From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: Date: Tue, 15 Jul 2003 23:02:19 +0600 From: Igor Solovyov To: community@altlinux.ru Subject: Re: [Comm] IPSec help need Message-Id: <20030715230219.27c8788e.gosha@zkb.ru> In-Reply-To: <20030715080633.GA5662@sysadm.hq.samkon.ru> References: <20030712135149.71cdf32b.gosha@zkb.ru> <20030715080633.GA5662@sysadm.hq.samkon.ru> Organization: JSC CB "Zlatcombank" X-Mailer: Sylpheed version 0.8.8 (GTK+ 1.2.10; i586-alt-linux-gnu) Mime-Version: 1.0 Content-Type: text/plain; charset=KOI8-R Content-Transfer-Encoding: 8bit X-BeenThere: community@altlinux.ru X-Mailman-Version: 2.1.2 Precedence: list Reply-To: community@altlinux.ru List-Id: List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Tue, 15 Jul 2003 17:02:24 -0000 Archived-At: List-Archive: List-Post: Hi! On Tue, 15 Jul 2003 12:06:33 +0400 svgol@samkon.ru wrote: > > А в /etc/ipsec.conf: > > > > xxx.xxx.xxx.2 yyy.yyy.yyy.2: PSK "My_Very_Secure_Key" > > имеется в виду /etc/ipsec.secrets? Да, конечно. Очепятка вышла. :-) > > если интерфейс ipsec0 до старта ipsec еще не существует? > > Я закинул туда 0 уже после поднятия ipsec0, это правильно? > > Из FAQ: > > To get rid of this message you can add the following rules > into your firewall configuration script: > > for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do > /bin/echo "0" > ${interface}; done это понятно, но это ничего не даст, поскольку ругань идет на интерфейс ipsec0, а его до запуска сервиса просто не существует. Он появляется при запуске сервиса и при этом и идет эта ругань. Я ничего лучше не придумал как закидывать туда 0 сразу после поднятия интерфейса. > > далее делаю: > > > > # ipsec manual --up My_Conn > > для "ручных" каналов нужно указывать ключи в файле > /etc/ipsec.conf или включать другой файл с ключами опцией also. > Если я правильно понял, Вы пытаетесь использовать общий ключ > из /etc/ipsec.secrets, а это уже"автоматический" канал. > Соответственно, команда > > ipsec auto --up My_Conn Я это позже понял и сечас именно auto и делаю. Теперь ситуация выглядит иначе. В логах: ipsec__plutorun: 104 "My_Conn" #1: STATE_MAIN_I1: initiate ipsec__plutorun: 106 "My_Conn" #1: STATE_MAIN_I2: sent MI2,expecting MR2 ipsec__plutorun: 003 "My_Conn" #1: ignoring Vendor ID payload last message repeated 3 times ipsec__plutorun: 108 "My_Conn" #1: STATE_MAIN_I3: sent MI3, expecting MR3 ipsec__plutorun: 004 "My_Conn" #1: STATE_MAIN_I4: ISAKMP SA established ipsec__plutorun: 112 "My_Conn" #2: STATE_QUICK_I1: initiate ipsec__plutorun: 003 "My_Conn" #2: ignoring informational payload, type IPSEC_RESPONDER_LIFETIME ipsec__plutorun: 004 "My_Conn" #2: STATE_QUICK_I2: sent QI2, IPsec SA established Выглядит вроде все нормально - "IPsec SA established." # ipsec eroute 0 192.168.63.0/24 -> 192.168.31.0/24 => tun0x1002@yyy.yyy.yyy.2 Вроде как все пучком. Однако: ping -I 192.168.63.200 192.168.31.99 PING 192.168.31.99 (192.168.31.99) from 192.168.63.200 : 56(84) bytes of data. --- 161.8.31.99 ping statistics --- 6 packets transmitted, 0 received, 100% loss, time 5011ms Не идет ни в какую. Фаервол проверил сто раз, ничего не режется, все что режется логируется, в логах ничего нет. :-((( tcpdump-ом смотрел и на физическом интерфейсе и на ipsec0, видно что от меня запросы идут. Не пойму в чем дело. На второй стороне стоит не Linux, а cisco. Тот админ говорит, что у него ругань "SA is doing unknown authentication." У него установлено: encr 3des, hash md5 У меня: esp=3des-md5-96 В общем пока полный затык. :-((( -- Best regards! Igor Solovyov System/network administrator JSC CB "Zlatkombank"