LINUX.ORG.RU
ФорумAdmin

Как отладить IPSec


0

0

Привет всем!

Подскажите плиз, как можно отлаживать соединение IPSec? Есть задача настроить VPN-туннель между двумя Debian Lenny (сейчас экспериментирую в VMWare). Настраиваю на racoon. Все установил, настроил виртуальные соединения в /etc/network/interfaces, настроил фалики ipsec-tools.conf, racoon.conf (там же включил log debug2), psk.txt. Перезапустил сеть на обоих концах, пробую пинг ip-адреса виртуального интерфейса противоположной системы - проходит. tcpdump на виртуальном интерфейсе показывает пакеты пинга, на физ интерфейсе - esp. Вроде все красиво, туннель поднялся, но есть одно НО - намеренно меняю ключ в файле psk.txt на одной из систем (ставлю неверный) - все перезапускаю, а пинг все равно проходит :( Получается, что траффик не шифруется. В логах только такие сообщения «racoon: DEBUG: netlink signals update interface address list». Вот и не знаю, с какой стороны подойти, чтобы определить, что сейчас работает, а что нет. Может есть определенный порядок отладки (типа подними сначала то-то, проверь то-то и т.д.). Сильно не пинайте, т.к. линукс-системой начал пользоваться всего несколько недель назад. P.S. иксов не ставил, потому желательно рассказать, как это сделать через терминал.


Ну что, прям у всех все с первого раза работает и никогда проблем не возникает???

VladDV
() автор топика
Ответ на: комментарий от VladDV

Кое-что нарыл

На одной из систем набрал ps -A | grep racoon, пустота. Получается процесс не запущен. Попробовал запустить racoon -F, выдало:

ERROR: failed to bind to address xx.xx.xx.xx[4500] (Address already in use).

Что с этим делать?

VladDV
() автор топика
Ответ на: Кое-что нарыл от VladDV

Мда.. С кем я тут разговариваю??? Впрочем отсутствие ответов тоже ответ. Похоже в хваленом линуксе никаких принципов отладки нет, только в рулетку с параметрами играть :( Что ж, печально...

VladDV
() автор топика
Ответ на: комментарий от Slavaz

> С людьми. О, а я уж и не надеялся на ответ :) Из нескольких вопросов по линуксу на разных форумах только на один ответили, и то кратко и локанично «так сделать невозможно» :) Уже и здесь не надеялся, вот впоследний раз для интереса решил заглянуть в тему :)

Теперь по делу. Про баг слышал, потому первым делом подключил сервера к инету и обновился до последних версий.

На данный момент мне удалось запустить racoon. Однако туннель не поднимается. Выяснил, что пинг проходил не по туннелю, а напрямую, через дефолтный шлюз. Чтобы убедиться в этом, включил iptables и запретил все, кроме ipsec, пинг пропал. Однако удивило, что когда без файервола смотрел на траффик через tcpdump, на физ интерфейсе были пакеты gre, на виртуальном - пинг. Видимость правильной работы.

Ошибок в журналах нет. Собственно с чего начал, к тому и пришел..

Сейчас принял решение перейти на openvpn. Однако есть желание все таки разобраться с ipsec, потому оставил виртуальную сеть для экспериментов. Если нужна дополнительная инфа, могу выложить.

VladDV
() автор топика
Ответ на: комментарий от VladDV

> Сейчас принял решение перейти на openvpn. Однако есть желание все таки разобраться с ipsec, потому оставил виртуальную сеть для экспериментов. Если нужна дополнительная инфа, могу выложить.

К сожалению, опыта работы с IPSec у меня немного - только настраивал конечную точку (банк дал реквизиты). Всё настроилось без проблем. Поэтому много подсказать не смогу.

По поводу OpenVpn - тут подскажу, ибо использовал и использую довольно активно.

Slavaz ★★★★★
()
Ответ на: комментарий от Slavaz

>По поводу OpenVpn - тут подскажу, ибо использовал и использую >довольно активно.

И на этом спасибо. Тогда можно совет из опыта? Мне OpenVPN нужен исключительно для связи офисов в одну виртуальную сеть. Как лучше делать - на основе предопределенных ключей или на основе сертификатов? Сертификаты вроде как безопасней, но с другой стороны у них ограничен срок действия, можно и прозевать.

VladDV
() автор топика
Ответ на: комментарий от VladDV

Сертификаты лучше всего.

Сертификаты вроде как безопасней, но с другой стороны у них ограничен срок действия, можно и прозевать.


Сделайте их бессрочными для себя. На лет 20-30 :)
Если есть клиенты - сделайте до конца срока сопровождения.

Slavaz ★★★★★
()
Ответ на: комментарий от Slavaz

Спасибо! Отличная идея :)

Я постараюсь настроить OpenVPN сам, но если все же на чем-то застряну, можно в этой ветке спрашивать?

VladDV
() автор топика
Ответ на: комментарий от VladDV

Пожалуй, лучше новую тему создать. Чтобы по релевантности поиска совпадала тема и проблема :)

Slavaz ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.