Форум русскоязычного сообщества Ubuntu


Увидели сообщение с непонятной ссылкой, спам, непристойность или оскорбление?
Воспользуйтесь ссылкой «Сообщить модератору» рядом с сообщением!

Автор Тема: [Решено]DI-804hv + LINUX(ubuntu 10.04). Как сделать IPsec туннель?  (Прочитано 3016 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн djrust

  • Автор темы
  • Активист
  • *
  • Сообщений: 861
    • Просмотр профиля
Всем привет!

(192.168.0.0)LINUX ----internet------DI-804HV(192.168.1.0)
Firmware Version: V1.51, Fri, Jun 27 2008 С поддержкой 3DES
Помогите осилить racoon и настроить ipsec между DI-804hv и ubuntu
Что бы клиенты сети 0.0 могли иметь доступ к сети 1.0 и наоборот

Во время подключение и тестирования iptables все в accept(по дефолту)

log DI-804HV

Monday December 17, 2012 21:02:59 IKED re-TX : INIT to 95.XX.28.XXX
 Monday December 17, 2012 21:03:04 IKED re-TX : INIT to 95.XX.28.XXX
 Monday December 17, 2012 21:03:14 IKED re-TX : INIT to 95.XX.28.XXX
 Monday December 17, 2012 21:03:14 Receive IKE M2(RESP) : 95.XX.28.XXX --> 95.XX.52.XXX
 Monday December 17, 2012 21:03:14 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
 Monday December 17, 2012 21:03:14 Send IKE M3(KEYINIT) : 95.XX.52.XXX --> 95.XX.28.XXX
 Monday December 17, 2012 21:03:14 Receive IKE M4(KEYRESP) : 95.XX.28.XXX --> 95.XX.52.XXX
 Monday December 17, 2012 21:03:14 Send IKE M5(IDINIT) : 95.XX.52.XXX --> 95.XX.28.XXX
 Monday December 17, 2012 21:03:14 Receive IKE M6(IDRESP) : 95.XX.28.XXX --> 95.XX.52.XXX
 Monday December 17, 2012 21:03:14 IKE Phase1 (ISAKMP SA) established : 95.XX.28.XXX <-> 95.XX.52.XXX
 Monday December 17, 2012 21:03:15 Send IKE Q1(QINIT) : 192.168.1.0 --> 192.168.0.0
 Monday December 17, 2012 21:03:15 Receive IKE INFO : 95.XX.28.XXX --> 95.XX.52.XXX
 Monday December 17, 2012 21:03:19 IKED re-TX : QINIT to 95.XX.28.XXX
 Monday December 17, 2012 21:03:24 IKED re-TX : QINIT to 95.XX.28.XXX
 Monday December 17, 2012 21:03:34 IKED re-TX : QINIT to 95.XX.28.XXX
ifconfig
(Нажмите, чтобы показать/скрыть)

racoon.conf
(Нажмите, чтобы показать/скрыть)

psk.txt
95.XX.52.XXX password

/etc/ipsec-tools.conf
flush;
spdflush;
spdadd 192.168.1.0/24 192.168.0.0/24 any -P in ipsec esp/tunnel/95.XX.52.XXX-95.XX.28.XXX/require;
spdadd 192.168.0.0/24 192.168.1.0/24 any -P out ipsec esp/tunnel/95.XX.28.XXX-95.XX.52.XXX/require;

sudo racoon -F
sudo racoon -F
Foreground mode.
2012-12-17 20:40:36: INFO: @(#)ipsec-tools 0.7.1 (http://ipsec-tools.sourceforge.net)
2012-12-17 20:40:36: INFO: @(#)This product linked OpenSSL 0.9.8k 25 Mar 2009 (http://www.openssl.org/)
2012-12-17 20:40:36: INFO: Reading configuration from "/etc/racoon/racoon.conf"
2012-12-17 20:40:36: INFO: Resize address pool from 0 to 255
2012-12-17 20:40:36: INFO: 95.XX.28.XXX[500] used as isakmp port (fd=6)
2012-12-17 20:40:36: INFO: 95.XX.28.XXX[500] used for NAT-T
2012-12-17 20:40:53: INFO: respond new phase 1 negotiation: 95.XX.28.XXX[500]<=>95.XX.52.XXX[500]
2012-12-17 20:40:53: INFO: begin Identity Protection mode.
2012-12-17 20:40:53: WARNING: SPI size isn't zero, but IKE proposal.
2012-12-17 20:40:53: INFO: ISAKMP-SA established 95.XX.28.XXX[500]-95.XX.52.XXX[500] spi:b47cc6f3b46c3bdc:a6ac75c36bd3854a
2012-12-17 20:40:53: INFO: respond new phase 2 negotiation: 95.XX.28.XXX[500]<=>95.XX.52.XXX[500]
2012-12-17 20:40:53: ERROR: no policy found: 192.168.1.0/24[0] 192.168.0.0/24[0] proto=any dir=in
2012-12-17 20:40:53: ERROR: failed to get proposal for responder.
2012-12-17 20:40:53: ERROR: failed to pre-process packet.



Что надо для диагностики?что привести?

причем,если я выствляю на DI-804HV Aggressive Mode,то после
sudo racoon -F
2012-12-17 20:49:49: INFO: @(#)ipsec-tools 0.7.1 (http://ipsec-tools.sourceforge.net)
2012-12-17 20:49:49: INFO: @(#)This product linked OpenSSL 0.9.8k 25 Mar 2009 (http://www.openssl.org/)
2012-12-17 20:49:49: INFO: Reading configuration from "/etc/racoon/racoon.conf"
2012-12-17 20:49:49: INFO: Resize address pool from 0 to 255
2012-12-17 20:49:49: INFO: 95.XX.28.XXX[500] used as isakmp port (fd=6)
2012-12-17 20:49:49: INFO: 95.XX.28.XXX[500] used for NAT-T
2012-12-17 20:49:56: ERROR: not acceptable Aggressive mode
2012-12-17 20:50:06: ERROR: not acceptable Aggressive mode
Т.е получается они пытаются соединиться....








Не работало из за
generate_policy off;

Туннель поднялся,но есть ошибки
2012-12-17 22:57:47: WARNING: SPI size isn't zero, but IKE proposal.
2012-12-17 22:57:48: ERROR: such policy does not already exist: "192.168.1.0/24[0] 192.168.0.0/24[0] proto=any dir=in"
2012-12-17 22:57:48: ERROR: such policy does not already exist: "192.168.1.0/24[0] 192.168.0.0/24[0] proto=any dir=fwd"
2012-12-17 22:57:48: ERROR: such policy does not already exist: "192.168.0.0/24[0] 192.168.1.0/24[0] proto=any dir=out"

Со стороны DI-804HV ping идут в 0.0, а со стороны linux шлюза в 1.0 не идут!

sudo setkey -D
95.XX.28.XXX 95.XX.52.XXX
        esp mode=tunnel spi=1476543092(0x58024274) reqid=0(0x00000000)
        E: 3des-cbc  1026dee8 0df73e83 849a763c ee1b221c c2cef481 4a6c4934
        A: hmac-md5  a57f356e a9cff753 c9152ab8 29b301b2
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Dec 17 23:11:04 2012   current: Dec 17 23:16:49 2012
        diff: 345(s)    hard: 28800(s)  soft: 23040(s)
        last: Dec 17 23:11:12 2012      hard: 0(s)      soft: 0(s)
        current: 1820(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 24   hard: 0 soft: 0
        sadb_seq=1 pid=24871 refcnt=0
95.XX.52.XXX 95.XX.28.XXX
        esp mode=tunnel spi=11352655(0x00ad3a4f) reqid=0(0x00000000)
        E: 3des-cbc  007d581f ff72a9dd 228053b4 b6cbc2a8 74443402 c4bfd87b
        A: hmac-md5  99c5e0db 40462847 f96d34ad f616a8f9
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Dec 17 23:11:04 2012   current: Dec 17 23:16:49 2012
        diff: 345(s)    hard: 28800(s)  soft: 23040(s)
        last: Dec 17 23:11:12 2012      hard: 0(s)      soft: 0(s)
        current: 1820(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 24   hard: 0 soft: 0
        sadb_seq=0 pid=24871 refcnt=0



racoon.conf
remote 95.XX.52.XXX
{
exchange_mode main,base;
lifetime time 86400 sec;
generate_policy on;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
proposal_check strict;

}

sainfo address 192.168.0.0/24 any address 192.168.1.0/24 any
{
pfs_group 2;
lifetime time 28800 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}

Пользователь решил продолжить мысль 18 Декабря 2012, 00:35:41:

перезапустил сервер....попробовал поднять туннель...и облом....не вышло
ERROR: can't start the quick mode, there is no ISAKMP-SA, 2e571adb8ee088f2:edfe05ec2e864030:000010a9
« Последнее редактирование: 19 Декабря 2012, 21:34:02 от djrust »

Оффлайн djrust

  • Автор темы
  • Активист
  • *
  • Сообщений: 861
    • Просмотр профиля
Re: DI-804hv + LINUX(ubuntu 10.04). Как сделать IPsec туннель?
« Ответ #1 : 19 Декабря 2012, 13:21:36 »
после этого повис DI-804HV

Перезапустил его и туннель снова работает!

Осталось разобраться как настроить маршрутизацию в сеть 1.0


Пользователь решил продолжить мысль 19 Декабря 2012, 20:20:52:
маршрутизацию пока не осилил......сеть 1.0 не доступна

Пользователь решил продолжить мысль 19 Декабря 2012, 21:33:37:
решение для локальной сети за Linux
sudo iptables -t nat -I POSTROUTING -d 192.168.1.0 -j ACCEPT

А с самого Linux так и не идет ping
Т.к у меня поднят был shorewall
помогла статья http://www.shorewall.net/IPSEC-2.6.html
« Последнее редактирование: 19 Декабря 2012, 21:33:37 от djrust »

Оффлайн djrust

  • Автор темы
  • Активист
  • *
  • Сообщений: 861
    • Просмотр профиля
Я так и не понял по как нормальному настроить это все....
Т.к один туннель поднимался без проблем, а второй не хотел....

Забил....поднял на старой машинке openvpn
+
настроил на keenetic giga openvpn client

на ddwrt (у dir620) Так и не поднял ....так как, там нету нужных настроек openvpn clienta (некоторые параметры моего сервера не совпадают)...Сервер перенастраивать не хотелось! Да и не прозрачно это! + Там ppoe не поднималось!

Сейчас попробую dir620 с прошивкой keenetic
« Последнее редактирование: 22 Декабря 2012, 18:12:28 от djrust »

 

Страница сгенерирована за 0.031 секунд. Запросов: 25.