From: Igor Solovyov <gosha@zkb.ru> To: community@altlinux.ru Subject: Re: [Comm] IPSec help need Date: Tue, 15 Jul 2003 23:02:19 +0600 Message-ID: <20030715230219.27c8788e.gosha@zkb.ru> (raw) In-Reply-To: <20030715080633.GA5662@sysadm.hq.samkon.ru> Hi! On Tue, 15 Jul 2003 12:06:33 +0400 svgol@samkon.ru wrote: > > А в /etc/ipsec.conf: > > > > xxx.xxx.xxx.2 yyy.yyy.yyy.2: PSK "My_Very_Secure_Key" > > имеется в виду /etc/ipsec.secrets? Да, конечно. Очепятка вышла. :-) > > если интерфейс ipsec0 до старта ipsec еще не существует? > > Я закинул туда 0 уже после поднятия ipsec0, это правильно? > > Из FAQ: > > To get rid of this message you can add the following rules > into your firewall configuration script: > > for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do > /bin/echo "0" > ${interface}; done это понятно, но это ничего не даст, поскольку ругань идет на интерфейс ipsec0, а его до запуска сервиса просто не существует. Он появляется при запуске сервиса и при этом и идет эта ругань. Я ничего лучше не придумал как закидывать туда 0 сразу после поднятия интерфейса. > > далее делаю: > > > > # ipsec manual --up My_Conn > > для "ручных" каналов нужно указывать ключи в файле > /etc/ipsec.conf или включать другой файл с ключами опцией also. > Если я правильно понял, Вы пытаетесь использовать общий ключ > из /etc/ipsec.secrets, а это уже"автоматический" канал. > Соответственно, команда > > ipsec auto --up My_Conn Я это позже понял и сечас именно auto и делаю. Теперь ситуация выглядит иначе. В логах: ipsec__plutorun: 104 "My_Conn" #1: STATE_MAIN_I1: initiate ipsec__plutorun: 106 "My_Conn" #1: STATE_MAIN_I2: sent MI2,expecting MR2 ipsec__plutorun: 003 "My_Conn" #1: ignoring Vendor ID payload last message repeated 3 times ipsec__plutorun: 108 "My_Conn" #1: STATE_MAIN_I3: sent MI3, expecting MR3 ipsec__plutorun: 004 "My_Conn" #1: STATE_MAIN_I4: ISAKMP SA established ipsec__plutorun: 112 "My_Conn" #2: STATE_QUICK_I1: initiate ipsec__plutorun: 003 "My_Conn" #2: ignoring informational payload, type IPSEC_RESPONDER_LIFETIME ipsec__plutorun: 004 "My_Conn" #2: STATE_QUICK_I2: sent QI2, IPsec SA established Выглядит вроде все нормально - "IPsec SA established." # ipsec eroute 0 192.168.63.0/24 -> 192.168.31.0/24 => tun0x1002@yyy.yyy.yyy.2 Вроде как все пучком. Однако: ping -I 192.168.63.200 192.168.31.99 PING 192.168.31.99 (192.168.31.99) from 192.168.63.200 : 56(84) bytes of data. --- 161.8.31.99 ping statistics --- 6 packets transmitted, 0 received, 100% loss, time 5011ms Не идет ни в какую. Фаервол проверил сто раз, ничего не режется, все что режется логируется, в логах ничего нет. :-((( tcpdump-ом смотрел и на физическом интерфейсе и на ipsec0, видно что от меня запросы идут. Не пойму в чем дело. На второй стороне стоит не Linux, а cisco. Тот админ говорит, что у него ругань "SA is doing unknown authentication." У него установлено: encr 3des, hash md5 У меня: esp=3des-md5-96 В общем пока полный затык. :-((( -- Best regards! Igor Solovyov System/network administrator JSC CB "Zlatkombank"
next prev parent reply other threads:[~2003-07-15 17:02 UTC|newest] Thread overview: 9+ messages / expand[flat|nested] mbox.gz Atom feed top 2003-07-12 7:51 Igor Solovyov 2003-07-15 8:06 ` svgol 2003-07-15 17:02 ` Igor Solovyov [this message] 2003-07-16 9:56 ` svgol 2003-07-16 10:53 ` Dmitriy Gnidchenko 2003-07-16 11:18 ` Igor Solovyov 2003-07-16 11:44 ` Dmitriy Gnidchenko 2003-07-16 15:56 ` Igor Solovyov 2003-07-16 16:23 ` Dmitriy Gnidchenko
Reply instructions: You may reply publicly to this message via plain-text email using any one of the following methods: * Save the following mbox file, import it into your mail client, and reply-to-all from there: mbox Avoid top-posting and favor interleaved quoting: https://en.wikipedia.org/wiki/Posting_style#Interleaved_style * Reply using the --to, --cc, and --in-reply-to switches of git-send-email(1): git send-email \ --in-reply-to=20030715230219.27c8788e.gosha@zkb.ru \ --to=gosha@zkb.ru \ --cc=community@altlinux.ru \ /path/to/YOUR_REPLY https://kernel.org/pub/software/scm/git/docs/git-send-email.html * If your mail client supports setting the In-Reply-To header via mailto: links, try the mailto: link
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git