Форум русскоязычного сообщества Ubuntu


Следите за новостями русскоязычного сообщества Ubuntu в Twitter-ленте @ubuntu_ru_loco

Автор Тема: racoon/ipsec-tools tunnel между FreeBSD и Ubuntu 11.04  (Прочитано 3145 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн BoogVAr

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Здравствуйте,

У меня встала задача поднять ipsec vpn тунель между двумя сетями (FreeBSD <--> Ubuntu).

Сейчас на стороне FreeBSD всё работает, тунель поднимается, со стороны FreeBSD есть пинг до внутренней сети ubuntu.

Проблемы на стороне Ubuntu, пинг который должен быть направлен в vpn улетает в интернет (в никуда).

Интернет на ubuntu получается через pppoe соединение.
Раздаётся в сеть через nat поднятым iptables

В фаерволе никаких заглушек нет, специально всё открыл чтобы добить вопрос.

Ниже конфиги и логи.

Нужны ли какие то специфичные маршруты?
Или ещё что.

Никак не могу понять почему нет пинга от сети ubuntu к FreeBSD, почему пакеты летят в интерент, а не заворачиваются в vpn.

Буду признателен за помощь.



aa.aa.aa.aa - внейший ip ubuntu
bb.bb.bb.bb - внешний ip FreeBSD
aa.aa.0.0/21 - внутренняя подсеть ubuntu
bb.bb.0.0/21 - внутренняя подсеть FreeBSD

Конфиги применяются командами:



setkey -f /etc/racoon/setkey.conf
racoon -f /etc/racoon/racoon.conf -l /var/log/racoon.log





Конфиг racoon

nano /etc/racoon/racoon.conf



# Configuration file generated by Open vSwitch
#
# Do not modify by hand!

path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

# Configuration file generated by Open vSwitch
#
# Do not modify by hand!

path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";


# "padding" defines some parameter of padding.  You should not touch these.
padding {
        maximum_length 20;      # maximum padding length.
        randomize off; # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
}
# if no listen directive is specified, racoon will listen to all available interface addresses.
listen {

        isakmp aa.aa.aa.aa [500];

}
# Specification of default various timer.
timer {
        # These value can be changed per remote node.
        counter 5; # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
        persend 1; # the number of packets per a send.
        # timer for waiting to complete each phase.
        phase1 30 sec;
        phase2 15 sec;
}
remote anonymous {
        exchange_mode main,aggressive;
        #exchange_mode aggressive,main;
        doi ipsec_doi;
#       nat_traversal on;
        situation identity_only;
        #my_identifier address;
#       my_identifier user_fqdn "sakane@kame.net"; peers_identifier user_fqdn "sakane@kame.net";
        #certificate_type x509 "mycert" "mypriv";
        nonce_size 16;
        lifetime time 86400 sec;        # sec,min,hour
        initial_contact on;
#       support_mip6 on;
        support_proxy on;
        proposal_check obey;    # obey, strict or claim
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key ;
                dh_group 2 ;
        }
}

  sainfo anonymous {
        pfs_group 1;
        lifetime time 3600 sec;
        encryption_algorithm 3des ;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate ;
}




Конфиг Ipsec-tools

nano /etc/racoon/setkey.conf




#!/sbin/setkey -f

flush;
spdflush;

# VPN
spdadd bb.bb.0.0/21 aa.aa.0.0/21 any -P in ipsec esp/tunnel/bb.bb.bb.bb-aa.aa.aa.aa/require;
spdadd aa.aa.0.0/21 bb.bb.0.0/21 any -P out ipsec esp/tunnel/aa.aa.aa.aa-bb.bb.bb.bb/require;




При установке тунеля видим:

setkey -D


aa.aa.aa.aa bb.bb.bb.bb
        esp mode=tunnel spi=93166794(0x058d9cca) reqid=0(0x00000000)
        E: 3des-cbc  dd145ec0 67802f1f ca952eef 841606cf eebda441 6724abf0
        A: hmac-sha1  af9bf8ac 04413884 9f099127 bad00d24 ba3e6c7c
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Jun  9 13:54:08 2011   current: Jun  9 14:32:37 2011
        diff: 2309(s)   hard: 3600(s)   soft: 2880(s)
        last: Jun  9 13:54:09 2011      hard: 0(s)      soft: 0(s)
        current: 504(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 6    hard: 0 soft: 0
        sadb_seq=1 pid=21908 refcnt=0
bb.bb.bb.bb aa.aa.aa.aa
        esp mode=tunnel spi=31011214(0x01d9318e) reqid=0(0x00000000)
        E: 3des-cbc  0fda201e 72d48dec e47739b4 8b9fd251 5d429ee1 e4f1dc20
        A: hmac-sha1  9e149b15 82978f9a 6fed8a88 43b54556 f20ec95e
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Jun  9 13:54:08 2011   current: Jun  9 14:32:37 2011
        diff: 2309(s)   hard: 3600(s)   soft: 2880(s)
        last: Jun  9 13:54:09 2011      hard: 0(s)      soft: 0(s)
        current: 504(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 6    hard: 0 soft: 0
        sadb_seq=0 pid=21908 refcnt=0



Лог:

tail /var/log/racoon.log | ccze --mode ansi


2011-06-09 13:40:11: INFO: unsupported PF_KEY message REGISTER
2011-06-09 13:40:11: INFO: unsupported PF_KEY message REGISTER
2011-06-09 13:40:11: INFO: unsupported PF_KEY message REGISTER
2011-06-09 13:54:07: INFO: respond new phase 1 negotiation: aa.aa.aa.aa[500]<=>83.220.61.226[500]
2011-06-09 13:54:07: INFO: begin Identity Protection mode.
2011-06-09 13:54:07: INFO: received Vendor ID: DPD
2011-06-09 13:54:07: INFO: ISAKMP-SA established aa.aa.aa.aa[500]-83.220.61.226[500] spi:1f12b80dfe8160aa:8ad815b5b962dec9
2011-06-09 13:54:08: INFO: respond new phase 2 negotiation: aa.aa.aa.aa[500]<=>bb.bb.bb.bb[500]
2011-06-09 13:54:08: INFO: IPsec-SA established: ESP/Tunnel bb.bb.bb.bb[0]->aa.aa.aa.aa[0] spi=31011214(0x1d9318e)
2011-06-09 13:54:08: INFO: IPsec-SA established: ESP/Tunnel aa.aa.aa.aa[500]->bb.bb.bb.bb[500] spi=93166794(0x58d9cca)



« Последнее редактирование: 09 Июнь 2011, 11:50:12 от BoogVAr »

Оффлайн NanoGlist

  • Активист
  • *
  • Сообщений: 283
  • Даешь наноглистинг!!!!
    • Просмотр профиля
Re: racoon/ipsec-tools tunnel между FreeBSD и Ubuntu 11.04
« Ответ #1 : 09 Июнь 2011, 12:42:03 »
На Ubuntu лучше пользоваться StrongSWAN или OPENSWAN, сам маялся с ракуном...потом настроил через стронгсван.
Ну это я так понимаю отношения к делу не имеет.
Боюсь ошибиться и направить Вас в нето русло, но осмелюсь предположить, что на маршрутизаторе в iptables надо прописать правила, который будут направлять трафик предназначенный для сети FreeBSD в тонель.
К сожалению с iptables слабо знаком.

Оффлайн BoogVAr

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: racoon/ipsec-tools tunnel между FreeBSD и Ubuntu 11.04
« Ответ #2 : 09 Июнь 2011, 12:52:08 »
на маршрутизаторе в iptables надо прописать правила, который будут направлять трафик предназначенный для сети FreeBSD в тонель.
К сожалению с iptables слабо знаком.


Может кто то подсказать как составить данные правила, если нужны именно они?

Оффлайн NanoGlist

  • Активист
  • *
  • Сообщений: 283
  • Даешь наноглистинг!!!!
    • Просмотр профиля
Re: racoon/ipsec-tools tunnel между FreeBSD и Ubuntu 11.04
« Ответ #3 : 09 Июнь 2011, 13:00:51 »
на ubuntu сделайте
$sudo  ip xfrn p
и покажите вывод
« Последнее редактирование: 09 Июнь 2011, 13:08:57 от NanoGlist »

Оффлайн BoogVAr

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: racoon/ipsec-tools tunnel между FreeBSD и Ubuntu 11.04
« Ответ #4 : 09 Июнь 2011, 13:15:17 »
Object "xfrn" is unknown, try "ip help".

"xfrn" это что такое?

Пользователь решил продолжить мысль 09 Июнь 2011, 13:20:05:
ip xfrm p
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src aa.aa.0.0/21 dst bb.bb.0.0/21
        dir out priority 2147483648
        tmpl src aa.aa.aa.aa dst bb.bb.bb.bb
                proto esp reqid 0 mode tunnel
src bb.bb.0.0/21 dst aa.aa.0.0/21
        dir fwd priority 2147483648
        tmpl src bb.bb.bb.bb dst aa.aa.aa.aa
                proto esp reqid 0 mode tunnel
src bb.bb.0.0/21 dst aa.aa.0.0/21
        dir in priority 2147483648
        tmpl src bb.bb.bb.bb dst aa.aa.aa.aa
                proto esp reqid 0 mode tunnel
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src ::/0 dst ::/0
        dir 4 priority 0
src ::/0 dst ::/0
        dir 3 priority 0
src ::/0 dst ::/0
        dir 4 priority 0
src ::/0 dst ::/0
        dir 3 priority 0
src ::/0 dst ::/0
        dir 4 priority 0
src ::/0 dst ::/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src ::/0 dst ::/0
        dir 4 priority 0
src ::/0 dst ::/0
        dir 3 priority 0
src ::/0 dst ::/0
        dir 4 priority 0
src ::/0 dst ::/0
        dir 3 priority 0
src ::/0 dst ::/0
        dir 4 priority 0
src ::/0 dst ::/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
« Последнее редактирование: 09 Июнь 2011, 13:20:05 от BoogVAr »

Оффлайн NanoGlist

  • Активист
  • *
  • Сообщений: 283
  • Даешь наноглистинг!!!!
    • Просмотр профиля
Re: racoon/ipsec-tools tunnel между FreeBSD и Ubuntu 11.04
« Ответ #5 : 09 Июнь 2011, 13:20:13 »
(Нажмите, чтобы показать/скрыть)

Если у вас 10ка Ubuntu, то вывод должен быть. Вот мой вывод у меня тоже 10ка
ip xfrn p <---вводите именно так и не забудте про судо

Оффлайн BoogVAr

  • Автор темы
  • Новичок
  • *
  • Сообщений: 7
    • Просмотр профиля
Re: racoon/ipsec-tools tunnel между FreeBSD и Ubuntu 11.04
« Ответ #6 : 09 Июнь 2011, 14:14:16 »
у меня 11.4

вот вывод

ip xfrm p
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src aa.aa.0.0/21 dst bb.bb.0.0/21
        dir out priority 2147483648
        tmpl src aa.aa.aa.aa dst bb.bb.bb.bb
                proto esp reqid 0 mode tunnel
src bb.bb.0.0/21 dst aa.aa.0.0/21
        dir fwd priority 2147483648
        tmpl src bb.bb.bb.bb dst aa.aa.aa.aa
                proto esp reqid 0 mode tunnel
src bb.bb.0.0/21 dst aa.aa.0.0/21
        dir in priority 2147483648
        tmpl src bb.bb.bb.bb dst aa.aa.aa.aa
                proto esp reqid 0 mode tunnel
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 3 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0
        dir 4 priority 0
src 0.0.0.0/0 dst 0.0.0.0/0


что это за приоритет? dir out priority 2147483648 и где он ставится?

Пользователь решил продолжить мысль 10 Июнь 2011, 09:43:29:
Прочитал статьи по FreeBSD и CentOS Linux

В статьях встретил интересный момент

Судя по ним создаётся некий виртуальный интерфейс сетевой.

в FreeBSD

Так же удостоверьтесь, что наличествует строка инициации псевдо-устройства gif:


    pseudo-device    gif


________________________________

psec_enable="YES"
ipsec_file="/etc/ipsec.conf"

gif_interfaces="gif0"
gifconfig_gif0="192.168.2.130 192.168.1.130"
ifconfig_gif0="inet 192.168.200.200 192.168.201.10 netmask 255.255.255.0"



в CentOS Linux

4.Настройка IPSec
nano /etc/sysconfig/network-scripts/ifcfg-ipsec0


TYPE=IPSEC
ONBOOT=yes
IKE_METHOD=PSK
SRCGW=192.168.9.54     между этими сетями
DSTGW=192.168.0.54
SRCNET=192.168.9.0/24
DSTNET=192.168.0.0/24
DST=95.68.85.163


В  Ubuntu  я  никакого  виртуального  сетевого интерфейся для ipsec не
создавал, и сам он не создавался.

Он нужен?
« Последнее редактирование: 10 Июнь 2011, 09:43:29 от BoogVAr »

 

Страница сгенерирована за 0.081 секунд. Запросов: 24.