From: Igor Solovyov <gosha@zkb.ru>
To: community@altlinux.ru
Subject: Re: [Comm] IPSec help need
Date: Tue, 15 Jul 2003 23:02:19 +0600
Message-ID: <20030715230219.27c8788e.gosha@zkb.ru> (raw)
In-Reply-To: <20030715080633.GA5662@sysadm.hq.samkon.ru>
Hi!
On Tue, 15 Jul 2003 12:06:33 +0400
svgol@samkon.ru wrote:
> > А в /etc/ipsec.conf:
> >
> > xxx.xxx.xxx.2 yyy.yyy.yyy.2: PSK "My_Very_Secure_Key"
>
> имеется в виду /etc/ipsec.secrets?
Да, конечно. Очепятка вышла. :-)
> > если интерфейс ipsec0 до старта ipsec еще не существует?
> > Я закинул туда 0 уже после поднятия ipsec0, это правильно?
>
> Из FAQ:
>
> To get rid of this message you can add the following rules
> into your firewall configuration script:
>
> for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do
> /bin/echo "0" > ${interface}; done
это понятно, но это ничего не даст, поскольку ругань
идет на интерфейс ipsec0, а его до запуска сервиса
просто не существует. Он появляется при запуске сервиса
и при этом и идет эта ругань. Я ничего лучше не придумал
как закидывать туда 0 сразу после поднятия интерфейса.
> > далее делаю:
> >
> > # ipsec manual --up My_Conn
>
> для "ручных" каналов нужно указывать ключи в файле
> /etc/ipsec.conf или включать другой файл с ключами опцией also.
> Если я правильно понял, Вы пытаетесь использовать общий ключ
> из /etc/ipsec.secrets, а это уже"автоматический" канал.
> Соответственно, команда
>
> ipsec auto --up My_Conn
Я это позже понял и сечас именно auto и делаю.
Теперь ситуация выглядит иначе. В логах:
ipsec__plutorun: 104 "My_Conn" #1: STATE_MAIN_I1: initiate
ipsec__plutorun: 106 "My_Conn" #1: STATE_MAIN_I2: sent
MI2,expecting MR2
ipsec__plutorun: 003 "My_Conn" #1: ignoring Vendor ID payload
last message repeated 3 times
ipsec__plutorun: 108 "My_Conn" #1: STATE_MAIN_I3: sent MI3,
expecting MR3
ipsec__plutorun: 004 "My_Conn" #1: STATE_MAIN_I4: ISAKMP SA
established
ipsec__plutorun: 112 "My_Conn" #2: STATE_QUICK_I1: initiate
ipsec__plutorun: 003 "My_Conn" #2: ignoring informational
payload, type IPSEC_RESPONDER_LIFETIME
ipsec__plutorun: 004 "My_Conn" #2: STATE_QUICK_I2: sent QI2,
IPsec SA established
Выглядит вроде все нормально - "IPsec SA established."
# ipsec eroute
0 192.168.63.0/24 -> 192.168.31.0/24 => tun0x1002@yyy.yyy.yyy.2
Вроде как все пучком. Однако:
ping -I 192.168.63.200 192.168.31.99
PING 192.168.31.99 (192.168.31.99) from 192.168.63.200 : 56(84)
bytes of data.
--- 161.8.31.99 ping statistics ---
6 packets transmitted, 0 received, 100% loss, time 5011ms
Не идет ни в какую. Фаервол проверил сто раз, ничего не режется,
все что режется логируется, в логах ничего нет. :-(((
tcpdump-ом смотрел и на физическом интерфейсе и на ipsec0,
видно что от меня запросы идут. Не пойму в чем дело.
На второй стороне стоит не Linux, а cisco. Тот админ говорит,
что у него ругань "SA is doing unknown authentication."
У него установлено: encr 3des, hash md5
У меня: esp=3des-md5-96
В общем пока полный затык. :-(((
--
Best regards!
Igor Solovyov
System/network administrator
JSC CB "Zlatkombank"
next prev parent reply other threads:[~2003-07-15 17:02 UTC|newest]
Thread overview: 9+ messages / expand[flat|nested] mbox.gz Atom feed top
2003-07-12 7:51 Igor Solovyov
2003-07-15 8:06 ` svgol
2003-07-15 17:02 ` Igor Solovyov [this message]
2003-07-16 9:56 ` svgol
2003-07-16 10:53 ` Dmitriy Gnidchenko
2003-07-16 11:18 ` Igor Solovyov
2003-07-16 11:44 ` Dmitriy Gnidchenko
2003-07-16 15:56 ` Igor Solovyov
2003-07-16 16:23 ` Dmitriy Gnidchenko
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to=20030715230219.27c8788e.gosha@zkb.ru \
--to=gosha@zkb.ru \
--cc=community@altlinux.ru \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git