Помогите срастить ipsec (ipsec-tools + racoon) <---> strongswan

anc

В целом криминала особого не вижу за исключением добавить -modp1024! и в esp. Во всяком случае у меня так робит.
Посмотрите ipsec listplugins возможно у вас того же 3des нэма, он отдельным плагином идет.

ipsec listplugins | grep -i 3des
        CRYPTER:3DES_CBC-24 (soft)
    CRYPTER:3DES_CBC-24

ммм, что-то как-то маловато? Или достаточно?

Тоже вроде без криминала.
Лучше так
ipsec listplugins | grep -i des
Это было с моей стороны пальцем в небо. Просто попадал на такое ранее. Когда тот или иной плагин не был закомпилин.

Изменения в esp не помогли?

ipsec listplugins | grep -i des
        CRYPTER:3DES_CBC-24 (soft)
    CRYPTER:3DES_CBC-24
    CRYPTER:DES_CBC-8
    CRYPTER:DES_ECB-8
    CRYPTER:3DES_CBC-24
    CRYPTER:DES_CBC-8
    CRYPTER:DES_ECB-8
    CRYPTER:DES_CBC-8
    CRYPTER:DES_ECB-8
    CRYPTER:3DES_CBC-24

Изменения в esp не помогли?

grep 1024 /etc/ipsec.conf 
	ike=3des-sha1-modp1024!
	esp=3des-sha1-modp1024!

это? Не, не помогло

Так, а если попробовать aes, что там в racoon пробить?

found 1 matching config, but none allows pre-shared key authentication using Main Mode

не смутило?

Ошибок вот вообще не вижу. Ну ладно, напомните позже вдруг забуду :) , протестирую и с sha1. Хотя ещё раз, не вижу ошибок, вроде все верно, даже придраться не к чему. :(

Мать-мать-мать от я лох... как же это пропустил. Вы правы.

хм, я что-то нажал и появились сообщения вида

notification NO-PROPOSAL-CHOSEN received in unencrypted informational exchange

found 1 matching config, but none allows pre-shared key authentication using Main Mode

не смущает, еще раз?

так я же в первом сообщении написал

Из поиска внятного ответа я не смог получить (((

Полные конфиги в студию Anoxemian явно прав

яннп. какой поисковик? у тебя сетап ждет авторизацию по ключу. клиент ломится без нее. о чем человеческим языком пишет: "не нашел, йоба, ни одного ключа, ответ получил такой: [ HASH N(AUTH_FAILED) ] (аутентификацию слил) "

о, а сетап тебе пишет: notification NO-PROPOSAL-CHOSEN received in unencrypted informational exchange. То бишь: «ломится кто-то, но сливает, т.к. ключа не предоставил, а другого предложения для коннекта у меня нет»

gate55

root@net-gate55:~# cat /etc/ipsec.conf 
# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
	# strictcrlpolicy=yes
	# uniqueids = no

# Add connections here.

# Sample VPN connections

# ---> gate33
conn gate55-to-gate33
#	authby=secret
	left=%defaultroute
	leftid=185.x.x.x
	leftsubnet=10.5.5.0/24
	right=136.x.x.x
	rightsubnet=10.3.3.0/24
	keyexchange = ikev2
	ike=3des-sha1-modp1024!
	esp=3des-sha1-modp1024!
#	keyingtries=0
	ikelifetime=1h
	lifetime=8h
#	dpddelay=30
#	dpdtimeout=120
#	dpdaction=restart
	auto=start
	aggressive = yes

include /var/lib/strongswan/ipsec.conf.inc
root@net-gate55:~# 

gate33

root@net-gate33:~# cat /etc/racoon/racoon.conf 
#
# NOTE: This file will not be used if you use racoon-tool(8) to manage your
# IPsec connections. racoon-tool will process racoon-tool.conf(5) and
# generate a configuration (/var/lib/racoon/racoon.conf) and use it, instead
# of this file.
#
# Simple racoon.conf
# 
#
# Please look in /usr/share/doc/racoon/examples for
# examples that come with the source.
#
# Please read racoon.conf(5) for details, and alsoread setkey(8).
#
#
# Also read the Linux IPSEC Howto up at 
# http://www.ipsec-howto.org/t1.html 
#
log notify;
#log debug2;
path pre_shared_key «/etc/racoon/psk.txt»;
path certificate «/etc/racoon/certs»;

sainfo anonymous {
	pfs_group 2;
	lifetime time 1 hour;
	encryption_algorithm 3des, blowfish 448, rijndael;
	authentication_algorithm hmac_sha1, hmac_md5;
	compression_algorithm deflate;
	}
# ---> net-gate55
remote 185.x.x.x {
	exchange_mode main;
	proposal {
		encryption_algorithm 3des;
		hash_algorithm sha1;
		authentication_method pre_shared_key;
		dh_group 2;
		}
	}

root@net-gate33:~# cat /etc/ipsec-tools.conf 
#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
# 

## Flush the SAD and SPD
#
flush;
spdflush;

## Some sample SPDs for use racoon
#

#---33-55---

spdadd		10.3.3.0/24 10.5.5.0/24		any -P out	ipsec esp/tunnel/136.x.x.x-185.x.x.x/require;

spdadd		10.5.5.0/24 10.3.3.0/24		any -P in	ipsec esp/tunnel/185.x.x.x-136.x.x.x/require;
root@net-gate33:~# 

Ты ходил со строкой в поиск? Я ходил.

на стороне gate33

ERROR: invalid flag 0x08

постоянно лезет

# authby=secret
Это что?

Пробовал и psk и xauthpsk. Один ответ всегда. Где-то что-то не так глобально.

ЗЫ Ну и что бы два раза не вставать. В логах stronswan вы должны видеть что выбран gate55-to-gate33.

Почему комментарий? У вас этот параметр закоментирован
# authby=secret

В логах stronswan вы должны видеть что выбран gate55-to-gate33.

угу

received stroke: initiate 'gate55-to-gate33'

Да я уже гаданием занимаюсь. На знаках комментария.

Может ключи попробовать?

Не так в логе пишется. Должно быть что-то типа
charon: ... selected peer config «gate55-to-gate33»
То есть мы выбрали этот конфиг.

Из рабочего, но чуть поправленного с удалением не нужно

conn MYCONN-NAME
       keyexchange=ikev1
       leftauth=psk
       rightauth=psk
       left=x.x.x.58
       leftid="x.x.x.58"
       right=x.x.x.14
       rightid="x.x.x.14"
       ike=3des-md5-modp768!
       esp=3des-md5-modp768!
       leftsubnet=192.168.1.0/24
       rightsubnet=192.168.2.0/24
       auto=start

Взял пару строк из твоего конфига и заработало.

# ---> gate33
conn gate55-to-gate33
	keyexchange = ikev1
	leftauth=psk
	rightauth=psk
#	authby=psk
#	authby=secret
#	authby=xauthpsk
#	left=%defaultroute
	left=185.x.x.x
	leftid=«185.x.x.x»
	leftsubnet=10.5.5.0/24
	right=136.x.x.x
	rightid=«136.x.x.x»
	rightsubnet=10.3.3.0/24
	ike=3des-sha1-modp1024!
	esp=3des-sha1-modp1024!
	auto=start
#	keyingtries=0
#	ikelifetime=1h
#	lifetime=8h
#	dpddelay=30
#	dpdtimeout=120
#	dpdaction=restart
#	aggressive = yes

Спасибо.

Вангую за
keyexchange
и
left/rightid.
:)
А в целом зашибись что заработало. Я реально очень рад, что помог.
И простите что не быстро и возможно сумбурно, я только с «40-а дней» родного человека приехал.

гугл твой дом труба шатал:

1. authby/rightauth=secret

2. /etc/ipsec.secrets:

": PSK <your_password>"

Я не знаю, что именно сработало. Я сразу несколько строк поправил и заработало.

: PSK <your_password>"

«Не самое лучшее решение» Это мягко говоря. Тут надо прописывать кто и от кого.

Так-то вообще надо ключи, но на ключи я перееду после обновления всех машин-шлюзов. У меня там debian 7 сейчас на части машин.

Да, я видел, что отвечал не мне.

Та не, я про то что надо писать перед :(двоеточием) кто и откуда. секьюрности добавит.
Что-то типа
1.1.1.1 2.2.2.2 : PSK <your_password>"
А насчет сертов тут конечно правильнее. Но вы можете постепенно переводить, создавая отдельные секции параметров. Не обязательно ждать «когда все обновиться». Имхо для вас наооборот будет удобнее, обкатал на одном и дальше транслируй.