The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Странное поведение IPSec, прошу помощи"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (Маршрутизация, NAT / Linux)
Изначальное сообщение [ Отслеживать ]

"Странное поведение IPSec, прошу помощи"  +/
Сообщение от S1ash (ok) on 07-Июл-12, 04:02 
Доброго времени суток
на моей стороне CentOS на удаленной - Циска, за ней два астериска
был настроен тоннель, недавно упал и пошла какая-то билиберда


конфиг racoon:

path include "/usr/local/etc/";
path pre_shared_key "/usr/local/etc/psk.txt";
#path certificate "/etc/racoon/certs";
#


padding {
        maximum_length 20;
        randomize off;
        strict_check off;
        exclusive_tail off;
}


log debug2;

listen {
        isakmp          my_real_ip [500];

}

remote dest_real_ip {
        exchange_mode main;
        doi ipsec_doi;
        situation identity_only;
        nonce_size 16;
        lifetime time 28800 sec;
#       nat_traversal off;
        passive off;
        proposal_check obey;
        initial_contact on;
        support_proxy on;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                lifetime time 3600 sec;
                dh_group 2;
        }

}

sainfo (address my_lan_ip/29 any address dest_lan_ip/30 any) {
        pfs_group       2;
        lifetime        time 36000 sec;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}


sainfo (address my_lan_ip/29 any address dest_lannet_ip/25 any) {
        pfs_group       2;
        lifetime        time 36000 sec;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}


sainfo anonymous {
        pfs_group       2;
        lifetime        time 36000 sec;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

Конфиг setkey:
#!/usr/local/sbin/setkey -f

flush;
spdflush;

spdadd dest_lan_ip/30 my_lan_ip/29 any -P in ipsec esp/tunnel/dest_real_ip-my_real_ip/require;

spdadd dest_lannet_ip/25 dest_lan_ip/29 any -P in ipsec esp/tunnel/my_real_ip-dest_real_ip/require;

spdadd my_lan_ip/29 dest_lannet_ip/25 any -P out ipsec esp/tunnel/dest_real_ip-my_real_ip/require;

spdadd my_lan_ip/29 dest_lan_ip/30 any -P out ipsec esp/tunnel/dest_real_ip-my_real_ip/require;

для пояснения:
my_real_ip, dest_real_ip - внешние адреса серверов
my_lan_ipm dest_lan_ip - внутренние адреса серверов
dest_lannet_ip - подсеть с астерисками

ситуация такая:
адреса астерисков x.x.x.16 и x.x.x.35
по идее при маске x.x.x.0/25 должны быть видны оба. раньше работало - сейчас нет
сейчас прописываю в setkey.conf маску /27 вижу хост x.x.x.16
прописываю маску /26 - вижу хост x.x.x.35

удаленная сторона уверяет что ничего в настройках не менялось
уже крыша едет. в чем может быть загвоздка?
Заранее благодарю за помощь

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Странное поведение IPSec, прошу помощи"  +/
Сообщение от Дядя_Федор email on 07-Июл-12, 15:08 
А если поставить маску /24? :) Вы так все загадочно рассказываете, а IP не называете. Скажите, что ли, хотя бы крайний октет, раз уж шифруетесь. Будет хоть понятно - что Вы там маскируете.
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Странное поведение IPSec, прошу помощи"  +/
Сообщение от S1ash (ok) on 07-Июл-12, 15:30 
> А если поставить маску /24? :) Вы так все загадочно рассказываете, а
> IP не называете. Скажите, что ли, хотя бы крайний октет, раз
> уж шифруетесь. Будет хоть понятно - что Вы там маскируете.

а если поставить маску 24, то тоже нифига, соответственно ракун ругается на несовпадение настроек
ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
ERROR: error message: '4 '.

192.168.20.156-удаленный шлюз
192.168.22.162-мой локальный адрес
83.242.231.0 - сетка с астерисками

spdadd 192.168.20.156/30 192.168.22.160/29 any -P in ipsec esp/tunnel/my_real_ip-dest_real_ip/require;

spdadd 83.242.231.0/25 192.168.22.160/29 any -P in ipsec esp/tunnel/dest_real_ip-my_real_ip/require;

spdadd 192.168.22.160/29 83.242.231.0/25 any -P out ipsec esp/tunnel/my_real_ip-dest_real_ip/require;

spdadd 192.168.22.160/29 192.168.20.156/30 any -P out ipsec esp/tunnel/my_real_ip-dest_real_ip/require;

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Странное поведение IPSec, прошу помощи"  +/
Сообщение от S1ash (ok) on 07-Июл-12, 15:36 
http://pastebin.com/VEwF1d58
вот лог енота
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Странное поведение IPSec, прошу помощи"  +/
Сообщение от Аноним (??) on 08-Июл-12, 16:48 
>[оверквотинг удален]
> несовпадение настроек
> ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
> ERROR: error message: '4 '.
> 192.168.20.156-удаленный шлюз
> 192.168.22.162-мой локальный адрес
> 83.242.231.0 - сетка с астерисками
> spdadd 192.168.20.156/30 192.168.22.160/29 any -P in ipsec esp/tunnel/my_real_ip-dest_real_ip/require;
> spdadd 83.242.231.0/25 192.168.22.160/29 any -P in ipsec esp/tunnel/dest_real_ip-my_real_ip/require;
> spdadd 192.168.22.160/29 83.242.231.0/25 any -P out ipsec esp/tunnel/my_real_ip-dest_real_ip/require;
> spdadd 192.168.22.160/29 192.168.20.156/30 any -P out ipsec esp/tunnel/my_real_ip-dest_real_ip/require;

Попробуйте в конфиге setkey заменить "require" на "unique"


Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Странное поведение IPSec, прошу помощи"  +/
Сообщение от S1ash (ok) on 08-Июл-12, 16:50 
>[оверквотинг удален]
>> ERROR: notification NO-PROPOSAL-CHOSEN received in informational exchange.
>> ERROR: error message: '4 '.
>> 192.168.20.156-удаленный шлюз
>> 192.168.22.162-мой локальный адрес
>> 83.242.231.0 - сетка с астерисками
>> spdadd 192.168.20.156/30 192.168.22.160/29 any -P in ipsec esp/tunnel/my_real_ip-dest_real_ip/require;
>> spdadd 83.242.231.0/25 192.168.22.160/29 any -P in ipsec esp/tunnel/dest_real_ip-my_real_ip/require;
>> spdadd 192.168.22.160/29 83.242.231.0/25 any -P out ipsec esp/tunnel/my_real_ip-dest_real_ip/require;
>> spdadd 192.168.22.160/29 192.168.20.156/30 any -P out ipsec esp/tunnel/my_real_ip-dest_real_ip/require;
> Попробуйте в конфиге setkey заменить "require" на "unique"

пробовал, не помогает. работало с require

Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей 		Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру