Доброго времени суток. Народ помогите пожалуста с IPSecoм.
Пытаюсь настроить ip sec между Debian 6.0 и циской 2801. Использую racoon. Racoon не желает запускаться, пишет couldn't parse configuration file. Клал файлик racoon.conf везде и в /etc/racoon и просто в /etc, все без толку.
racoon -F выдает это:
Foreground mode.
2012-10-03 16:53:19: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
2012-10-03 16:53:19: INFO: @(#)This product linked OpenSSL 0.9.8o 01 Jun 2010 (http://www.openssl.org/)
2012-10-03 16:53:19: INFO: Reading configuration from "/etc/racoon/racoon.conf"
2012-10-03 16:53:19: ERROR: /etc/racoon/racoon.conf:50: "exchange_mode" syntax error
2012-10-03 16:53:19: ERROR: fatal parse failure (1 errors)
racoon: failed to parse configuration file.
А попытка его запустить такая:
Starting IKE (ISAKMP/Oakley) server: racoonracoon: failed to parse configuration file
/etc/racoon/racoon.conf
log warning;
path include "/etc/racoon/racoon.conf";
path pre_shared_key "/etc/racoon/psk.txt";
log debug2;
padding
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
listen
{
isakmp 172.16.0.2 [500];
}
timer
{
counter 5;
interval 20 sec;
persend 1;
phase1 90 sec;
phase2 60 sec;
}
remote 172.16.0.1
{
my_identifier address 172.16.0.2
exchange_mode main, aggressive;
doi ipsec_doi;
proposal_check obey;
proposal
{
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group modp 1024;
lifetime time 3600 sec;
}
}
sainfo anonymous
{
pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
lifetime time 3600 sec;
}
Конфиги сети
Дебиан внутренний . 10.0.0.1 /24 Дебиан внешний к Циске : 172.16.0.2/24 Дебиан туннельный к Циске : 192.168.100.14/30 Циска внешний к дебиану : 172.16.0.1/24 Циска внутренний 192.168.1.1/24
Вопрос: Надо ли конфигурировать ядро или ещё чтото делать чтобы ракон нормально работал? Собираюсь использовать 3des, hmac, sha1. Дебиан 6.0 Squeeze, вот lsmod
Module Size Used by
cpufreq_stats 2740 0
cpufreq_powersave 902 0
cpufreq_conservative 5162 0
cpufreq_userspace 1992 0
ppdev 5030 0
lp 7462 0
sco 7225 2
bridge 39646 0
stp 1440 1 bridge
bnep 9427 2
rfcomm 29629 0
l2cap 24752 4 bnep,rfcomm
crc16 1319 1 l2cap
bluetooth 41827 6 sco,bnep,rfcomm,l2cap
rfkill 13044 3 bluetooth
nfsd 254782 11
lockd 57619 1 nfsd
nfs_acl 2031 1 nfsd
auth_rpcgss 33508 1 nfsd
sunrpc 161660 10 nfsd,lockd,nfs_acl,auth_rpcgss
exportfs 3170 1 nfsd
binfmt_misc 6431 1
uinput 6376 1
deflate 1767 0
zlib_deflate 17746 1 deflate
ctr 3363 0
twofish 6025 0
twofish_common 13472 1 twofish
camellia 17463 0
serpent 16791 0
blowfish 7944 0
cast5 16349 0
des_generic 15475 0
cbc 2539 0
aes_x86_64 7340 0
aes_generic 25714 1 aes_x86_64
xcbc 2325 0
rmd160 7104 0
sha256_generic 8692 0
sha1_generic 1759 0
hmac 2593 0
crypto_null 2492 0
af_key 25421 0
fuse 50924 1
ip_gre 12291 0
loop 11799 0
snd_hda_codec_realtek 235714 1
snd_hda_intel 20035 1
snd_hda_codec 54292 2 snd_hda_codec_realtek,snd_hda_intel
snd_hwdep 5380 1 snd_hda_codec
snd_pcm 60487 2 snd_hda_intel,snd_hda_codec
snd_seq 42881 0
snd_timer 15598 2 snd_pcm,snd_seq
snd_seq_device 4493 1 snd_seq
i915 256094 2
psmouse 49985 0
drm_kms_helper 20369 1 i915
drm 142352 3 i915,drm_kms_helper
i2c_i801 7830 0
i2c_algo_bit 4209 1 i915
serio_raw 3752 0
pcspkr 1699 0
snd 46526 10 snd_hda_codec_realtek,snd_hda_intel,snd_hda_codec,snd_hwdep,snd_pcm,snd_seq,snd_timer,snd_seq_device
parport_pc 18855 1
evdev 7352 10
parport 27954 3 ppdev,lp,parport_pc
rng_core 3006 0
i2c_core 15819 5 i915,drm_kms_helper,drm,i2c_i801,i2c_algo_bit
soundcore 4598 1 snd
video 17445 1 i915
snd_page_alloc 6249 2 snd_hda_intel,snd_pcm
output 1692 1 video
button 4650 1 i915
processor 29935 0
ext3 106710 2
jbd 37317 1 ext3
mbcache 5050 1 ext3
sd_mod 29937 4
crc_t10dif 1276 1 sd_mod
ata_generic 3239 0
uhci_hcd 18521 0
e100 25860 0
ehci_hcd 32097 0
ata_piix 21124 3
via_rhine 17371 0
mii 3210 2 e100,via_rhine
usbcore 123122 3 uhci_hcd,ehci_hcd
nls_base 6377 1 usbcore
libata 133776 2 ata_generic,ata_piix
scsi_mod 126725 2 sd_mod,libata
thermal 11674 0
thermal_sys 11942 3 video,processor,thermal
Есть подозрение что ракон нормально не установился, dpkg -l racoon:
iF racoon 1:0.7.3-12 IPsec IKE keying daemon
dpkg -l ipsec-tools:
ii ipsec-tools 1:0.7.3-12 IPsec tools for Linux
Конфиги:
/etc/ipsec-tools.conf:
#!/usr/sbin/setkey -f
#Flush the SAD and SPD
flush;
spdflush;
#Remote office Cisco (172.16.0.1/24) - Main Office Debian (172.16.0.2/24)
#Secure outgoing communications
spdadd 172.16.0.2 172.16.0.1 any -P out ipsec
esp/transport/172.16.0.2-172.16.0.1/require;
spdadd 172.16.0.1 172.16.0.2 any -P in ipsec
esp/transport/172.16.0.1-172.16.0.2/require;
/etc/racoon/setkey.conf #Flush the SAD and SPD flush; spdflush; #Secure outgoing communications spdadd 192.168.2.0/24 10.0.0.0/8 any -P out ipsec esp/tunnel/213.168.22.6 -194.168.23.12 /require; spdadd 192.168.2.0/24 10.0.0.0/8 any -P fwd ipsec esp/tunnel/213.168.22.6 -194.168.23.12 /require; #Secure ingoing communications spdadd 10.0.0.0/8 192.168.2.0/24 any -P in ipsec esp/tunnel/194.168.23.12 -213.168.22.6 /require; spdadd 10.0.0.0/8 192.168.2.0/24 any -P fwd ipsec esp/tunnel/194.168.23.12 -213.168.22.6 /require;
ifconfig на всякий случай:
eth0 Link encap:Ethernet HWaddr 00:16:76:1d:ab:4f
inet addr:172.16.0.2 Bcast:172.16.0.255 Mask:255.255.255.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
eth2 Link encap:Ethernet HWaddr 00:15:e9:42:0b:ca
inet addr:10.0.0.1 Bcast:10.0.0.255 Mask:255.255.255.0
UP BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
Interrupt:21 Base address:0xb800
gre0 Link encap:UNSPEC HWaddr 00-00-00-00-FF-00-00-00-00-00-00-00-00-00-00-00
NOARP MTU:1476 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:431 errors:0 dropped:0 overruns:0 frame:0
TX packets:431 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:63375 (61.8 KiB) TX bytes:63375 (61.8 KiB)
pan0 Link encap:Ethernet HWaddr 1a:a3:49:45:a5:a3
BROADCAST MULTICAST MTU:1500 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
tun0 Link encap:UNSPEC HWaddr AC-10-00-02-00-00-00-00-00-00-00-00-00-00-00-00
inet addr:192.168.100.14 P-t-P:192.168.100.14 Mask:255.255.255.252
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1400 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:0 (0.0 B) TX bytes:0 (0.0 B)
В чем может быть косяк? До циски пока дело не дошло, пока надо понять почему не работает енот. И ещё вопрос: может проще и легче сделать на Openswan? Только на openswan статей и мануалов ещё меньше чем на racoon Заранее спасибо
