192.168.0.1 --> 192.168.0.2
10.12.32.52 --> 10.12.32.53
и буду включать их когда нужно, но нифига...
на всякий случай делаю ipfw add 50 allow ip from any to any
поднимаю gif1, пингую c srv2 внешний srv1
Код: Выделить всё
srv2[/]#ipfw add 50 allow ip from any to any
srv2[/]#ping 10.12.32.52
PING 10.12.32.52 (10.12.32.52): 56 data bytes
64 bytes from 10.12.32.52: icmp_seq=0 ttl=64 time=8.628 ms
64 bytes from 10.12.32.52: icmp_seq=1 ttl=64 time=5.482 ms
64 bytes from 10.12.32.52: icmp_seq=2 ttl=64 time=3.366 ms
ага, пингуется...
а вот в gif0 тишина...
внутр.сеть не пингуется...
Каким образом можно один gif в другой "завернуть" ?
или же есть другие методы ?
Спасибо.
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-11-18 21:41:43
paradox
это ж вам не матрешки
запихивать гивы в гифы
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-11-24 14:12:33
res69
Всем привет!
А что надо прописать в ipsec.conf чтобы в один туннель запихнуть несколько сетей с разными масками?
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-11-25 9:26:13
vasilastr
маску в которую бы они уместились
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-11-25 9:33:58
res69
Маска в моем случае получилась бы 0.0.0.0, а это не есть правильно.
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-11-25 10:24:35
vasilastr
Сколько же у тебя сетей
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-11-25 10:32:15
res69
сетей то не много, просто настраивал туннель для сети с реальными адресами, а щаз надо в этот же туннель направить пару приватных сетей.
Если кому интересно: несколько сетей, с несовпадающими масками не получилось направить в один туннель. Пришлось завести на интерфейсе вторичный адрес и организовать еще один туннель.
Так же, думаю, возможен такой вариант: на туннельном интерфейсе поднимается НАТ, туннель настраивается на IP адрес НАТа, все что надо загнать в туннель отправляется на НАТ. Планирую этот вариант тоже попробовать, позже.
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-12-12 13:28:34
pimlab
Помогите разобраться, если процессу racoon послать KILLALL -1 racoon ,то racoon после этого стартует на всех интерфейсах,а не только на том где прописано.
Так и должно быть или нет, а то после ротации всевремя так? НЕ сильно напрягает конечно , но всетаки.....
OS Freebsd 7.0 p5
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-12-12 14:39:23
zingel
Код: Выделить всё
1 HUP (hang up)
2 INT (interrupt)
3 QUIT (quit)
6 ABRT (abort)
9 KILL (non-catchable, non-ignorable kill)
14 ALRM (alarm clock)
15 TERM (software termination signal)
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-12-12 15:44:50
pimlab
zingel писал(а):Код: Выделить всё
1 HUP (hang up)
2 INT (interrupt)
3 QUIT (quit)
6 ABRT (abort)
9 KILL (non-catchable, non-ignorable kill)
14 ALRM (alarm clock)
15 TERM (software termination signal)
что-то я не совсем понимаю, что вы этим хотите сказать.
перевразируй вопрос :
Как у вас сделана ротация лога ?
У меня видимо тогда не верно. Racoon сам пишет лог , а newsyslog делает ротацию
Код: Выделить всё
# configuration file for newsyslog
# $FreeBSD: src/etc/newsyslog.conf,v 1.50 2005/03/02 00:40:55 brooks Exp $
#
#
# logfilename [owner:group] mode count size when flags [/pid_file] [sig_num]
/var/log/all.log 600 7 * @T00 J
/var/log/amd.log 644 7 100 * J
/var/log/auth.log 600 7 100 * JC
/var/log/console.log 600 5 100 * J
/var/log/cron 600 3 100 * JC
/var/log/daily.log 640 7 * @T00 JNC
/var/log/daily.security.log 640 7 * @T00 JNC
/var/log/debug.log 600 7 100 * JC
/var/log/kerberos.log 600 7 100 * J
/var/log/lpd-errs 644 7 100 * JC
/var/log/maillog 640 7 * @T00 JC
/var/log/messages 644 5 100 * JC
/var/log/monthly.log 640 12 * $M1D0 JNC
/var/log/pflog 600 3 500 * JB /var/run/pflogd.pid
/var/log/ppp.log root:network 640 3 100 * JC
/var/log/security 600 10 100 * JC
/var/log/sendmail.st 640 10 * 168 JB
/var/log/slip.log root:network 640 3 100 * JC
/var/log/weekly.log 640 5 1 $W6D0 JNC
/var/log/wtmp 644 3 * @01T05 B
/var/log/xferlog 600 7 100 * JC
/var/log/info.log 600 2 300 * JC
/var/log/racoon.log root: 600 2 200 * ZC /var/run/racoon.pid
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-12-23 16:30:14
dekloper
так понимаю, куррент "не предназначен" для айписека?
чет валится на последнем метре с ашипкой
Код: Выделить всё
===> zyd (all)
cc -O2 -fno-strict-aliasing -pipe -D_KERNEL -DKLD_MODULE -std=c99 -nostdinc -DHAVE_KERNEL_OPTION_HEADERS -include /usr/obj/usr/src/sys/KMD/opt_global.h -I. -I@ -I@/contrib/altq -finline-limit=8000 --param inline-unit-growth=100 --param large-function-growth=1000 -fno-common -g -fno-omit-frame-pointer -I/usr/obj/usr/src/sys/KMD -mcmodel=kernel -mno-red-zone -mfpmath=387 -mno-sse -mno-sse2 -mno-mmx -mno-3dnow -msoft-float -fno-asynchronous-unwind-tables -ffreestanding -Wall -Wredundant-decls -Wnested-externs -Wstrict-prototypes -Wmissing-prototypes -Wpointer-arith -Winline -Wcast-qual -Wundef -Wno-pointer-sign -fformat-extensions -c /usr/src/sys/modules/zyd/../../dev/usb/if_zyd.c
ld -d -warn-common -r -d -o if_zyd.ko.debug if_zyd.o
:> export_syms
awk -f /usr/src/sys/modules/zyd/../../conf/kmod_syms.awk if_zyd.ko.debug export_syms | xargs -J% objcopy % if_zyd.ko.debug
objcopy --only-keep-debug if_zyd.ko.debug if_zyd.ko.symbols
objcopy --strip-debug --add-gnu-debuglink=if_zyd.ko.symbols if_zyd.ko.debug if_zyd.ko
1 error
*** Error code 2
1 error
*** Error code 2
1 error
где могла сабака порыться..?
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-12-24 10:32:38
Sadok123
Добавь архитектуру машины, на к-й ядро компилишь:
например,
В 7.0 эта опция не включена в конфиг ядра GENERIC, вручную добавлять надо
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-12-24 11:25:34
Basil
Добрый день. Не буду рассказывать полностью всю свою эпопею по борьбе с IPSEC, потому сразу к делу... Команда "setkey -D" выводит "No SAD entries".
В /etc/rc.conf я добавил следующее (IP я изменил и любые совпадения - всего лишь случайность):
Код: Выделить всё
gif_interfaces="gif0"
gifconfig_gif0="23.33.202.238 78.107.20.42"
ifconfig_gif0="192.168.0.254 netmask 255.255.255.0 192.168.1.254 netmask 255.255.255.0"
static_routes="vpn"
route_vpn="102.168.1.0/24 192.168.1.254"
export route_vpn
ipsec_enable="YES"
ipsec_files="/etc/ipsec.conf"
racoon_enable="YES"
Эти переменные, насколько я понимаю, говорят, что ядро с поддержкой
IPSEC пересобрано успешно:
Код: Выделить всё
# sysctl -a | grep ipsec
<118>Installing ipsec manual keys/policies.
<118>Installing ipsec manual keys/policies.
net.inet.ipsec.def_policy: 1
net.inet.ipsec.esp_trans_deflev: 1
net.inet.ipsec.esp_net_deflev: 1
net.inet.ipsec.ah_trans_deflev: 1
net.inet.ipsec.ah_net_deflev: 1
net.inet.ipsec.ah_cleartos: 1
net.inet.ipsec.ah_offsetmask: 0
net.inet.ipsec.dfbit: 0
net.inet.ipsec.ecn: 0
net.inet.ipsec.debug: 0
net.inet.ipsec.esp_randpad: -1
net.inet.ipsec.crypto_support: 50331648
net.inet6.ipsec6.def_policy: 1
net.inet6.ipsec6.esp_trans_deflev: 1
net.inet6.ipsec6.esp_net_deflev: 1
net.inet6.ipsec6.ah_trans_deflev: 1
net.inet6.ipsec6.ah_net_deflev: 1
net.inet6.ipsec6.ecn: 0
net.inet6.ipsec6.debug: 0
net.inet6.ipsec6.esp_randpad: -1
И заранее еще пара логов, чтобы не тянуть время:
Код: Выделить всё
# cat /etc/ipsec.conf
flush;
spdflush;
spdadd 192.168.0.0/24 192.168.1.0/24 any -P out ipsec
esp/tunnel/23.33.202.238-78.107.20.42/require;
spdadd 192.168.1.0/24 192.168.0.0/24 any -P in ipsec
esp/tunnel/78.107.20.42-23.33.202.238/require;
Код: Выделить всё
# cat /usr/local/etc/racoon/racoon.conf
# $KAME: racoon.conf.in,v 1.18 2001/08/16 06:33:40 itojun Exp $
# "path" affects "include" directives. "path" must be specified before any
# "include" directive with relative file path.
# you can overwrite "path" directive afterwards, however, doing so may add
# more confusion.
path include "/usr/local/etc/racoon";
#include "remote.conf";
# the file should contain key ID/key pairs, for pre-shared key authentication.
#path pre_shared_key "/usr/local/etc/racoon/psk.txt";
# racoon will look for certificate file in the directory,
# if the certificate/certificate request payload is received.
path certificate "/usr/local/etc/racoon/cert";
# "log" specifies logging level. It is followed by either "notify", "debug"
# or "debug2".
log debug2;
# "padding" defines some padding parameters. You should not touch these.
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
# if no listen directive is specified, racoon will listen on all
# available interface addresses.
listen
{
#isakmp ::1 [7000];
isakmp 23.33.202.238 [500];
#isakmp_natt 172.16.5.4 [4500];
#admin [7002]; # administrative port for racoonctl.
#strict_address; # requires that all addresses must be bound.
}
# Specify various default timers.
timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per send.
# maximum time to wait for completing each phase.
phase1 30 sec;
phase2 15 sec;
}
remote 78.107.20.42 [500]
{
#exchange_mode main,aggressive;
exchange_mode aggressive,main;
#doi ipsec_doi;
#situation identity_only;
#my_identifier user_fqdn "sakane@kame.net";
#peers_identifier user_fqdn "sakane@kame.net";
my_identifier address 23.33.202.238;
peers_identifier address 78.107.20.42;
certificate_type x509 "23.33.202.238.public" "23.33.202.238.private";
peers_certfile x509 "78.107.20.42.public";
#nonce_size 16;
#ilifetime time 1 min; # sec,min,hour
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method rsasig;
dh_group 5;
}
}
sainfo anonymous
{
pfs_group 5;
lifetime time 60 min;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-12-24 13:21:01
Sadok123
Базиль, покажите вывод ifconfig. И почему rc.conf не сделать по образу и подобию, описанного в статье? Есть подозрение, что просто gif-интерфейс не создается.
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-12-24 13:28:46
Basil
По-моему создается
Код: Выделить всё
# ifconfig -a
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 00:0e:74:b7:0e:bc
inet 23.33.202.238 netmask 0xfffffffc broadcast 23.33.202.239
media: Ethernet autoselect (10baseT/UTP <full-duplex>)
status: active
stge0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> metric 0 mtu 1500
options=9b<RXCSUM,TXCSUM,VLAN_MTU,VLAN_HWTAGGING,VLAN_HWCSUM>
ether 00:1a:72:2d:bc:a2
inet 192.168.0.254 netmask 0xffffff00 broadcast 192.168.0.255
media: Ethernet autoselect (1000baseTX <full-duplex,flag2>)
status: active
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> metric 0 mtu 16384
inet6 fe80::1%lo0 prefixlen 64 scopeid 0x3
inet6 ::1 prefixlen 128
inet 127.0.0.1 netmask 0xff000000
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> metric 0 mtu 1280
tunnel inet 23.33.202.238 --> 78.107.20.42
inet 192.168.0.254 --> 192.168.1.254 netmask 0xffffff00
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-12-24 13:45:06
Sadok123
А вот в /usr/local/etc/racoon/racoon.conf не зря ли удалена секция remote anonymous
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-12-24 13:59:03
Basil
Я этой секции не нашел в оригинальной статье... а разве ракун влияет на создание правил в setkey?
Да и в
руководстве я не нашел этой секции
Re: Настройка шифрованного туннеля с использованием IPSEC
Добавлено: 2008-12-24 15:30:56
Sadok123
Не знаю
А что он пишет в лог? (Я смотрю
log debug2; включен - он мне помогал сильно, помнится)