Граждане, помогите разобраться!Ситуация: есть сетка 192.168.0.0, в ней стоит комп - 192.168.0.68 (мой, Debian 4.0 r1), есть внешний ip-шник: xxx.xxx.xxx.xxx (мой), в другой сети (внутренний шировещ. адрес неизвестен) есть Cisco PIX, её внешний ip-шник yyy.yyy.yyy.yyy
Задача: установить ipsec туннель между 192.168.0.68 и yyy.yyy.yyy.yyy
Данные по шифрации:
1. IP-адрес крипто-сервера : xxx.xxx.xxx.xxx (мой внешний ip)
2. IP-адрес Cisco PIX : yyy.yyy.yyy.yyy
3. Ключ isakmp: password_key
4. transform-set: esp-3des esp-sha-hmac
5. PFS: Group 2
6. Isakmp policy:
authentication pre-share
encryption 3des
hash sha
group 2
lifetime 3600
Что я делал:
1. установил пакет
racoon_0.6.6-3.1etch1_i386.deb
2. установил пакет
ipsec-tools_0.6.6-3.1etch1_i386.deb
3. в файл /etc/racoon/
psk.txt вписал:
yyy.yyy.yyy.yyy password_key
4. т.к. в файле
racoon.conf был какой-то пример (закомментированый), я его стер и вписал туда следщее:
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/cert";
log notify;
padding
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}
listen
{
isakmp 192.168.0.68 [500]; # можно было не указывать, т.к. по умолчанию прослушивается
}
timer
{
counter 5;
interval 20 sec;
persend 1;
phase1 30 sec;
phase2 15 sec;
}
#IKE phase 1
remote yyy.yyy.yyy.yyy
{
exchange_mode main, aggressive;
doi ipsec_doi;
situation identity_only;
# my_identifier address 192.168.0.68;
my_identifier address;
# nonce_size 16;
lifetime time 1 hour;
initial_contact on;
proposal_check obey;
proposal
{
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
##IKE phase 2
sainfo address 192.168.0.68[any] any address yyy.yyy.yyy.yyy[any] any
{
pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
Собственно откуда я все это взял? Вот от сюда:
http://www.opennet.ru/base/net/ipsec_linux_pix.txt.html5.
setkey.conf - вот вопрос: такой файл уже должен существовать или как? Я его сам создал (под рутом) в /etc/racoon
flush;
spdflush;
spdadd 192.168.0.0 yyy.yyy.yyy.0 any -P out ipsec esp/tunnel/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require;
spdadd yyy.yyy.yyy.0 192.168.0.0 any -P in ipsec esp/tunnel/yyy.yyy.yyy.yyy-192.168.0.0/require;
6. далее в терминале:
setkey -f /etc/racoon/setkey.conf
7. В логе появилось вот это:
2008-01-15 14:14:57: DEBUG: get pfkey REGISTER message
2008-01-15 14:14:57: INFO: unsupported PF_KEY message REGISTER
2008-01-15 14:14:57: DEBUG: get pfkey FLUSH message
2008-01-15 14:14:57: DEBUG: get pfkey X_SPDFLUSH message
2008-01-15 14:14:57: DEBUG: get pfkey X_SPDADD message
2008-01-15 14:14:57: DEBUG: get pfkey X_SPDADD message
2008-01-15 14:14:57: DEBUG: sub:0xbfb66330: yyy.yyy.yyy.0/32[0] 192.168.0.0/32[0] proto=any dir=in
2008-01-15 14:14:57: DEBUG: db :0x80bf6b8: 192.168.0.0/32[0] yyy.yyy.yyy.0/32[0] proto=any dir=out
2008-01-15 14:14:57: DEBUG: get pfkey X_SPDADD message
2008-01-15 14:14:57: DEBUG: sub:0xbfb66330: yyy.yyy.yyy.0/32[0] 192.168.0.0/32[0] proto=any dir=fwd
2008-01-15 14:14:57: DEBUG: db :0x80bf6b8: 192.168.0.0/32[0] yyy.yyy.yyy.0/32[0] proto=any dir=out
2008-01-15 14:14:57: DEBUG: sub:0xbfb66330: yyy.yyy.yyy.0/32[0] 192.168.0.0/32[0] proto=any dir=fwd
2008-01-15 14:14:57: DEBUG: db :0x80bf8f8: yyy.yyy.yyy.0/32[0] 192.168.0.0/32[0] proto=any dir=in
8. Иду дальше по инструкции:
racoon -f /etc/racoon/racoon.config -l /var/log/racoon.log
9. Все. На этом сходство того, что получилось у меня и того, что по инструкции закончилось.
Вот что у меня в логе после этой команды:
2008-01-15 14:41:16: INFO: @(#)ipsec-tools 0.6.6 (
http://ipsec-tools.sourceforge.net)
2008-01-15 14:41:16: INFO: @(#)This product linked OpenSSL 0.9.8c 05 Sep 2006 (
http://www.openssl.org/)
2008-01-15 14:41:17: DEBUG: get pfkey REGISTER message
2008-01-15 14:41:17: INFO: unsupported PF_KEY message REGISTER
2008-01-15 14:41:17: DEBUG: get pfkey REGISTER message
2008-01-15 14:41:17: INFO: unsupported PF_KEY message REGISTER
2008-01-15 14:41:17: DEBUG: get pfkey REGISTER message
2008-01-15 14:41:17: INFO: unsupported PF_KEY message REGISTER
2008-01-15 14:41:17: ERROR: failed to bind to address 127.0.0.1[500] (Address already in use).
2008-01-15 14:41:17: ERROR: failed to bind to address 192.168.0.68[500] (Address already in use).
2008-01-15 14:41:17: ERROR: failed to bind to address ::1[500] (Address already in use).
2008-01-15 14:41:17: ERROR: failed to bind to address fe80::219:5bff:fefd:d6bc%eth0[500] (Address already in use).
2008-01-15 14:41:17: ERROR: no address could be bound.
Далее. Останавливаю racoon
/etc/init.d/racoon stop
Снова запускаю setkey
setkey -f /etc/racoon/setkey.conf
Запускаю ракун
racoon -f /etc/racoon/racoon.config -l /var/log/racoon.log
В логе имеем следщее:
2008-01-15 14:46:28: INFO: caught signal 15
2008-01-15 14:46:28: DEBUG: get pfkey FLUSH message
2008-01-15 14:46:29: DEBUG: call pfkey_send_dump
2008-01-15 14:46:29: INFO: racoon shutdown
2008-01-15 14:46:50: INFO: @(#)ipsec-tools 0.6.6 (
http://ipsec-tools.sourceforge.net)
2008-01-15 14:46:50: INFO: @(#)This product linked OpenSSL 0.9.8c 05 Sep 2006 (
http://www.openssl.org/)
2008-01-15 14:46:51: INFO: 127.0.0.1[500] used as isakmp port (fd=6)
2008-01-15 14:46:51: INFO: 127.0.0.1[500] used for NAT-T
2008-01-15 14:46:51: INFO: 192.168.0.68[500] used as isakmp port (fd=7)
2008-01-15 14:46:51: INFO: 192.168.0.68[500] used for NAT-T
2008-01-15 14:46:51: INFO: ::1[500] used as isakmp port (fd=8)
2008-01-15 14:46:51: INFO: fe80::219:5bff:fefd:d6bc%eth0[500] used as isakmp port (fd=9)
Где я напутал?