racoon

[artem.ultra]

долгое время бьюсь над соединением двух сетей
что имеем:

ТОЧКА1                                                
wan ip 94.xxx.xxx.xxx                               
сеть за сервером 192.168.4.0/24                     

ТОЧКА2
wan 88.yyy.yyy.yyy
сеть за сервером 192.168.1.0/24

конфиг ТОЧКА1
cat /etc/ipsec-tools.conf

(Нажмите, чтобы показать/скрыть)

# /usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.4.0/24 192.168.1.0/24 any -P out ipsec esp/tunnel/94.xxx.xxx.xxx-88.yyy.yyy.yyy/require;
spdadd 192.168.1.0/24 192.168.4.0/24 any -P in ipsec esp/tunnel/88.yyy.yyy.yyy-94.xxx.xxx.xxx/require;

cat /etc/racoon/racoon.conf
root@mail:~# cat /etc/racoon/racoon.conf

(Нажмите, чтобы показать/скрыть)

path pre_shared_key "/etc/racoon/psk.key";
#path backupsa "/etc/racoon/backupsa";
log notify;
#log debug;

padding
    {
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
    }

listen
    {
        isakmp 94.xxx.xxx.xxx [500];
        strict_address;

    }

timer
    {
        counter 5;
        interval 20 sec;
        persend 1;
        phase1 30 sec;
        phase2 15 sec;
    }

remote 88.yyy.yyy.yyy
    {
        exchange_mode main;
        proposal
        {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group modp1024;
        }

    }
#

sainfo address 192.168.4.0/24 any address 192.168.1.0/24 any
    {
        pfs_group modp1024;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
        lifetime time 3600 sec;
    }

cat /etc/racoon/psk.txt

(Нажмите, чтобы показать/скрыть)

# IPv4/v6 addresses
10.160.94.3     mekmitasdigoat
172.16.1.133    0x12345678
194.100.55.1    whatcertificatereally
3ffe:501:410:ffff:200:86ff:fe05:80fa    mekmitasdigoat
3ffe:501:410:ffff:210:4bff:fea2:8baa    mekmitasdigoat
# USER_FQDN
foo@kame.net    mekmitasdigoat
# FQDN
foo.kame.net    hoge
88.yyy.yyy.yyy    b2cef132a99e3172fffde2bee6e3d6db0f905d69a96e465231e3bb7ef186c0692210999a

конфиги ТОЧКА2
cat /etc/ipsec-tools.conf

(Нажмите, чтобы показать/скрыть)

# /usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.1.0/24 192.168.4.0/24 any -P out ipsec esp/tunnel/88.yyy.yyy.yyy-94.xxx.xxx.xxx/require;
spdadd 192.168.4.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/94.xxx.xxx.xxx-88.yyy.yyy.yyy/require;

cat /etc/racoon/racoon.conf

(Нажмите, чтобы показать/скрыть)

path pre_shared_key "/etc/racoon/psk.txt";
log notify;

padding
    {
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
    }

listen
    {
        isakmp 88.yyy.yyy.yyy [500];
        strict_address;

    }

timer
    {
        counter 5;
        interval 20 sec;
        persend 1;
        phase1 30 sec;
        phase2 15 sec;
    }

remote 94.xxx.xxx.xxx
    {
        exchange_mode main;
       
        proposal
        {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group modp1024;
        }

    }

sainfo address 192.168.1.0/24 any address 192.168.4.0/24 any
    {
        pfs_group modp1024;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
        lifetime time 3600 sec;
    }

cat /etc/racoon/psk.txt

(Нажмите, чтобы показать/скрыть)

# IPv4/v6 addresses
10.160.94.3     mekmitasdigoat
172.16.1.133    0x12345678
194.100.55.1    whatcertificatereally
3ffe:501:410:ffff:200:86ff:fe05:80fa    mekmitasdigoat
3ffe:501:410:ffff:210:4bff:fea2:8baa    mekmitasdigoat
# USER_FQDN
foo@kame.net    mekmitasdigoat
# FQDN
foo.kame.net    hoge
94.xxx.xxx.xxx  b2cef132a99e3172fffde2bee6e3d6db0f905d69a96e465231e3bb7ef186c0692210999a

собственно теперь на каждом из серверов

Код: [Выделить]

/etc/init.d/setkey restart
/etc/init.d/racoon restartsetkey -D на ТОЧКЕ1
No SAD entries.
setkey -DP на ТОЧКЕ1

(Нажмите, чтобы показать/скрыть)

(per-socket policy)
        Policy:[Invalid direciton]
        created: Oct 27 18:56:34 2012  lastused:                     
        lifetime: 0(s) validtime: 0(s)
        spid=588 seq=1 pid=20618
        refcnt=1
(per-socket policy)
        Policy:[Invalid direciton]
        created: Oct 27 18:56:34 2012  lastused:                     
        lifetime: 0(s) validtime: 0(s)
        spid=579 seq=2 pid=20618
        refcnt=1
192.168.1.0/24[any] 192.168.4.0/24[any] any
        fwd prio def ipsec
        esp/tunnel/88.yyy.yyy.yyy-94.xxx.xxx.xxx/require
        created: Oct 27 18:56:29 2012  lastused:                     
        lifetime: 0(s) validtime: 0(s)
        spid=570 seq=3 pid=20618
        refcnt=1
192.168.1.0/24[any] 192.168.4.0/24[any] any
        in prio def ipsec
        esp/tunnel/88.yyy.yyy.yyy-94.xxx.xxx.xxx/require
        created: Oct 27 18:56:29 2012  lastused:                     
        lifetime: 0(s) validtime: 0(s)
        spid=560 seq=4 pid=20618
        refcnt=1
192.168.4.0/24[any] 192.168.1.0/24[any] any
        out prio def ipsec
        esp/tunnel/94.xxx.xxx.xxx-88.yyy.yyy.yyy/require
        created: Oct 27 18:56:29 2012  lastused:                     
        lifetime: 0(s) validtime: 0(s)
        spid=553 seq=0 pid=20618
        refcnt=1

setkey -D на ТОЧКЕ2
No SAD entries.
setkey -DP на ТОЧКЕ2

(Нажмите, чтобы показать/скрыть)

192.168.4.0/24[any] 192.168.1.0/24[any] 255
        fwd prio def ipsec
        esp/tunnel/94.xxx.xxx.xxx-88.yyy.yyy.yyy/require
        created: Oct 27 20:02:21 2012  lastused:                     
        lifetime: 0(s) validtime: 0(s)
        spid=1530 seq=1 pid=23263
        refcnt=1
192.168.4.0/24[any] 192.168.1.0/24[any] 255
        in prio def ipsec
        esp/tunnel/94.xxx.xxx.xxx-88.yyy.yyy.yyy/require
        created: Oct 27 20:02:21 2012  lastused:                     
        lifetime: 0(s) validtime: 0(s)
        spid=1520 seq=2 pid=23263
        refcnt=1
192.168.1.0/24[any] 192.168.4.0/24[any] 255
        out prio def ipsec
        esp/tunnel/88.yyy.yyy.yyy-94.xxx.xxx.xxx/require
        created: Oct 27 20:02:21 2012  lastused:                     
        lifetime: 0(s) validtime: 0(s)
        spid=1513 seq=3 pid=23263
        refcnt=1
(per-socket policy)
        out(socket) none
        created: Oct 26 19:16:13 2012  lastused: Oct 27 18:31:24 2012
        lifetime: 0(s) validtime: 0(s)
        spid=1476 seq=4 pid=23263
        refcnt=1
(per-socket policy)
        in(socket) none
        created: Oct 26 19:16:13 2012  lastused: Oct 27 18:30:04 2012
        lifetime: 0(s) validtime: 0(s)
        spid=1467 seq=0 pid=23263
        refcnt=1

логи на предмет ошибок чисты.
пинги с серверов на эти подсети не ходят, даже при явно указанном интерфейсе.
также при добавлении роутинга

Код: [Выделить]

route add -net 192.168.4.0 gw 88.yyy.yyy.yyy dev eth1пинги не идут

подскажите, куда еще капнуть?

[artem.ultra]

и так, проблему решил и все настроил.

если кому то интересно, могу написать мануальчик по соединению двух серверов, за которыми находятся корпоративные ресурсы...

[censor]

мануальчик пригодится, скоро предстоит подобным заниматься.

[tagilchanin]

и так, проблему решил и все настроил.

если кому то интересно, могу написать мануальчик по соединению двух серверов, за которыми находятся корпоративные ресурсы...

Конечно напиши.. Пригодится ))!

[artem.ultra]

ок
в течении месяца постараюсь (на работе запара конкретная)
в этот же момент посмотрю как он будет работать.

[Svart]

artem.ultra
У меня проблема один в один. Подскажи, пожалуйста, как ты её решил.

[artem.ultra]

делал точно так?
какие сети у тебя на серверах и за серверами?
Пользователь решил продолжить мысль 08 Мая 2013, 22:12:01:и вывод setkey -D и setkey -DP
также лог /var/log/syslog | grep racoon (желательно)

[Svart]

Решил проблему. Кинул на серверах маршруты в туннель для прокидываемых сетей, все заработало.
Наверное в десятке мануалов читал, что маршрут кидать не надо - само разрулится...

[artem.ultra]

я маршруты не заворачивал.
ты делал с виртуальными интерфейсами?