LINUX.ORG.RU

IPSec + racoon


0

0

Связую CISCO PIX 515e и Linux ядро 2.6 Использую версию ipsec-tools 0.6.2b3. Все вроде устанавливается, но при поднятии Phase 2 пишет в логах что racoon WARNING: ignore RESPONDER-LIFETIME notification. И данные по каналу не ходят! Не подскажите в чем проблема?

anonymous

Конфиги следующие: CISCO PIX - внешний ip A.A.A.A, внутренний X.X.X.X

Linux 2.6 - внешний B.B.B.B внутрениий - Y.Y.Y.Y

Файл psk.txt A.A.A.A пароль

Файл Ipsec.conf #!/usr/sbin/setkey -f # # File /etc/ipsec.conf # delete the SAD and SPD flush; spdflush;

# Define here your security policies

# Example # ipsec between two machines: 192.168.1.10 and 192.168.1.20 # # add 193.110.89.194 193.17.217.245 tunnel

spdadd Y.Y.Y.Y/24 X.X.X.X/24 any -P out ipsec esp/tunnel/B.B.B.B-A.A.A.A/require;

spdadd X.X.X.X/24 Y.Y.Y.Y/24 any -P in ipsec esp/tunnel/A.A.A.A-B.B.B.B/require; Файл racoon.conf path include "/etc/racoon" ; path pre_shared_key "/etc/racoon/psk.txt" ; padding { maximum_length 20; # maximum padding length. randomize off; # enable randomize length. strict_check off; # enable strict check. exclusive_tail off; # extract last one octet. } timer { counter 5; # maximum trying count to send. interval 20 sec; # maximum interval to resend. persend 1; phase1 10 sec; phase2 10 sec; }

remote A.A.A.A { exchange_mode main; doi ipsec_doi; situation identity_only;

my_identifier address;

nonce_size 16; lifetime time 23 hour; initial_contact on; support_proxy on; proposal_check obey; # obey, strict or claim

proposal { encryption_algorithm 3des; hash_algorithm sha1; authentication_method pre_shared_key ; dh_group 1 ; } } sainfo anonymous { pfs_group 2; lifetime time 3600 sec; encryption_algorithm 3des,des; authentication_algorithm hmac_sha1; compression_algorithm deflate ; } ЛОГИ:

Jan 27 16:19:56 ns racoon: INFO: IPsec-SA request for 193.17.217.245 queued due to no phase1 found. Jan 27 16:19:56 ns racoon: INFO: initiate new phase 1 negotiation: B.B.B.B[500]<=>A.A.A.A[500] Jan 27 16:19:56 ns racoon: INFO: begin Identity Protection mode. Jan 27 16:19:57 ns racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt Jan 27 16:19:57 ns racoon: INFO: received Vendor ID: DPD Jan 27 16:19:57 ns racoon: INFO: received Vendor ID: CISCO-UNITY Jan 27 16:19:57 ns racoon: INFO: ISAKMP-SA established B.B.B.B[500]-A.A.A.A[500] spi:1c110440feb3b84d:6bbb3b6f25f67e16 Jan 27 16:19:58 ns racoon: INFO: initiate new phase 2 negotiation: B.B.B.B[500]<=>A.A.A.A[500] Jan 27 16:19:58 ns racoon: WARNING: ignore RESPONDER-LIFETIME notification. Jan 27 16:19:58 ns racoon: WARNING: attribute has been modified. Jan 27 16:19:58 ns racoon: INFO: IPsec-SA established: ESP/Tunnel A.A.A.A[0]->B.B.B.B[0] spi=257640259(0xf5b4743) Jan 27 16:19:58 ns racoon: INFO: IPsec-SA established: ESP/Tunnel B.B.B.B[0]->A.A.A.A[0] spi=222614337(0xd44d341)

Но данные по канаду не ходят. В чем причина?

anonymous
()
Ответ на: комментарий от anonymous

Ну ты замутил все в одну строку !

Попробуй с дефолтовыми конфигами:

listen
{
isakmp <ip> [500];
}

remote anonymous ...
sainfo anonymous ...


Туннель у тебя, похоже, устанавливается.
Почему данные не ходят? Может туннель не туда смотрит?
Маршрутизация есть? ping ?

То , что
ignore RESPONDER-LIFETIME notification.
так ведь далее идет:
attribute has been modified

т.е. они договорились о lifetime, все нормально.
Чтобы не беспокоило установи его как и на другой стороне.

Santa_Claus
()

Пробовал по умолчанию, всеравно пишет: ns racoon: INFO: initiate new phase 2 negotiation: B.B.B.B[500]<=>A.A.A.A[500] ns racoon: WARNING: ignore RESPONDER-LIFETIME notification. ns racoon: WARNING: attribute has been modified. ns racoon: INFO: IPsec-SA established: ESP/Tunnel A.A.A.A[0]->B.B.B.B[0] spi=257640259(0xf5b4743) ns racoon: INFO: IPsec-SA established: ESP/Tunnel B.B.B.B[0]->A.A.A.A[0] spi=222614337(0xd44d341) Пытаюсь телнет на внутренний адрес, в логах снова каждый раз появляются эти строки, но данные по каналу не ходят! Что делать?

anonymous
()
Ответ на: комментарий от anonymous

если established, то туннель у тебя поднялся. посмотри через tcpdump как с той стороны допустим icmp запросы приходят или нет? у меня например была проблема такая, что с одной стороны запросы приходили, а ответы нет.

mator ★★★★★
()
Ответ на: комментарий от mator

Статья классная. Спасибо. Я по ней и делал ранее. Дело в том что к этой Циске под FreeBSD все нормально коннектится. А вот с такими же почти настройками из под Linux 2.6 не работает. И еще пинг на CISCO закрыт, только телнет!

anonymous
()
Ответ на: комментарий от anonymous

Что самое интересное то что на CISCO стоит lifetime 28800 и я ставил в racoon.conf тоже 28800. Но лог всеравно пишет предупреждение!

anonymous
()
Ответ на: комментарий от anonymous

> к этой Циске под FreeBSD все нормально коннектится

Посмотри еще нстройки iptables.
Маршрутизация настроена?
Туннелированием занимается ядро, может имеет смысл его обновить.

Santa_Claus
()
Ответ на: комментарий от Santa_Claus

Мне открыли ping! я делаю ping -I внутреннний_адрес внутренний_адрес_удаленной сети. И в логах пишшет снова те последние 5 строчек и обмена на канале нет. А какая маршрутизация здесь подразумевается, я пробуя прямо со шлюза по его внутреннему адресу. Другой маршрутизации на шлюзе то что касается канала нет! Iptables на время тестирования отключаю!

anonymous
()
Ответ на: комментарий от anonymous

Искал по поиску, на англоязычных сайтах, вроде у кого-то еще такая же проблема возникала, но толкового ответа там тоже нет! :(

anonymous
()
Ответ на: комментарий от anonymous

Проверь дамп текущих политик:
setkey -D -P
ассоциаций:
setkey -D

Попробуй другую версию ракуна. У меня 0.5 нормально работает.

Santa_Claus
()
Ответ на: комментарий от Santa_Claus

дело в том что пакеты по TCPDUMP я вижу что уходят от меня но назад ко мне они не приходят, только в одну сторону!

anonymous
()
Ответ на: комментарий от anonymous

Все разобрались! Просто неа CISCO блокировались пакеты! Поэтому я не получал ни единого сообщения от нее. А так по логам пакет у меня уходит и теперь и приходит!

Огромное спасибо всем за помощь!!!

anonymous
()
Ответ на: комментарий от anonymous

в общем я сегодня тоже поднял один туннель используя openvpn отказавшись от racoon, потому что провайдер неправильно настроил свой pix стоящий перед сервером, а поменять ему (pix'y) настройку не получается, потому что у них специалист новый и он еще не совсем разобрался, а я тут в командировке немогу ждать пока он всему научится. :-)

mator ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.