Помогите сконфигурировать strongswan

0

1

Есть задача подключиться по IPsec к провайдеру смс рассылок. Уже вторую неделю ритуалы с бубном

Установил Centos 7, поставил туда strongswan, провайдер выслал таблицу с конфигурацией http://prntscr.com/aiukrt, и отморозились что либо подсказать ((

Ссылка

←	incron + date

pfsense, ограничить входящие подключения по связке ip+mac

→

Вы бы хоть привели, то что уже сделали и что именно не получается.
Или ждете что бы вам готовые конфиги выложили? Тогда это в другой раздел на букву J

anc ★★★★★
(23.03.16 13:20:20 MSK)

Ответ на: комментарий от anc 23.03.16 13:20:20 MSK

Не имел опыта работы с IPsec, вот что получилось

=======ipsec.conf======== config setup

charonstart=no plutodebug=control charondebug=all

conn %default

ikelifetime=1440m keyexchange=ikev1 ike=aes256-sha1-modp1536 esp=aes256-sha1-modp1536

conn host-host

left=yyy.yyy.yyy.yyy leftid=yyy.yyy.yyy.yyy right=xxx.xxx.xxx.xxx rightid=xxx.xxx.xxx.xxx aggressive = no lifetime = 3600s leftauth = psk rightauth = psk auto=add ==================

strongswan.conf оставил дефолтным iptables отключил

reegg
(23.03.16 13:37:56 MSK) автор топика

Ответ на: комментарий от reegg 23.03.16 13:37:56 MSK

LORCODE осильте www.linux.org.ru/help/lorcode.md
psk прописали в ipsec.secrets ?

что-то из этого
xauth=server
rightauth2=xauth
authby=xauthpsk

В логах то что?

anc ★★★★★
(23.03.16 13:53:52 MSK)

Ответ на: комментарий от anc 23.03.16 13:53:52 MSK

в ipsec.secrets прописал только: xxx.xxx.xxx.xxx : PSK ***************

Логи

reegg
(23.03.16 14:24:06 MSK) автор топика

Ответ на: комментарий от reegg 23.03.16 14:24:06 MSK

Таак а теперь что именно-то не работает?

anc ★★★★★
(23.03.16 14:36:51 MSK)

Ответ на: комментарий от reegg 23.03.16 13:37:56 MSK

auto=add ждет подключения, но не пытается его установить. Если центос должен быть инициатором, нужно auto=start, и смотреть логи.

thesis ★★★★★
(23.03.16 14:41:04 MSK)

Ответ на: комментарий от thesis 23.03.16 14:41:04 MSK

Лог с параметром auto=start

Вот Схема маршрута для отправки пакета SMPP.

Таак а теперь что именно-то не работает?

С этими параметрами хост yyy.yyy.yyy.yyy не пингает xxx.xxx.xxx.xxx

reegg
(23.03.16 15:19:58 MSK) автор топика

Ответ на: комментарий от reegg 23.03.16 15:19:58 MSK

Так и не должен, у вас же aaaa bbbb, left/rightsubnet пропишите.

anc ★★★★★
(23.03.16 15:54:54 MSK)

Ссылка

Ответ на: комментарий от anc 23.03.16 14:36:51 MSK

Судя по логам есть попытки установки подключения, но он же не устанавливается, или я ошибаюсь?

reegg
(23.03.16 16:39:41 MSK) автор топика

Ответ на: комментарий от reegg 23.03.16 16:39:41 MSK

Да скорее как раз подключается. Посмотрите ipsec status ipsec statusall
Еще ip xfrm policy

anc ★★★★★
(23.03.16 16:55:37 MSK)
Последнее исправление: anc 23.03.16 16:56:40 MSK (всего исправлений: 1)

Ответ на: комментарий от anc 23.03.16 16:55:37 MSK

вот тут у меня проблемка, «ipsec: команда не найдена» это нужно установить доп пакет, я думал он идет с ipsec-tools

reegg
(23.03.16 17:17:08 MSK) автор топика

Ответ на: комментарий от reegg 23.03.16 17:17:08 MSK

ip xfrm policy - уже достаточно.
А вообще рекомендую доставить, много полезного в ней. Честно говоря я хз как стартует ipsec в centos.

anc ★★★★★
(23.03.16 17:23:01 MSK)
Последнее исправление: anc 23.03.16 17:26:00 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от reegg 23.03.16 17:17:08 MSK

В CentOS эта команда «ipsec» переименована в «strongswan».

whoami ★
(23.03.16 17:24:47 MSK)

Ответ на: комментарий от reegg 23.03.16 15:19:58 MSK

Подключается же. А пинги разрешены вообще?

thesis ★★★★★
(23.03.16 17:42:54 MSK)

Ссылка

Ответ на: комментарий от whoami 23.03.16 17:24:47 MSK

ООО дело пошло, похоже после установки strongswan-libipsec (в логе пошли коннекты по порту 4500)

И strongswan statusall показывает коннект, но смущает строка: Security Associations (1 up, 0 connecting)

reegg
(23.03.16 17:59:07 MSK) автор топика

Ответ на: комментарий от reegg 23.03.16 17:59:07 MSK

Усе норм strongswan status покажет в сокращенном варианте. А ip xfrm policy еще больше расскажет.

anc ★★★★★
(23.03.16 18:05:22 MSK)

Ответ на: комментарий от anc 23.03.16 18:05:22 MSK

ip xfrm policy ничего не выводит

reegg
(23.03.16 18:25:10 MSK) автор топика

Ответ на: комментарий от reegg 23.03.16 18:25:10 MSK

Скинь уже сюда вывод strongswan statusall с замазанными адресами.

whoami ★
(23.03.16 18:38:00 MSK)

Ответ на: комментарий от whoami 23.03.16 18:38:00 MSK

strongswan statusall

Ответ на пинг с yyy.yyy.yyy.yyy на aaa.aaa.aaa.aaa не получаю, и tcpdump показывает отправку пакета без шифровался "....ICMP echo request, id 2895, seq 24, length 64"

reegg
(23.03.16 18:50:21 MSK) автор топика

Ответ на: комментарий от reegg 23.03.16 18:25:10 MSK

Вы left/rightsubnet прописали?

anc ★★★★★
(23.03.16 18:57:36 MSK)

Ответ на: комментарий от anc 23.03.16 18:57:36 MSK

да, прописал leftsubnet=bbb.bbb.bbb.bbb/32 rightsubnet=aaa.aaa.aaa.aaa/32

reegg
(23.03.16 19:02:12 MSK) автор топика

Ответ на: комментарий от reegg 23.03.16 19:02:12 MSK

Чего-то смущает что ip xfrm policy ничего не показывает. Точнее он-то как раз показывать должен в любом случае, есть соединение или нет, другой вопрос что в нем написано. Вы точно уверены что он НИЧЕГО не показывает?

anc ★★★★★
(23.03.16 19:10:37 MSK)

Ответ на: комментарий от anc 23.03.16 19:10:37 MSK

Ни один из параметров ничего не выдает state | policy | monitor

reegg
(24.03.16 12:52:29 MSK) автор топика

Ответ на: комментарий от reegg 23.03.16 18:50:21 MSK

#ip xfrm state count

выдает SAD count 0

Правильно я понимаю?: ни одна политика шифрования не применилась, потому при попытке пинга на aaa.aaa.aaa.aaa не проходит а tcpdump показывает не шифрованные ICMP пакеты?

reegg
(24.03.16 14:33:47 MSK) автор топика

Ссылка

Ответ на: комментарий от reegg 24.03.16 12:52:29 MSK

Мда. Скиньте еще раз логи с вариантом когда subnet прописана.

anc ★★★★★
(24.03.16 17:22:55 MSK)

Ответ на: комментарий от anc 24.03.16 17:22:55 MSK

leftsubnet=yyy.yyy.yyy.0/32 rightsubnet=xxx.xxx.xxx.0/32

Лог

reegg
(24.03.16 18:14:08 MSK) автор топика

Ответ на: комментарий от reegg 24.03.16 18:14:08 MSK

Стоп, а это что еще такое? yyy.yyy.yyy.0/32 xxx.xxx.xxx.0/32 ?
Почему нули в конце и почему не aaa, bbb ?

anc ★★★★★
(24.03.16 18:22:22 MSK)

Ответ на: комментарий от anc 24.03.16 18:22:22 MSK

*мозг плавит, пробовал подсеть указывать

leftsubnet=bbb.bbb.bbb.bbb rightsubnet=aaa.aaa.aaa.aaa

при конфиге хост↔хост ошибка:

Mar 24 17:29:20 smsgw charon: 11[KNL] error installing route with policy bbb.bbb.bbb.bbb/32 === aaa.aaa.aaa.aaa/32 out
Mar 24 17:29:20 smsgw charon: 11[KNL] error installing route with policy bbb.bbb.bbb.bbb/32 === aaa.aaa.aaa.aaa/32 out

Полный лог

а как в strongswan можно указать порт в subnet?

reegg
(24.03.16 18:50:09 MSK) автор топика

Ответ на: комментарий от reegg 24.03.16 18:50:09 MSK

Попробуйте без 32 прописать, вроде и ман про это говорит

а как в strongswan можно указать порт в subnet?

[<proto/port>] (сам никогда не пробовал, знаю что есть но не надо было)
полное описание также в мане есть, примеры оттуда

Examples: leftsubnet=10.0.0.1[tcp/http],10.0.0.2[6/80] or  left-
              subnet=fec1::1[udp],10.0.0.0/16[/53].    Instead   of   omitting
              either value %any can be used to the same effect, e.g.  leftsub-
              net=fec1::1[udp/%any],10.0.0.0/16[%any/53].

anc ★★★★★
(24.03.16 19:27:32 MSK)

Ссылка

Ответ на: комментарий от reegg 24.03.16 18:50:09 MSK

И еще благодаря ману вспомнил, ikev1 с несколькими подсетями (вроде не ваш вариант, но...) вроде не работает.
Неизвестно как настроена та сторона, с определенной долей вероятности и ikev2 так же может работать. Во всяком случае для себя любимого я настраивал и то и то в зависимости от клиента.

anc ★★★★★
(24.03.16 19:34:41 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	incron + date

Admin

pfsense, ограничить входящие подключения по связке ip+mac

→

Похожие темы