Форум русскоязычного сообщества Ubuntu


Хотите сделать посильный вклад в развитие Ubuntu и русскоязычного сообщества?
Помогите нам с документацией!

Автор Тема: racoon  (Прочитано 6001 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн J.Rico

  • Автор темы
  • Новичок
  • *
  • Сообщений: 36
    • Просмотр профиля
racoon
« : 15 Январь 2008, 11:41:47 »
Граждане, помогите разобраться!
Ситуация: есть сетка 192.168.0.0, в ней стоит комп - 192.168.0.68 (мой, Debian 4.0 r1), есть внешний ip-шник: xxx.xxx.xxx.xxx (мой), в другой сети (внутренний шировещ. адрес неизвестен) есть Cisco PIX, её внешний ip-шник yyy.yyy.yyy.yyy
Задача: установить ipsec туннель между 192.168.0.68 и yyy.yyy.yyy.yyy

Данные по шифрации:
1.   IP-адрес крипто-сервера : xxx.xxx.xxx.xxx (мой внешний ip)
2.   IP-адрес Cisco PIX : yyy.yyy.yyy.yyy
3.   Ключ isakmp: password_key
4.   transform-set:   esp-3des esp-sha-hmac
5.   PFS:   Group 2
6.   Isakmp policy:   
      authentication pre-share
      encryption 3des
      hash sha
      group 2
      lifetime 3600

Что я делал:
1. установил пакет racoon_0.6.6-3.1etch1_i386.deb
2. установил пакет ipsec-tools_0.6.6-3.1etch1_i386.deb
3. в файл /etc/racoon/psk.txt вписал:
yyy.yyy.yyy.yyy password_key
4. т.к. в файле racoon.conf был какой-то пример (закомментированый), я его стер и вписал туда следщее:

path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/cert";
log notify;
padding
{
   maximum_length 20;
   randomize off;
   strict_check off;
   exclusive_tail off;
}

listen
{
   isakmp 192.168.0.68 [500]; # можно было не указывать, т.к. по умолчанию прослушивается
}

timer
{
   counter 5;
   interval 20 sec;
   persend 1;
   phase1 30 sec;
   phase2 15 sec;
}

#IKE phase 1
remote yyy.yyy.yyy.yyy
{
   exchange_mode main, aggressive;
   doi ipsec_doi;
   situation identity_only;
#   my_identifier address 192.168.0.68;
   my_identifier address;
#   nonce_size 16;
   lifetime time 1 hour;
   initial_contact on;
   proposal_check obey;

   proposal
   {
      encryption_algorithm 3des;
      hash_algorithm sha1;
      authentication_method pre_shared_key;
      dh_group 2;
   }
}

##IKE phase 2
sainfo address 192.168.0.68[any] any address yyy.yyy.yyy.yyy[any] any
{
   pfs_group 2;
   encryption_algorithm 3des;
   authentication_algorithm hmac_sha1;
   compression_algorithm deflate;
}

Собственно откуда я все это взял? Вот от сюда: http://www.opennet.ru/base/net/ipsec_linux_pix.txt.html

5. setkey.conf - вот вопрос: такой файл уже должен существовать или как? Я его сам создал (под рутом) в /etc/racoon

flush;
spdflush;
spdadd 192.168.0.0 yyy.yyy.yyy.0 any -P out ipsec esp/tunnel/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require;
spdadd yyy.yyy.yyy.0 192.168.0.0 any -P in ipsec esp/tunnel/yyy.yyy.yyy.yyy-192.168.0.0/require;

6. далее в терминале:

setkey -f /etc/racoon/setkey.conf

7. В логе появилось вот это:

2008-01-15 14:14:57: DEBUG: get pfkey REGISTER message
2008-01-15 14:14:57: INFO: unsupported PF_KEY message REGISTER
2008-01-15 14:14:57: DEBUG: get pfkey FLUSH message
2008-01-15 14:14:57: DEBUG: get pfkey X_SPDFLUSH message
2008-01-15 14:14:57: DEBUG: get pfkey X_SPDADD message
2008-01-15 14:14:57: DEBUG: get pfkey X_SPDADD message
2008-01-15 14:14:57: DEBUG: sub:0xbfb66330: yyy.yyy.yyy.0/32[0] 192.168.0.0/32[0] proto=any dir=in
2008-01-15 14:14:57: DEBUG: db :0x80bf6b8: 192.168.0.0/32[0] yyy.yyy.yyy.0/32[0] proto=any dir=out
2008-01-15 14:14:57: DEBUG: get pfkey X_SPDADD message
2008-01-15 14:14:57: DEBUG: sub:0xbfb66330: yyy.yyy.yyy.0/32[0] 192.168.0.0/32[0] proto=any dir=fwd
2008-01-15 14:14:57: DEBUG: db :0x80bf6b8: 192.168.0.0/32[0] yyy.yyy.yyy.0/32[0] proto=any dir=out
2008-01-15 14:14:57: DEBUG: sub:0xbfb66330: yyy.yyy.yyy.0/32[0] 192.168.0.0/32[0] proto=any dir=fwd
2008-01-15 14:14:57: DEBUG: db :0x80bf8f8: yyy.yyy.yyy.0/32[0] 192.168.0.0/32[0] proto=any dir=in

8. Иду дальше по инструкции:

racoon -f /etc/racoon/racoon.config -l /var/log/racoon.log

9. Все. На этом сходство того, что получилось у меня и того, что по инструкции закончилось.
Вот что у меня в логе после этой команды:

2008-01-15 14:41:16: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2008-01-15 14:41:16: INFO: @(#)This product linked OpenSSL 0.9.8c 05 Sep 2006 (http://www.openssl.org/)
2008-01-15 14:41:17: DEBUG: get pfkey REGISTER message
2008-01-15 14:41:17: INFO: unsupported PF_KEY message REGISTER
2008-01-15 14:41:17: DEBUG: get pfkey REGISTER message
2008-01-15 14:41:17: INFO: unsupported PF_KEY message REGISTER
2008-01-15 14:41:17: DEBUG: get pfkey REGISTER message
2008-01-15 14:41:17: INFO: unsupported PF_KEY message REGISTER
2008-01-15 14:41:17: ERROR: failed to bind to address 127.0.0.1[500] (Address already in use).
2008-01-15 14:41:17: ERROR: failed to bind to address 192.168.0.68[500] (Address already in use).
2008-01-15 14:41:17: ERROR: failed to bind to address ::1[500] (Address already in use).
2008-01-15 14:41:17: ERROR: failed to bind to address fe80::219:5bff:fefd:d6bc%eth0[500] (Address already in use).
2008-01-15 14:41:17: ERROR: no address could be bound.

Далее. Останавливаю racoon
/etc/init.d/racoon stop
Снова запускаю setkey
setkey -f /etc/racoon/setkey.conf
Запускаю ракун
racoon -f /etc/racoon/racoon.config -l /var/log/racoon.log

В логе имеем следщее:
2008-01-15 14:46:28: INFO: caught signal 15
2008-01-15 14:46:28: DEBUG: get pfkey FLUSH message
2008-01-15 14:46:29: DEBUG: call pfkey_send_dump
2008-01-15 14:46:29: INFO: racoon shutdown
2008-01-15 14:46:50: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2008-01-15 14:46:50: INFO: @(#)This product linked OpenSSL 0.9.8c 05 Sep 2006 (http://www.openssl.org/)
2008-01-15 14:46:51: INFO: 127.0.0.1[500] used as isakmp port (fd=6)
2008-01-15 14:46:51: INFO: 127.0.0.1[500] used for NAT-T
2008-01-15 14:46:51: INFO: 192.168.0.68[500] used as isakmp port (fd=7)
2008-01-15 14:46:51: INFO: 192.168.0.68[500] used for NAT-T
2008-01-15 14:46:51: INFO: ::1[500] used as isakmp port (fd=8)
2008-01-15 14:46:51: INFO: fe80::219:5bff:fefd:d6bc%eth0[500] used as isakmp port (fd=9)


Где я напутал?  :'(
« Последнее редактирование: 15 Январь 2008, 12:55:23 от J.Rico »

Оффлайн J.Rico

  • Автор темы
  • Новичок
  • *
  • Сообщений: 36
    • Просмотр профиля
Re: racoon
« Ответ #1 : 15 Январь 2008, 14:25:59 »
так, вот еще касяк увидел:

kannel:~# /etc/init.d/racoon start
Loading IPSEC/crypto modules...
FATAL: Module /lib/modules/2.6.18_5_686/kernel/lib/zlib_deflate/zlib_deflate.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/aes.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/crypto_null.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/cast5.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/sha1.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/deflate.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/tea.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/tgr192.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/arc4.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/wp512.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/twofish.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/cast6.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/michael_mic.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/des.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/sha512.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/serpent.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/blowfish.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/anubis.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/sha256.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/md4.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/crc32c.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/khazad.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/net/xfrm/xfrm_user.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/net/key/af_key.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/net/ipv4/ah4.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/net/ipv4/esp4.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/net/ipv4/ipcomp.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/net/ipv6/ah6.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/net/ipv6/esp6.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/net/ipv6/ipcomp6.ko not found.
IPSEC/crypto modules loaded.
Flushing SAD and SPD...
SAD and SPD flushed.
Loading SAD and SPD...
SAD and SPD loaded.
Configuring racoon...done.
Starting IKE (ISAKMP/Oakley) server: racoon.

что-то не установил я или как?

p.s. нашел в чем прикол:
нужно /lib/modules/2.6.18_5_686
а у меня: /lib/modules/2.6.18-5_686
в одном знаке разница.... Как поправить, чтобы не накасячить и не убить систему?
« Последнее редактирование: 15 Январь 2008, 14:32:28 от J.Rico »

Оффлайн katano

  • Новичок
  • *
  • Сообщений: 8
    • Просмотр профиля
Re: racoon
« Ответ #2 : 09 Октябрь 2009, 12:47:26 »
так, вот еще касяк увидел:

kannel:~# /etc/init.d/racoon start
Loading IPSEC/crypto modules...
FATAL: Module /lib/modules/2.6.18_5_686/kernel/lib/zlib_deflate/zlib_deflate.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/aes.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/crypto_null.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/cast5.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/sha1.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/deflate.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/tea.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/tgr192.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/arc4.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/wp512.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/twofish.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/cast6.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/michael_mic.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/des.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/sha512.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/serpent.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/blowfish.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/anubis.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/sha256.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/md4.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/crc32c.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/crypto/khazad.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/net/xfrm/xfrm_user.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/net/key/af_key.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/net/ipv4/ah4.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/net/ipv4/esp4.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/net/ipv4/ipcomp.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/net/ipv6/ah6.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/net/ipv6/esp6.ko not found.
FATAL: Module /lib/modules/2.6.18_5_686/kernel/net/ipv6/ipcomp6.ko not found.
IPSEC/crypto modules loaded.
Flushing SAD and SPD...
SAD and SPD flushed.
Loading SAD and SPD...
SAD and SPD loaded.
Configuring racoon...done.
Starting IKE (ISAKMP/Oakley) server: racoon.

что-то не установил я или как?

p.s. нашел в чем прикол:
нужно /lib/modules/2.6.18_5_686
а у меня: /lib/modules/2.6.18-5_686
в одном знаке разница.... Как поправить, чтобы не накасячить и не убить систему?

такая же херня, только ядро другой версии. перепутаны _ и -.

у тебя всё таки сам ракун запахал ?

Оффлайн flee

  • Новичок
  • *
  • Сообщений: 1
    • Просмотр профиля
Re: racoon
« Ответ #3 : 08 Ноябрь 2009, 02:34:38 »
Не знаю, актуально это ещё или нет, но я для себя проблему с загрузкой модулей решил очень просто:
- Открываем текстовым редактором файл /usr/sbin/racoon-tool (как раз этот перловый скрипт определяет необходимые модули и занимается их загрузкой)
- Правим определение путей к модулям. Мне не хотелось долго ковыряться, поэтому просто закомментировал имеющиеся строки и вбил пустые. Получилось примерно так:
$kver = `uname -r`; chomp $kver;
# Дальше меняем:
# $modpath =""; #"/lib/modules/" . $kver;
$modpath_ipsec = ""; #"$modpath/kernel/net/ipv4";
$modpath_ipsec6 = ""; #"$modpath/kernel/net/ipv6";
$modpath_xfrm = ""; #"$modpath/kernel/net/xfrm";
$modpath_key = ""; #"$modpath/kernel/net/key";
$modpath_crypto = ""; #"$modpath/kernel/crypto";
$modpath_zlib = ""; #"$modpath/kernel/lib/zlib_deflate";

Насколько я понимаю, всё дело в том, что modprobe, который используется для загрузки модулей, любит хавать только имена модулей, а не полный путь.

 

Страница сгенерирована за 0.06 секунд. Запросов: 23.