LINUX.ORG.RU
ФорумAdmin

помогите сконфигурировать racoon, xl2tpd.

 , , , ,


0

1

i need help. потому что сил моих больше нету... третью неделю бьюсь над проклятущим L2TP/IPsec. по предварительной консультации выбрал racoon и xl2tpd.

Что имею: роутер настроеный по шаблону http://zyxel.ru/kb/2270 при этом настраиваю на мастдае L2tp/ipsec и все нормально работает. т.е. в настройках роутера сомневаться не приходится. Помогите, пожалуйста, сконфигурировать на Linux.

сеть настроена, а пингов нет
несколько сетевых карт у виртуальной машины

Народ, неужто знатоки все вымерли? )

Acceptor ★★
() автор топика

Уже звезду заработал, а всё как маленький. Где логи? Где версии? Где конфиги? И почему енот? Strongswan проще.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

И почему енот? Strongswan проще.

L2TP/IPSec какие программы использовать?

Strongswan - не пробовал.

Где логи? Где версии? Где конфиги?

Честно говоря была надежда на то что предложат варианты конфигов и мы тут их обсудим :))) Но видать идея не прокатила )

выкладываю то что у меня вышло. ip сервера заменяю на везде заменяю на xxx.xxx.xxx.xxx.

racoon.conf: 

log debug;
path pre_shared_key "/etc/racoon/psk.txt";

remote xxx.xxx.xxx.xxx {
        exchange_mode main;
        proposal {
                encryption_algorithm des;
                hash_algorithm md5;
                authentication_method pre_shared_key;
                dh_group 1;
        }
#        generate_policy off;
}
 
# sainfo address xxx.xxx.xxx.xxx[any] any address 192.168.1.0/24[any] any {
sainfo anonymous {
        pfs_group modp768;
        encryption_algorithm des;
        authentication_algorithm hmac_md5;
        compression_algorithm deflate;
}

Дальше делаю 

racoonctl vc xxx.xxx.xxx.xxx

Acceptor ★★
() автор топика
Ответ на: комментарий от Acceptor

теперь, что касаемо xl2tpd настройка xl2tpd.conf: 

[global]								; Global parameters:
access control = yes					; * Refuse connections without IP match

[lac test]							; Example VPN LAC definition
lns = xxx.xxx.xxx.xxx					; * Who is our LNS?
redial = yes							; * Redial if disconnected?
redial timeout = 1					; * Wait n seconds between redials
max redials = 5						; * Give up after n consecutive failures
; hidden bit = yes						; * User hidden AVP's?
length bit = yes						; * Use length bit in payload?
require pap = yes						; * Require PAP auth. by peer
require chap = no					; * Require CHAP auth. by peer
; refuse pap = yes						; * Refuse PAP authentication
; refuse chap = no						; * Refuse CHAP authentication
; refuse authentication = no			; * Refuse authentication altogether
require authentication = yes			; * Require peer to authenticate
name = l2tp							; * Report this as our hostname
ppp debug = yes						; * Turn on PPP debugging
pppoptfile = /etc/ppp/options.xl2tpd	; * ppp options file for this lac
autodial = yes

/etc/ppp/options.xl2tpd: 

require-pap
ms-dns 8.8.8.8
asyncmap 0
auth
crtscts
lock
hide-password
modem
debug
proxyarp

lcp-echo-interval 30
lcp-echo-failure 4

name NAME
user USER
password PASSWORD

лог /etc/init.d/xl2tpd start - http://freetexthost.com/b606zeswl6

Acceptor ★★
() автор топика
Ответ на: комментарий от Acceptor

Ну собсно 

Sep 26 19:22:54 test racoon: [xxx.xxx.xxx.xxx] ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
означает что хосты не могут договориться об алгоритмах хеширования/шифрования/pfs/dh. Судя по всему на стадии фазы2, когда выбираются собсно алгоритмы шифрования канала.

У тебя в еноте - des/md5 и в 1 и во 2 фазе. У зухеля там 3des/(sha1/md5) и des/sha1 в обоих фазах. Не состыковывается :)

blind_oracle ★★★★★
()
Последнее исправление: blind_oracle (всего исправлений: 1)
Ответ на: комментарий от blind_oracle

Так... изменил параметры роутера: в обеих фазах выставил алгоритм шифрования DES/MD5. В первой фазе Key Group поставил DH1, во второй фазе PFS=none. пробую подключиться... и опять имеется эта самая ошибка: 

test racoon: [xxx.xxx.xxx.xxx] ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.

теперь мне непонятно что такое Key Group (точнее нафига оно надо), могут ли в обеих фазах совпадать алгоритмы, и где в racoon устанавливаеть PFS и key group.

Acceptor ★★
() автор топика
Ответ на: комментарий от blind_oracle

да, вот что еще не понятно... как racoon и xl2tpd договариваются о том что им надо джействовать сообща? ))) т.е. ни в конфигах racoon ни в конфигах xl2tpd нет никакого намёка, например, на местоположение сокета. Как xl2tpd понимает что он предварительно туннелируется через racoon?

Acceptor ★★
() автор топика
Ответ на: комментарий от Acceptor

Никак не договариваются.

У тебя в еноте указан remote x.x.x.x, как только к нему начинает идтить траффик (xl2tpd инициирует коннект) - ядро начинает организовывать IPSEC шифрование. И ядру абсолютно пофиг что по этому айписеку будет ходить - xl2tpd или пинги. Ну и самому xl2tpd тоже до барабана через IPSEC он идёт или нет.

blind_oracle ★★★★★
()
Ответ на: комментарий от Acceptor

Ну хз, у енота такие странные неинформативные дебаг логи с кучей хрени и ни одного толкового объяснения :)

Key Group это то же самое что и dh_group в еноте. PFS это pfs_group в еноте. pfs_group у тебя в конфиге уже выставлен (pfs_group modp768). Эти группы обозначаются либо битностью (modp768,modp1024,modp1536,...) либо просто номером (1,2,5,..)

В общем сделай чтобы эти параметры совпадали и должно заработать.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

racoon вроде настроил ))) при запуске сервер в разделе IPsev пишет connection successfully established. )))

а вот xl2tpd в лог вываливает следующее: 

Sep 27 10:58:29 test xl2tpd[2345]: Maximum retries exceeded for tunnel 9141.  Closing.
Sep 27 10:58:29 test xl2tpd[2345]: Connection 0 closed to xxx.xxx.xxx.xxx, port 1701 (Timeout)
Sep 27 10:58:34 test xl2tpd[2345]: Unable to deliver closing message for tunnel 9141. Destroying anyway.
Sep 27 10:58:34 test xl2tpd[2345]: Will redial in 1 seconds

соответственно нового ppp0 интерфейса не появляется.

Acceptor ★★
() автор топика
Ответ на: комментарий от Acceptor

Айписек то работает в итоге? Поставь пингать и слушай tcpdump-ом интерфейс внешний на предмет траффика до х.х.х.х, должны быть AH/ESP пакеты.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

Вот что выдаёт tcpdump при пинге хоста xxx.xxx.xxx.xxx: 

root@test:~# tcpdump -i eth0 host xxx.xxx.xxx.xxx #192.168.115.125
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
10:50:29.835620 IP test.local > xxx.xxx.xxx.xxx: ESP(spi=0xaa2037c5,seq=0x2e), length 100
10:50:30.835647 IP test.local > xxx.xxx.xxx.xxx: ESP(spi=0xaa2037c5,seq=0x2f), length 100
10:50:31.835653 IP test.local > xxx.xxx.xxx.xxx: ESP(spi=0xaa2037c5,seq=0x30), length 100
10:50:32.835704 IP test.local > xxx.xxx.xxx.xxx: ESP(spi=0xaa2037c5,seq=0x31), length 100
10:50:33.835700 IP test.local > xxx.xxx.xxx.xxx: ESP(spi=0xaa2037c5,seq=0x32), length 100
10:50:34.835701 IP test.local > xxx.xxx.xxx.xxx: ESP(spi=0xaa2037c5,seq=0x33), length 100
10:50:35.835655 IP test.local > xxx.xxx.xxx.xxx: ESP(spi=0xaa2037c5,seq=0x34), length 100

т.е. ответов от роутера нету, и как я понимаю это не правильно. А не может ли это быть например из-за того что отключен wanping response на интерфейсе xxx.xxx.xxx.xxx у маршрутизатора? хотя у меня при telnet xxx.xxx.xxx.xxx, tcpdump выдаёт тоже самое... Куда смотреть дальше?

Acceptor ★★
() автор топика
Ответ на: комментарий от Acceptor

Тут на самом деле уже сложно что-то советовать, зухель это чёрный ящик. На его стороне разбирайся сам, может и WAN Ping может еще тонна разных вещей. Режим установки тоннеля, кстати, туннель или транспорт?

blind_oracle ★★★★★
()
Ответ на: комментарий от Acceptor

Ну в данном случае я думаю ни на что, главное чтобы с двух сторон одинаковый был :) Я думаю надо с файрволлом на зухеле поиграть, может там что порезано.

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

блин, но винда то коннектиться ))) Обидно, однако )

в понедельник попробую еще поиграться с настройками.......

Acceptor ★★
() автор топика
Ответ на: комментарий от Acceptor

1. Покажи логи енота когда соединение успешно устанавливается 2. Попробуй всё-таки strongswan заюзать. Вот, например, рабочий конфиг: 

config setup
    plutostart=no

conn %default
    ikelifetime=60m
    keylife=20m
    rekeymargin=3m
    keyingtries=3
    authby=secret
    mobike=no
    keyexchange=ikev2
    auth=esp
    compress=yes
    esp=aes256-sha1
    ike=aes256-sha1-modp4096
    type=transport
    auto=start

conn a
    left=1.1.1.1
    right=2.2.2.2
Тут, правда, ikev2, но там всё идентично почти. Читай примеры: http://wiki.strongswan.org/projects/strongswan/wiki/IKEv1Examples

blind_oracle ★★★★★
()
Ответ на: комментарий от blind_oracle

Пробую сейчас strongswan настроить. Ссылка на wiki не открывается, сайт strongswan вообще что-то не доступен.

попробовал твой конфиг впихнуть напрямую в /etc/ipsec.conf, перезапустил службу ipsec, и запускаю соединение: 

ipsec up a

tcpdump показывает: 

16:59:04.495382 IP deb-f423.local.isakmp > xxx.xxx.xxx.xxx.isakmp: isakmp: parent_sa ikev2_init[I]
16:59:04.509039 IP xxx.xxx.xxx.xxx.isakmp > deb-f423.local.isakmp: isakmp: phase 2/others ? inf
16:59:08.495541 IP deb-f423.local.isakmp > xxx.xxx.xxx.xxx.isakmp: isakmp: parent_sa ikev2_init[I]
16:59:15.695649 IP deb-f423.local.isakmp > xxx.xxx.xxx.xxx.isakmp: isakmp: parent_sa ikev2_init[I]
16:59:15.709691 IP xxx.xxx.xxx.xxx.isakmp > deb-f423.local.isakmp: isakmp: phase 2/others ? inf
16:59:28.655907 IP deb-f423.local.isakmp > xxx.xxx.xxx.xxx.isakmp: isakmp: parent_sa ikev2_init[I]
16:59:51.984157 IP deb-f423.local.isakmp > xxx.xxx.xxx.xxx.isakmp: isakmp: parent_sa ikev2_init[I]
16:59:51.999744 IP xxx.xxx.xxx.xxx.isakmp > deb-f423.local.isakmp: isakmp: phase 2/others ? inf
17:00:33.974392 IP deb-f423.local.isakmp > xxx.xxx.xxx.xxx.isakmp: isakmp: parent_sa ikev2_init[I]

syslog: 

Oct  2 16:53:34 deb-f423 charon: 10[IKE] initiating IKE_SA a[1] to xxx.xxx.xxx.xxx
Oct  2 16:53:34 deb-f423 charon: 10[ENC] generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
Oct  2 16:53:34 deb-f423 charon: 10[NET] sending packet: from 192.168.115.160[500] to xxx.xxx.xxx.xxx[500]
Oct  2 16:53:36 deb-f423 charon: 11[CFG] received stroke: initiate 'a'
Oct  2 16:53:38 deb-f423 charon: 09[IKE] retransmit 1 of request with message ID 0
Oct  2 16:53:38 deb-f423 charon: 09[NET] sending packet: from 192.168.115.160[500] to xxx.xxx.xxx.xxx[500]
Oct  2 16:53:43 deb-f423 kernel: [23635.106268] device eth4 left promiscuous mode
Oct  2 16:53:44 deb-f423 kernel: [23635.908860] device eth4 entered promiscuous mode
Oct  2 16:53:45 deb-f423 charon: 04[IKE] retransmit 2 of request with message ID 0
Oct  2 16:53:45 deb-f423 charon: 04[NET] sending packet: from 192.168.115.160[500] to xxx.xxx.xxx.xxx[500]
Oct  2 16:53:58 deb-f423 charon: 12[IKE] retransmit 3 of request with message ID 0

на что на серваке вываливается следующее:

Major version numbers are different

я так понимаю что надо пробовать IKEv1... заюзать. пробовал просто изменить параметр keyexchange на ikev1, но на это ругается syslog: 

Oct  2 17:10:26 deb-f423 charon: 10[CFG] ignoring initiation request for IKEv1 config

Acceptor ★★
() автор топика
Ответ на: комментарий от blind_oracle

мда, точно: 

keyexchange = ike | ikev1 | ikev2
              method of key exchange; which protocol should be used to initialize the connection. Connections marked with ikev1 are initiated with pluto, those marked with ikev2 with charon. An incoming request from the remote  peer
              is handled by the correct daemon, unaffected from the keyexchange setting. Starting with strongSwan 4.5 the default value ike is a synonym for ikev2, whereas in older strongSwan releases ikev1 was assumed.

Acceptor ★★
() автор топика
Ответ на: комментарий от blind_oracle

На сервере в phase1 поставил Proposal: 2DES-MD5, Key Group: DH2; Phase2 выставил Proposal: 2DES-MD5, PFS: none.

В результате у меня такой конфиг ipsec.conf получился: 

config setup
    plutostderrlog=/var/log/pluto.log
    plutodebug=all
    plutostart=yes
    charonstart=no

conn %default
    ikelifetime=60m
    keylife=20m
    rekeymargin=3m
    keyingtries=3
    authby=secret
    mobike=no
    keyexchange=ikev1
    auth=esp
    compress=no
    esp=3des-md5
    ike=3des-md5-modp1024
    type=transport
    auto=start

conn a
    right=xxx.xxx.xxx.xxx
    left=192.168.115.160

ipsec.secret: 

xxx.xxx.xxx.xxx %any: PSK 123456789

запускаю: 

ipsec up a

в лог валится: http://freetexthost.com/ckjshrb6qg

Acceptor ★★
() автор топика

Проблема до сих пор не решена!!! Замкнутый круг какой-то. Может хоть у кого-то есть идеи еще???

Acceptor ★★
() автор топика
Ответ на: комментарий от Acceptor

решилась часть проблемы: racoon охотно держит туннель с сервером..

суть решения в том что я пытался поднять соединение на debean wheezy(testing) и на Ubuntu 12, а надо было взять дистрибутив stable, например squeezy и тогда бы сразу всё заработало.

пока не получается настроить L2TP...

Acceptor ★★
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
сеть настроена, а пингов нет
Admin
несколько сетевых карт у виртуальной машины