Проблемы с ipsec

0

2

Пытаюсь законнектить сервер по vpn к провайдеру.

config setup       
        dumpdir=/var/run/pluto/
        nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/12,%v4:25.0.0.0/8,%v6:fd00::/8,%v6:fe80::/10
        oe=off
        protostack=auto

conn A2P
        authby=secret
        pfs=no
        auto=add
        keyingtries=3
        dpddelay=30
        dpdtimeout=120
        dpdaction=clear
        rekey=yes
        ikelifetime=1h
        keylife=1h
        type=transport
        ike=aes128-sha1-modp1024!
        phase2alg=aes128-sha1-modp1024
        aggrmode=no
        left=%defaultroute
        right=*

ipsec.secrets На PSK «pre-shared-key»

Пытаюсь поднять

root@smsweb:~# ipsec auto --up A2P
000 initiating all conns with alias='A2P'
021 no connection named "A2P"

Это вроде еще понятно, добавляю его

root@smsweb:~# /usr/sbin/ipsec auto --add A2P
034 esp string error: Non initial digit found for auth keylen, just after "aes128-sha1-" (old_state=ST_AA_END)

А вот это уже неочень понятно. Подскажите куда смотреть? Я вижу что он либо на ike либо на phase2alg ругается, но что ему не нравиться не пойму.

Ссылка

←	Распределение трафика на VPN сервере

Bacula - резервное копирование данных настроить

→

Может быть восклицательный знак? :)

yakunin ★
(26.12.17 15:34:22 MSK)

Ответ на: комментарий от yakunin 26.12.17 15:34:22 MSK

Спасибо за ответ. Но нет, восклицательный знак здесь не причем.

nairon
(26.12.17 16:32:43 MSK) автор топика

Ответ на: комментарий от nairon 26.12.17 16:32:43 MSK

Don't use the "!" syntax. If any esp/ike is specified, it always means that is
the restrictive set.

Попробуй:

ike=aes128-sha1, modp1024

И по-хорошему обнови пакет. А так же попробуй без явного указания группы.

yakunin ★
(26.12.17 16:46:53 MSK)

Ответ на: комментарий от yakunin 26.12.17 16:46:53 MSK

root@smsweb:~# /etc/init.d/ipsec restart
failed to start openswan IKE daemon - the following error occured:
can not load config '/etc/ipsec.conf': /etc/ipsec.conf:70: syntax error, unexpected STRING, expecting EOL 2

После выставления

nairon
(26.12.17 17:38:44 MSK) автор топика

Ответ на: комментарий от nairon 26.12.17 17:38:44 MSK

Извиняюсь, ругался он на пробел :) Смотрю

nairon
(26.12.17 17:40:38 MSK) автор топика

Ссылка

Ответ на: комментарий от yakunin 26.12.17 16:46:53 MSK

Убрал ошибки, он добавился. но при попытке поднять

root@smsweb:~# ipsec auto --up A2P

Застывает на месте и никуда не идет. Не подскажите?

nairon
(26.12.17 18:18:59 MSK) автор топика

Ответ на: комментарий от nairon 26.12.17 18:18:59 MSK

Логи смотрите.

anc ★★★★★
(26.12.17 19:40:10 MSK)

Ответ на: комментарий от anc 26.12.17 19:40:10 MSK

root@smsweb:~# ipsec auto --up A2P
104 "A2P" #1: STATE_MAIN_I1: initiate
003 "A2P" #1: received Vendor ID payload [RFC 3947] method set to=109
106 "A2P" #1: STATE_MAIN_I2: sent MI2, expecting MR2
003 "A2P" #1: received Vendor ID payload [Cisco-Unity]
003 "A2P" #1: received Vendor ID payload [Dead Peer Detection]
003 "A2P" #1: ignoring unknown Vendor ID payload [6f4f6157c468ab46dae5e81969fd0654]
003 "A2P" #1: received Vendor ID payload [XAUTH]
003 "A2P" #1: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): no NAT detected
108 "A2P" #1: STATE_MAIN_I3: sent MI3, expecting MR3
003 "A2P" #1: discarding duplicate packet; already STATE_MAIN_I3
010 "A2P" #1: STATE_MAIN_I3: retransmission; will wait 20s for response
003 "A2P" #1: discarding duplicate packet; already STATE_MAIN_I3
003 "A2P" #1: discarding duplicate packet; already STATE_MAIN_I3
003 "A2P" #1: discarding duplicate packet; already STATE_MAIN_I3
010 "A2P" #1: STATE_MAIN_I3: retransmission; will wait 40s for response
031 "A2P" #1: max number of retransmissions (2) reached STATE_MAIN_I3.  Possible authentication failure: no acceptable response to our first encrypted message
000 "A2P" #1: starting keying attempt 2 of at most 3, but releasing whack

Вот такой вывод начинает идти. В конфиге left=%defaultroute изменил на прямой ip, всё равно так же.

nairon
(27.12.17 13:00:56 MSK) автор топика

Ответ на: комментарий от nairon 27.12.17 13:00:56 MSK

Мда у openswan ничего не поменялось, логи кумарные. Далее пальцем в небо. Насчет алгоритмов, вы уверены что именно такие? PSK прописано правильно, не ошиблись в смысле синтаксиса? Тудаже (ipsec.secrets) а логинн с паролем есть?

anc ★★★★★
(27.12.17 13:24:55 MSK)

Ответ на: комментарий от anc 27.12.17 13:24:55 MSK

include /var/lib/openswan/ipsec.secrets.inc
%any x.x.x.x : PSK "pre-shared-key"

Логин и пароль, такие, которые направили

nairon
(27.12.17 16:50:12 MSK) автор топика

Ссылка

Ответ на: комментарий от nairon 27.12.17 13:00:56 MSK

Что говорит нам эта фраза?

max number of retransmissions (2) reached STATE_MAIN_I3.
Possible authentication failure: no acceptable response to our first encrypted message

Вопрос к автору, сколько фаз у IPSec соединения? Если вы знаете ответ на этот вопрос, то все то что написала вам система в логи, дает ответ что делать далее.

Собственно она вам пишет, что у вас не прошла первая фаза. А это значит что точки не смогли обменяться крипто-алгоритмами, другими словами не сошлись они в приветствии. Уточняйте алгоритм шифрования у конечной точки. И делайте идентичные.

yakunin ★
(27.12.17 18:11:14 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Распределение трафика на VPN сервере

Admin

Bacula - резервное копирование данных настроить

→

Похожие темы