LINUX.ORG.RU
ФорумAdmin

Пакет из jessie для stretch. Возможно?

 , ,


0

1

Пытаюсь поднять Ipsec туннель до vpn-сервера, сделал все по их инструкции, но что-то не все правильно у меня срабатывает и туннеля в итоге нет. Техпод предполагает, что все дело в несовпадении версий, их инструкция разработана для strongswan 5.2.1, а у меня установлена 5.5.1. Они мне предлагают переустановить пакет с более ранней версией. Однако я не могу найти strongswan 5.2.1 для своего stretch, но он есть для jessie. Могу ли я как-то адаптировать старый пакет под новый Debian? Если да, то как?


Чем склонировать хард?
cisco 2911

Попробуй поставь. Я вангую два наиболее вероятных варианта:

1) Поставится и заработает

2) Не поставится, будет ругаться на зависимости (типа нужны более старые версии пакетов, или вообще пакеты, которых нет в новом дистре)

Могут быть другие варианты.

В общем, ставь, а далее смотри по ситуации.

te111011010
()
Ответ на: комментарий от te111011010

будет ругаться на зависимости (типа нужны более старые версии пакетов, или вообще пакеты, которых нет в новом дистре

да, вот это и пришло первое в голову. Прежде чем экспериментировать, хотел услышать разные мнения.

a-lexx
() автор топика

Техпод предполагает

Гони их, унижай их.

сделал все по их инструкции, но что-то не все правильно у меня срабатывает и туннеля в итоге нет

Ну так и приводил бы инструкцию, что ты делал, на каком этапе что пошло не так и приложил бы логи, чем откапывать дырявое решето.

redgremlin ★★★★★
()
Ответ на: комментарий от a-lexx

Да, это вполне возможно, что ты хочешь. Но как правильно пишут выше, стоит попробовать разобраться с новой версией.

Но вот как это задаунгрейдить, если что:

  1. Для начала надо удалить все, что уже поставлено: 
    apt remove -y --purge strongswan && apt install -f && apt autoremove -y --purge
  2. Потом добавь строчку наподобие 
    deb http://ftp.ru.debian.org/debian jessie main
    в /etc/apt/souces.list
  3. Затем создай /etc/apt/preferences.d/strongswan со следующим содержимым: 
    Package: strongswan
Pin: release n=jessie
Pin-Priority: 1001

Package: strongswan-charon
Pin: release n=jessie
Pin-Priority: 1001

Package: strongswan-starter
Pin: release n=jessie
Pin-Priority: 1001

Package: strongswan-libcharon
Pin: release n=jessie
Pin-Priority: 1001

Package: libstrongswan
Pin: release n=jessie
Pin-Priority: 1001

Package: libstrongswan-standard-plugins
Pin: release n=jessie
Pin-Priority: 1001

Package: libstrongswan-extra-plugins
Pin: release n=jessie
Pin-Priority: 1001
  4. apt update && apt install strongswan

Писал из опыта по даунгрейду и теоретических рассчетов при помощи packages.debian.org, пиши если что пойдет не так.

Vsevolod-linuxoid ★★★★★
()
Ответ на: комментарий от redgremlin

Ну так и приводил бы инструкцию, что ты делал, на каком этапе что пошло не так и приложил бы логи, чем откапывать дырявое решето.

Вот инструкция (выполнил первые 14 пунктов, дальше не было смысла), а вот мое общение с техподдержкой (там выложил все логи)

a-lexx
() автор топика
Ответ на: комментарий от Vsevolod-linuxoid

Спасибо, если что, попробую)

a-lexx
() автор топика
Ответ на: комментарий от a-lexx

Поставь ike-scan и выполни msk.vpnki.ru , сильно похоже, что твой клиент не договорился с сервером о шифровании KE
ike-scan --verbose msk.vpnki.ru

redgremlin ★★★★★
()
Ответ на: комментарий от redgremlin

Исправил в файле /etc/ipsec.secrets
:PSK «vpnki»
на
: PSK «vpnki» (так указано в инструкции)
и логи немного изменились

ipsec up vpnki-l2tp
initiating Main Mode IKE_SA vpnki-l2tp[1] to 193.232.49.4
generating ID_PROT request 0 [ SA V V V V V ]
sending packet: from 192.168.1.20[500] to 193.232.49.4[500] (240 bytes)
received packet: from 193.232.49.4[500] to 192.168.1.20[500] (140 bytes)
parsed ID_PROT response 0 [ SA V V V ]
received unknown vendor ID: 4f:53:57:79:5f:44:72:65:7a:65:47:53
received DPD vendor ID
received NAT-T (RFC 3947) vendor ID
generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
sending packet: from 192.168.1.20[500] to 193.232.49.4[500] (372 bytes)
received packet: from 193.232.49.4[500] to 192.168.1.20[500] (356 bytes)
parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
local host is behind NAT, sending keep alives
remote host is behind NAT
generating ID_PROT request 0 [ ID HASH ]
sending packet: from 192.168.1.20[4500] to 193.232.49.4[4500] (76 bytes)
received packet: from 193.232.49.4[4500] to 192.168.1.20[4500] (76 bytes)
parsed ID_PROT response 0 [ ID HASH V ]
received unknown vendor ID: 49:4b:45:76:32
IKE_SA vpnki-l2tp[1] established between 192.168.1.20[192.168.1.20]...193.232.49.4[10.20.118.71]
generating QUICK_MODE request 1441593038 [ HASH SA No ID ID NAT-OA NAT-OA ]
sending packet: from 192.168.1.20[4500] to 193.232.49.4[4500] (204 bytes)
received packet: from 193.232.49.4[4500] to 192.168.1.20[4500] (92 bytes)
parsed INFORMATIONAL_V1 request 1673978803 [ HASH D ]
received DELETE for IKE_SA vpnki-l2tp[1]
deleting IKE_SA vpnki-l2tp[1] between 192.168.1.20[192.168.1.20]...193.232.49.4[10.20.118.71]
establishing connection 'vpnki-l2tp' failed

ipsec statusall
Status of IKE charon daemon (strongSwan 5.5.1, Linux 4.9.0-4-amd64, x86_64):
uptime: 6 minutes, since Jan 04 18:52:58 2018
malloc: sbrk 2703360, mmap 0, used 422400, free 2280960
worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 3
loaded plugins: charon aes rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default connmark stroke updown
Listening IP addresses:
192.168.1.20
fd01::1aa6:f7ff:fe15:6a68
Connections:
vpnki-l2tp: %any...msk.vpnki.ru IKEv1, dpddelay=30s
vpnki-l2tp: local: [192.168.1.20] uses pre-shared key authentication
vpnki-l2tp: remote: uses pre-shared key authentication
vpnki-l2tp: child: dynamic[udp] === dynamic[udp/l2f] TRANSPORT, dpdaction=clear
Security Associations (1 up, 0 connecting):
vpnki-l2tp[235]: ESTABLISHED 51 seconds ago, 192.168.1.20[192.168.1.20]...193.232.49.4[10.20.118.71]
vpnki-l2tp[235]: IKEv1 SPIs: 4a40c28500b14049_i* 0e988d3c6aa3e8cc_r, rekeying disabled
vpnki-l2tp[235]: IKE proposal: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
vpnki-l2tp[235]: Tasks active: QUICK_MODE

ike-scan --verbose msk.vpnki.ru

ERROR: Could not bind network socket to local port 500
Only one process may bind to the source port at any one time.
ERROR: bind: Address already in use

a-lexx
() автор топика

Из сорсов собери, делов-то

annulen ★★★★★
()
Ответ на: комментарий от a-lexx

Добавь в ipsec.conf (перед conn %default)

config setup
    charondebug=ike 4, knl 4, cfg 4

перезапусти ipsec, запусти соединение и снова логи сюда

redgremlin ★★★★★
()
Ответ на: комментарий от redgremlin 
ipsec up vpnki-l2tp
initiating Main Mode IKE_SA vpnki-l2tp[1] to 193.232.49.4
generating ID_PROT request 0 [ SA V V V V V ]
sending packet: from 192.168.1.20[500] to 193.232.49.4[500] (240 bytes)
received packet: from 193.232.49.4[500] to 192.168.1.20[500] (140 bytes)
parsed ID_PROT response 0 [ SA V V V ]
received unknown vendor ID: 4f:53:57:79:5f:44:72:65:7a:65:47:53
received DPD vendor ID
received NAT-T (RFC 3947) vendor ID
generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
sending packet: from 192.168.1.20[500] to 193.232.49.4[500] (372 bytes)
received packet: from 193.232.49.4[500] to 192.168.1.20[500] (356 bytes)
parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
local host is behind NAT, sending keep alives
remote host is behind NAT
generating ID_PROT request 0 [ ID HASH ]
sending packet: from 192.168.1.20[4500] to 193.232.49.4[4500] (76 bytes)
received packet: from 193.232.49.4[4500] to 192.168.1.20[4500] (76 bytes)
parsed ID_PROT response 0 [ ID HASH V ]
received unknown vendor ID: 49:4b:45:76:32
IKE_SA vpnki-l2tp[1] established between 192.168.1.20[192.168.1.20]...193.232.49.4[10.20.118.71]
generating QUICK_MODE request 2546261187 [ HASH SA No ID ID NAT-OA NAT-OA ]
sending packet: from 192.168.1.20[4500] to 193.232.49.4[4500] (204 bytes)
received packet: from 193.232.49.4[4500] to 192.168.1.20[4500] (92 bytes)
parsed INFORMATIONAL_V1 request 3424524674 [ HASH D ]
received DELETE for IKE_SA vpnki-l2tp[1]
deleting IKE_SA vpnki-l2tp[1] between 192.168.1.20[192.168.1.20]...193.232.49.4[10.20.118.71]
initiating Main Mode IKE_SA vpnki-l2tp[2] to 193.232.49.4
establishing connection 'vpnki-l2tp' failed
 ipsec statusall
Status of IKE charon daemon (strongSwan 5.5.1, Linux 4.9.0-4-amd64, x86_64):
  uptime: 11 minutes, since Jan 04 20:20:47 2018
  malloc: sbrk 2703360, mmap 0, used 422512, free 2280848
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 3
  loaded plugins: charon aes rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default connmark stroke updown
Listening IP addresses:
  192.168.1.20
  fd01::1aa6:f7ff:fe15:6a68
Connections:
  vpnki-l2tp:  %any...msk.vpnki.ru  IKEv1, dpddelay=30s
  vpnki-l2tp:   local:  [192.168.1.20] uses pre-shared key authentication
  vpnki-l2tp:   remote: uses pre-shared key authentication
  vpnki-l2tp:   child:  dynamic[udp] === dynamic[udp/l2f] TRANSPORT, dpdaction=clear
Security Associations (1 up, 0 connecting):
  vpnki-l2tp[223]: ESTABLISHED 79 seconds ago, 192.168.1.20[192.168.1.20]...193.232.49.4[10.20.118.71]
  vpnki-l2tp[223]: IKEv1 SPIs: 61ff8709bd509e1f_i* de742b1d20e11a85_r, rekeying disabled
  vpnki-l2tp[223]: IKE proposal: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
  vpnki-l2tp[223]: Tasks active: QUICK_MODE
a-lexx
() автор топика
Ответ на: комментарий от a-lexx 
Status of IKE charon daemon (strongSwan 5.5.1, Linux 4.9.0-4-amd64, x86_64):
  uptime: 11 minutes


Точно ipsec полностью перезапускал? На четвёрке дебага буквиц будет куда больше.

redgremlin ★★★★★
()
Ответ на: комментарий от redgremlin

Да. При первом рестарте даже ошибка вывалилась, когда config setup пропустил в конфиге, подправил, снова рестарт и выдает только то, что я скинул

a-lexx
() автор топика
Ответ на: комментарий от redgremlin

Сообщение, что такая команда не найдена.

Заметил чуть-чуть изменение лога:

ipsec statusall
Status of IKE charon daemon (strongSwan 5.5.1, Linux 4.9.0-4-amd64, x86_64):
  uptime: 15 seconds, since Jan 04 22:09:42 2018
  malloc: sbrk 2703360, mmap 0, used 438304, free 2265056
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 97
  loaded plugins: charon aes rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink resolve socket-default connmark stroke updown
Listening IP addresses:
  192.168.1.20
  fd01::1aa6:f7ff:fe15:6a68
Connections:
  vpnki-l2tp:  %any...msk.vpnki.ru  IKEv1, dpddelay=30s
  vpnki-l2tp:   local:  [192.168.1.20] uses pre-shared key authentication
  vpnki-l2tp:   remote: uses pre-shared key authentication
  vpnki-l2tp:   child:  dynamic[udp] === dynamic[udp/l2f] TRANSPORT, dpdaction=clear
Security Associations (0 up, 1 connecting):
  vpnki-l2tp[25]: CONNECTING, 192.168.1.20[%any]...193.232.49.4[%any]
  vpnki-l2tp[25]: IKEv1 SPIs: ecff61520de56f1d_i* 0000000000000000_r
  vpnki-l2tp[25]: Tasks queued: QUICK_MODE
  vpnki-l2tp[25]: Tasks active: ISAKMP_VENDOR ISAKMP_CERT_PRE MAIN_MODE ISAKMP_CERT_POST ISAKMP_NATD

Было Security Associations (1 up, 0 connecting),
стало Security Associations (0 up, 1 connecting)

a-lexx
() автор топика
Ответ на: комментарий от a-lexx

Сообщение, что такая команда не найдена

/var/log/messages тогда, раз systemd не используешь. А если используешь, проверь, что journalctl написал правильно.

redgremlin ★★★★★
()
Ответ на: комментарий от redgremlin

cat /var/log/messages | grep strongswan ничего не выводит. Какой фильтр поставить?

cat /var/log/syslog | grep strongswan 

Jan  4 21:45:28 Unit2 charon: 00[CFG] expanding file expression '/var/lib/strongswan/ipsec.secrets.inc' failed
Jan  4 21:54:50 Unit2 charon: 00[CFG] expanding file expression '/var/lib/strongswan/ipsec.secrets.inc' failed
Jan  4 22:03:33 Unit2 charon: 00[CFG] expanding file expression '/var/lib/strongswan/ipsec.secrets.inc' failed
Jan  4 22:08:37 Unit2 charon: 00[CFG] expanding file expression '/var/lib/strongswan/ipsec.secrets.inc' failed
Jan  4 22:09:42 Unit2 charon: 00[CFG] expanding file expression '/var/lib/strongswan/ipsec.secrets.inc' failed

a-lexx
() автор топика
Ответ на: комментарий от redgremlin 
Jan  4 23:13:57 Unit2 charon: 10[IKE] deleting IKE_SA vpnki-l2tp[996] between 192.168.1.20[192.168.1.20]...193.232.49.4[10.20.118.71]
Jan  4 23:13:57 Unit2 charon: 10[IKE] initiating Main Mode IKE_SA vpnki-l2tp[997] to 193.232.49.4
Jan  4 23:13:57 Unit2 charon: 11[IKE] received DPD vendor ID
Jan  4 23:13:57 Unit2 charon: 11[IKE] received NAT-T (RFC 3947) vendor ID
Jan  4 23:13:57 Unit2 charon: 09[IKE] local host is behind NAT, sending keep alives
Jan  4 23:13:57 Unit2 charon: 09[IKE] remote host is behind NAT
Jan  4 23:13:57 Unit2 charon: 06[IKE] IKE_SA vpnki-l2tp[997] established between 192.168.1.20[192.168.1.20]...193.232.49.4[10.20.118.71]
Jan  4 23:13:57 Unit2 charon: 08[IKE] received DELETE for IKE_SA vpnki-l2tp[997]
Jan  4 23:13:57 Unit2 charon: 08[IKE] deleting IKE_SA vpnki-l2tp[997] between 192.168.1.20[192.168.1.20]...193.232.49.4[10.20.118.71]
Jan  4 23:13:58 Unit2 charon: 08[IKE] initiating Main Mode IKE_SA vpnki-l2tp[998] to 193.232.49.4
Jan  4 23:13:58 Unit2 charon: 15[IKE] received DPD vendor ID
Jan  4 23:13:58 Unit2 charon: 15[IKE] received NAT-T (RFC 3947) vendor ID
Jan  4 23:13:58 Unit2 charon: 10[IKE] local host is behind NAT, sending keep alives
Jan  4 23:13:58 Unit2 charon: 10[IKE] remote host is behind NAT
Jan  4 23:13:58 Unit2 charon: 12[IKE] IKE_SA vpnki-l2tp[998] established between 192.168.1.20[192.168.1.20]...193.232.49.4[10.20.118.71]
Jan  4 23:13:58 Unit2 charon: 09[IKE] received DELETE for IKE_SA vpnki-l2tp[998]
Jan  4 23:13:58 Unit2 charon: 09[IKE] deleting IKE_SA vpnki-l2tp[998] between 192.168.1.20[192.168.1.20]...193.232.49.4[10.20.118.71]
Jan  4 23:13:58 Unit2 charon: 09[IKE] initiating Main Mode IKE_SA vpnki-l2tp[999] to 193.232.49.4
Jan  4 23:13:58 Unit2 charon: 04[IKE] received DPD vendor ID
Jan  4 23:13:58 Unit2 charon: 04[IKE] received NAT-T (RFC 3947) vendor ID
Jan  4 23:13:58 Unit2 charon: 05[IKE] local host is behind NAT, sending keep alives
Jan  4 23:13:58 Unit2 charon: 05[IKE] remote host is behind NAT
Jan  4 23:13:58 Unit2 charon: 15[IKE] IKE_SA vpnki-l2tp[999] established between 192.168.1.20[192.168.1.20]...193.232.49.4[10.20.118.71]
Jan  4 23:13:58 Unit2 charon: 13[IKE] received DELETE for IKE_SA vpnki-l2tp[999]
Jan  4 23:13:58 Unit2 charon: 13[IKE] deleting IKE_SA vpnki-l2tp[999] between 192.168.1.20[192.168.1.20]...193.232.49.4[10.20.118.71]
Jan  4 23:13:58 Unit2 charon: 13[IKE] initiating Main Mode IKE_SA vpnki-l2tp[1000] to 193.232.49.4
Jan  4 23:13:58 Unit2 charon: 07[IKE] received DPD vendor ID
Jan  4 23:13:58 Unit2 charon: 07[IKE] received NAT-T (RFC 3947) vendor ID
Jan  4 23:13:59 Unit2 charon: 09[IKE] local host is behind NAT, sending keep alives
Jan  4 23:13:59 Unit2 charon: 09[IKE] remote host is behind NAT
Jan  4 23:14:03 Unit2 charon: 12[IKE] sending retransmit 1 of request message ID 0, seq 3
Jan  4 23:14:10 Unit2 charon: 07[IKE] sending retransmit 2 of request message ID 0, seq 3
Jan  4 23:14:23 Unit2 charon: 06[IKE] sending retransmit 3 of request message ID 0, seq 3
Jan  4 23:14:43 Unit2 charon: 05[IKE] sending keep alive to 193.232.49.4[4500]
Jan  4 23:14:46 Unit2 charon: 12[IKE] sending retransmit 4 of request message ID 0, seq 3
Jan  4 23:15:06 Unit2 charon: 06[IKE] sending keep alive to 193.232.49.4[4500]
Jan  4 23:15:26 Unit2 charon: 09[IKE] sending keep alive to 193.232.49.4[4500]
Jan  4 23:15:28 Unit2 charon: 04[IKE] sending retransmit 5 of request message ID 0, seq 3
Jan  4 23:15:48 Unit2 charon: 11[IKE] sending keep alive to 193.232.49.4[4500]
Jan  4 23:16:08 Unit2 charon: 12[IKE] sending keep alive to 193.232.49.4[4500]
Jan  4 23:16:28 Unit2 charon: 07[IKE] sending keep alive to 193.232.49.4[4500]
Jan  4 23:16:44 Unit2 charon: 08[IKE] giving up after 5 retransmits
Jan  4 23:16:44 Unit2 charon: 08[IKE] establishing IKE_SA failed, peer not responding
a-lexx
() автор топика
Ответ на: комментарий от a-lexx

received DELETE

Интересуют строчки перед первым этим сообщением. Желательно все между стартом демона и первым таким сообщением.

redgremlin ★★★★★
()
Последнее исправление: redgremlin (всего исправлений: 1)
Ответ на: комментарий от a-lexx

В винде какой-то другой интернет? Ну нет там консольного клиента, но веб-морду никто не отменял или я чего-то про винду не знаю?

redgremlin ★★★★★
()
Ответ на: комментарий от a-lexx

Как в том анекдоте «Блин, но хорошо же сидели». С точки зрения клиента всё было прекрасно, шаг за шагом успешно проходил этапы установки соединения, пока ВДРУГ не получил DELETE без объяснений. Попробуй уже с этой портянкой снова потеребить ТП, явно требуется посмотреть со стороны сервера, чего нам, очевидно, сделать не получится.

redgremlin ★★★★★
()
Ответ на: комментарий от redgremlin

Думаете, не свалит все на версию лебедя?) Ну ок, буду пробовать. Спасибо, что уделяете мне время!

a-lexx
() автор топика
Ответ на: комментарий от a-lexx

Думаете, не свалит все на версию лебедя?

Могут, конечно, но это будет именно «свалить». По логам же видно, что в последнем варианте сервер клиенту никаких предъяв уже не ставит (а в логах из общения с ТП такая предъява была — INVAL_KE).

redgremlin ★★★★★
()

ТП в чем-то правы. strongswan «отличается умом и сообразительностью» в смысле несовместимых изменений от версии к версии. Причем следующая версия может «опять» заработать.
Как уже советовали, соберите из исходников. Для начала я бы собрал с исходными ключами, т.е. возмите src пакет и соберите его.

anc ★★★★★
()
Ответ на: комментарий от redgremlin

ТП лог посмотрел, и говорит, что тоже ничего не понимает. Все ровно идет, но под конец сервер удаляет security accociation. Причина непонятна.

a-lexx
() автор топика
Ответ на: комментарий от a-lexx

Strongswan Cisco

Приветствую, у меня такая же фигна на версии Linux strongSwan U5.5.1/K2.6.32-696.10.2.el6.x86_64. Поднял тунель между двумя серверами на такой же версии все пашет а вот с двумя циска роутерамы такая же фигня. По твоим сообщениям не понял что стоит на втором конце.

kgulboev
()
Ответ на: Strongswan Cisco от kgulboev

Вот что они используют

в качестве сетевого оборудования: маршрутизация - Cisco, межсетевое экранирование Cisco ASA

a-lexx
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Чем склонировать хард?
Admin
cisco 2911