LINUX.ORG.RU
ФорумAdmin

IPSec (Racoon): ERROR: failed to get sainfo.


0

0

не пойму в чем причина, делаю второй VPN в своей жизни на IPSec. Между PIX'ом и моей Linux-машиной.

[root@idev racoon]# cat racoon.conf
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
path script "/etc/racoon/scripts";

sainfo address 192.168.2.1/32 any address 172.31.1.1/32 any
{
        pfs_group 2;
        lifetime time 3600 sec;
        encryption_algorithm 3des ;
        authentication_algorithm hmac_sha1 ;
        compression_algorithm deflate ;
}

include "/etc/racoon/80.80.222.18.conf";

-----------------------------------------

[root@idev racoon]# cat 80.80.222.18.conf
remote 80.80.222.18
{
        exchange_mode main;
        doi ipsec_doi;
        situation identity_only;
        my_identifier address 195.158.3.188;
        nonce_size 16;
        lifetime time 86400 sec;
        initial_contact on;
        #proposal_check obey;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2;
        }
}

---------------------------------------

[root@idev racoon]# setkey -DP
171.31.1.1[any] 192.168.2.1[any] any
        in prio def ipsec
        esp/tunnel/80.80.222.18-195.158.3.188/require
        created: May 30 16:53:15 2008  lastused:
        lifetime: 0(s) validtime: 0(s)
        spid=13304 seq=1 pid=6224
        refcnt=1
192.168.2.1[any] 171.31.1.1[any] any
        out prio def ipsec
        esp/tunnel/195.158.3.188-80.80.222.18/require
        created: May 30 16:53:15 2008  lastused:
        lifetime: 0(s) validtime: 0(s)
        spid=13297 seq=2 pid=6224
        refcnt=1
171.31.1.1[any] 192.168.2.1[any] any
        fwd prio def ipsec
        esp/tunnel/80.80.222.18-195.158.3.188/require
        created: May 30 16:53:15 2008  lastused:
        lifetime: 0(s) validtime: 0(s)
        spid=13314 seq=0 pid=6224
        refcnt=1

--------------------------------------------

[root@idev racoon]# racoon -f /etc/racoon/racoon.conf

В логах вижу:

May 30 16:47:39 idev racoon: ERROR: failed to get sainfo.

В чем причина? Ведь есть sainfo?
★★★

Самое странное, что когда я ставлю вместо этого:

sainfo address 192.168.2.1/32 any address 172.31.1.1/32 any

это:

sainfo anonymous

первая фаза проходят, а там уже дальше другие ошибки сыпяться, но это не важно... важно то, что он не видит sainfo по каким-то причинам.

VirRaa ★★★
() автор топика
Ответ на: комментарий от VirRaa

Повесил второй IPSec VPN на другой внешний IP. Теперь такой проблемы не наблюдается (Не уж-то на один и тот же внешний IP адрес нельзя повесить два IPSec VPN'a?)

НО, теперь следующая ошибка:

May 30 18:10:36 idev racoon: ERROR: fatal NO-PROPOSAL-CHOSEN notify messsage, phase1 should be deleted.
May 30 18:10:36 idev racoon: ERROR: Message: '{'.

Что здесь стоит копать? Это явно со стороны PIX'a помоему.

VirRaa ★★★
() автор топика
Ответ на: комментарий от chocholl

Перепроверял несколько раз.

Методы криптования идентичные на обоих соторнах, dh группы тоже. А вот что вы имеете ввиду под аутентификацией...

VirRaa ★★★
() автор топика
Ответ на: комментарий от chocholl

Это оператор сотовой связи, я делаю к ним привязку по VPN для организации online-оплаты.

Они не дают свой конфиг.

VirRaa ★★★
() автор топика
Ответ на: комментарий от chocholl

Дали =)

crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set nokia_set esp-3des esp-sha-hmac
crypto ipsec security-association lifetime seconds 3600
crypto ipsec df-bit clear-df outside
crypto map comverse 40 match address fastpay_ipsec
crypto map comverse 40 set pfs
crypto map comverse 40 set peer 195.158.1.30
crypto map comverse 40 set transform-set ESP-3DES-SHA
crypto map comverse interface outside
isakmp identity address
isakmp enable outside
isakmp policy 5 authentication pre-share
isakmp policy 5 encryption 3des
isakmp policy 5 hash sha
isakmp policy 5 group 2
isakmp policy 5 lifetime 86400
isakmp ipsec-over-tcp port 10000
tunnel-group 195.158.3.188 type ipsec-l2l
tunnel-group 195.158.3.188 ipsec-attributes
pre-shared-key *
tunnel-group 195.158.1.30 type ipsec-l2l
tunnel-group 195.158.1.30 ipsec-attributes
pre-shared-key *

VirRaa ★★★
() автор топика
Ответ на: комментарий от VirRaa

пускай сделают
crypto map comverse 40 set pfs group2
точно из-за это не срастается.

и еще я не уверен вот в этом (на твоей стороне)
compression_algorithm deflate ;
но это скорее второстепенно, первое точно мешает пирам договорится.

chocholl ★★
()
Ответ на: комментарий от VirRaa

попробуй вот это убрать.

doi ipsec_doi;
situation identity_only;
lifetime time 86400 sec;
initial_contact on;

а с той стороны, если не использкется ipsev over tcp пускай скажут
no isakmp ipsec-over-tcp port 10000

а еще пускай попробуют сделать
debug crypto isakmp
а потом
debug crypto ipsec

chocholl ★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.