* [Comm] Fwd: Re: Поддержка IPSEC в Master 4.0 (openswan)
@ 2007-10-23 14:54 Michael Shigorin
2007-10-23 15:18 ` Пустовит Михаил Анатольевич
2007-10-24 3:28 ` [Comm] " Kostarev Alexey
0 siblings, 2 replies; 7+ messages in thread
From: Michael Shigorin @ 2007-10-23 14:54 UTC (permalink / raw)
To: community
(http://fly.osdn.org.ua/~sinister/packages/)
----- Forwarded message from alex_sinister <alex_sinister/ukr.net> -----
Date: Tue, 23 Oct 2007 17:53:24 +0300
From: alex_sinister <alex_sinister/ukr.net>
To: Michael Shigorin <shigorin/gmail.com>
Subject: Re: [Comm] Поддержка IPSEC в Master 4.0 (openswan)
Мы используем strongswan. Он прекрасно работает без клипсов в связке
strongswan <-> strongswan.
Должно работать и в связке с openswan/freeswan. Тормозов на поднятии
особо не замечено.
Kostarev Alexey пишет:
>Пустовит Михаил Анатольевич wrote:
>
>>>>Начал собирать module (KLIPS), и programs.
>>>>
>>>Для KLIPS едро патчили, или отдельный kernel-modules можно
>>>собрать?
>>>
>>
>>Ядро не патчил. Собрал отдельным пакетом, внутри только ipsec.ko
>>
>>
>Добрый день, Михаил!
>Тред я завел где-то месяц назад.
>С тех пор проблему решил установкой freeswan - благо фйалы
>конфигурации близки в openswan.
>Но не могу сказать что пролностью доволен - ктннекты встают но
>медленно-медленно,
>да и отсутствие интерфейса напрягает (не рискнул пропатчить ядро).
>Работу правда уже cдал, но посмотреть на Ваш openswan хотелось бы.
>Где можно посмотреть пакет?
----- End forwarded message -----
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
---- Oct 26--27, Kiev, Ukraine:
-- http://conference.osdn.org.ua
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] Fwd: Re: Поддержка IPSEC в Master 4.0 (openswan)
2007-10-23 14:54 [Comm] Fwd: Re: Поддержка IPSEC в Master 4.0 (openswan) Michael Shigorin
@ 2007-10-23 15:18 ` Пустовит Михаил Анатольевич
2007-10-23 21:58 ` Grigory Milev
2007-10-24 3:28 ` [Comm] " Kostarev Alexey
1 sibling, 1 reply; 7+ messages in thread
From: Пустовит Михаил Анатольевич @ 2007-10-23 15:18 UTC (permalink / raw)
To: shigorin, ALT Linux Community general discussions
>Мы используем strongswan. Он прекрасно работает без клипсов в связке
>strongswan <-> strongswan.
Ну это понятно. Openswan тоже прекрасно работает без клипса, на неткее.
Только вот с клипсом гораздо удобнее строить фаерволы.
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] Fwd: Re: Поддержка IPSEC в Master 4.0 (openswan)
2007-10-23 15:18 ` Пустовит Михаил Анатольевич
@ 2007-10-23 21:58 ` Grigory Milev
2007-10-24 8:40 ` Michael Shigorin
0 siblings, 1 reply; 7+ messages in thread
From: Grigory Milev @ 2007-10-23 21:58 UTC (permalink / raw)
To: ALT Linux Community general discussions
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Пустовит Михаил Анатольевич пишет:
>> Мы используем strongswan. Он прекрасно работает без клипсов в связке
>> strongswan <-> strongswan.
>
> Ну это понятно. Openswan тоже прекрасно работает без клипса, на неткее.
> Только вот с клипсом гораздо удобнее строить фаерволы.
>
> _______________________________________________
> community mailing list
> community@lists.altlinux.org
> https://lists.altlinux.org/mailman/listinfo/community
Есть strongswan - работает отлично, могу подлится.
- --
+--------------------------------------------------------+
Grigory Milev mailto:week@altlinux.ru
ALT Linux Team http://www.altlinux.ru
+--------------------------------------------------------+
Life too beautiful and interesting. Don't worry, be happy.
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.7 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
iD8DBQFHHm5zRtryFLpd500RAiYYAJ4tPu8H2UEnG8nmIf+9DQziOUt8PQCgqyT5
3u+vt7A7mhVkh1sfzmecMjQ=
=0tj+
-----END PGP SIGNATURE-----
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] Fwd: Re: Поддержка IPSEC в Master 4.0 (openswan)
2007-10-23 14:54 [Comm] Fwd: Re: Поддержка IPSEC в Master 4.0 (openswan) Michael Shigorin
2007-10-23 15:18 ` Пустовит Михаил Анатольевич
@ 2007-10-24 3:28 ` Kostarev Alexey
2007-10-24 7:52 ` Пустовит Михаил Анатольевич
1 sibling, 1 reply; 7+ messages in thread
From: Kostarev Alexey @ 2007-10-24 3:28 UTC (permalink / raw)
To: shigorin, ALT Linux Community general discussions
[-- Attachment #1: Type: text/plain, Size: 1890 bytes --]
Michael Shigorin wrote:
>(http://fly.osdn.org.ua/~sinister/packages/)
>
>----- Forwarded message from alex_sinister <alex_sinister/ukr.net> -----
>
>Date: Tue, 23 Oct 2007 17:53:24 +0300
>From: alex_sinister <alex_sinister/ukr.net>
>To: Michael Shigorin <shigorin/gmail.com>
>Subject: Re: [Comm] Поддержка IPSEC в Master 4.0 (openswan)
>
>Мы используем strongswan. Он прекрасно работает без клипсов в связке
>strongswan <-> strongswan.
>Должно работать и в связке с openswan/freeswan. Тормозов на поднятии
>особо не замечено.
>
>
>
Спасибо Михаил -
проверяно - работает.
Н у меня три сервера с тремя локальными подсетями.
В связи с этим с каждой стороны надо поднимать по три коннекта на
кадлый сервер:
сервер1 <-> сервер2
локальная_сеть_1 -- сервер1 <-> сервер2
локальная_сеть_1 -- сервер1 <-> сервер2 -- локальная_сеть_2
сервер1 <-> сервер3
локальная_сеть_1 -- сервер1 <-> сервер3
локальная_сеть_1 -- сервер1 <-> сервер3 -- локальная_сеть_3
Пока они все между собой договорятся - минут 5-10 проходит :-(
>Kostarev Alexey пишет:
>
>
>>Пустовит Михаил Анатольевич wrote:
>>
>>
>>
>>>>>Начал собирать module (KLIPS), и programs.
>>>>>
>>>>>
>>>>>
>>>>Для KLIPS едро патчили, или отдельный kernel-modules можно
>>>>собрать?
>>>>
>>>>
>>>>
>>>Ядро не патчил. Собрал отдельным пакетом, внутри только ipsec.ko
>>>
>>>
>>>
>>>
>>Добрый день, Михаил!
>>Тред я завел где-то месяц назад.
>>С тех пор проблему решил установкой freeswan - благо фйалы
>>конфигурации близки в openswan.
>>Но не могу сказать что пролностью доволен - ктннекты встают но
>>медленно-медленно,
>>да и отсутствие интерфейса напрягает (не рискнул пропатчить ядро).
>>Работу правда уже cдал, но посмотреть на Ваш openswan хотелось бы.
>>Где можно посмотреть пакет?
>>
>>
>
>----- End forwarded message -----
>
>
>
--
С Уважением
Директор ООО НЕВОД
Костарев А.Ф.
[-- Attachment #2: kaf.vcf --]
[-- Type: text/x-vcard, Size: 202 bytes --]
begin:vcard
fn:Alexey Kostarev
n:Kostarev;Alexey
org:Nevod Ltd.
adr:;;;Perm;;;Russia
email;internet:kaf@nevod.ru
tel;work:(3422) 196-960
url:http://www.nevod.ru/nevod/staff/kaf/
version:2.1
end:vcard
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] Fwd: Re: Поддержка IPSEC в Master 4.0 (openswan)
2007-10-24 3:28 ` [Comm] " Kostarev Alexey
@ 2007-10-24 7:52 ` Пустовит Михаил Анатольевич
0 siblings, 0 replies; 7+ messages in thread
From: Пустовит Михаил Анатольевич @ 2007-10-24 7:52 UTC (permalink / raw)
To: ALT Linux Community general discussions
>Н у меня три сервера с тремя локальными подсетями.
>В связи с этим с каждой стороны надо поднимать по три коннекта на
>кадлый сервер:
>сервер1 <-> сервер2
>локальная_сеть_1 -- сервер1 <-> сервер2
>локальная_сеть_1 -- сервер1 <-> сервер2 -- локальная_сеть_2
>сервер1 <-> сервер3
>локальная_сеть_1 -- сервер1 <-> сервер3
>локальная_сеть_1 -- сервер1 <-> сервер3 -- локальная_сеть_3
>Пока они все между собой договорятся - минут 5-10 проходит :-(
Хм, очень странно. У меня сервер с опенсваном конектится с циской, IKE, PSK, за циской 3 подсети шифруется, соответственно 3 SA, и этот же сервер конектится на другую машину с опенсваном, там 2 подсети. Связь устанавливается мочти моментально.
^ permalink raw reply [flat|nested] 7+ messages in thread
* Re: [Comm] Fwd: Re: Поддержка IPSEC в Master 4.0 (openswan)
2007-10-23 21:58 ` Grigory Milev
@ 2007-10-24 8:40 ` Michael Shigorin
2007-11-26 7:13 ` [Comm] Постоянные попытки установить коннект при уже установленном соединении WAS: " Kostarev Alexey
0 siblings, 1 reply; 7+ messages in thread
From: Michael Shigorin @ 2007-10-24 8:40 UTC (permalink / raw)
To: ALT Linux Community general discussions
On Wed, Oct 24, 2007 at 12:58:11AM +0300, Grigory Milev wrote:
> >> Мы используем strongswan. Он прекрасно работает без клипсов
> >> в связке strongswan <-> strongswan.
> > Ну это понятно. Openswan тоже прекрасно работает без клипса,
> > на неткее. Только вот с клипсом гораздо удобнее строить
> > фаерволы.
> Есть strongswan - работает отлично, могу подлится.
Гриш, с каких пор ты-то стал зажимать пакеты под мышкой? ;-)
Делись, конечно!
--
---- WBR, Michael Shigorin <mike@altlinux.ru>
------ Linux.Kiev http://www.linux.kiev.ua/
---- Oct 26--27, Kiev, Ukraine:
-- http://conference.osdn.org.ua
^ permalink raw reply [flat|nested] 7+ messages in thread
* [Comm] Постоянные попытки установить коннект при уже установленном соединении WAS: Re: Fwd: Re: Поддержка IPSEC в Master 4.0 (openswan)
2007-10-24 8:40 ` Michael Shigorin
@ 2007-11-26 7:13 ` Kostarev Alexey
0 siblings, 0 replies; 7+ messages in thread
From: Kostarev Alexey @ 2007-11-26 7:13 UTC (permalink / raw)
To: shigorin, ALT Linux Community general discussions
[-- Attachment #1: Type: text/plain, Size: 5519 bytes --]
Michael Shigorin wrote:
>On Wed, Oct 24, 2007 at 12:58:11AM +0300, Grigory Milev wrote:
>
>
>>>>Мы используем strongswan. Он прекрасно работает без клипсов
>>>>в связке strongswan <-> strongswan.
>>>>
>>>>
>>>Ну это понятно. Openswan тоже прекрасно работает без клипса,
>>>на неткее. Только вот с клипсом гораздо удобнее строить
>>>фаерволы.
>>>
>>>
>>Есть strongswan - работает отлично, могу подлится.
>>
>>
Добрый день!
По поводу strongswan - коннект устанавливается нормально.
Был у меня в одном варианте тормоз с установкой соединени я- но тут сам
виноват - включил максимум отладки -
из за нее и притормаживал...
Проблема сейчас в другом - соединение устанавливается довольно быстро,
но после установки соединения продолжаются попытки
установить уже установленное соединение (по моим впечатлениям)
Команда
ipsec status выдает:
000 "telecom-to-tplus":
195.222.159.130[@tplus.perm.ru]---195.222.159.129...195.222.153.193---195.222.153.194[@telecom.perm.
ru]; erouted; eroute owner: #359955
000 "telecom-to-tplus": newest ISAKMP SA: #357471; newest IPsec SA:
#359955;
000 "telecom-to-tplusnet":
192.168.1.0/24===195.222.159.130[@tplus.perm.ru]---195.222.159.129...195.222.153.193---195.222.15
3.194[@telecom.perm.ru]; erouted; eroute owner: #359952
000 "telecom-to-tplusnet": newest ISAKMP SA: #0; newest IPsec SA: #359952;
000 "telecomnet-to-tplus":
195.222.159.130[@tplus.perm.ru]---195.222.159.129...195.222.153.193---195.222.153.194[@telecom.pe
rm.ru]===192.168.0.0/24; erouted; eroute owner: #359953
000 "telecomnet-to-tplus": newest ISAKMP SA: #0; newest IPsec SA: #359953;
000 "telecomnet-to-tplusnet":
192.168.1.0/24===195.222.159.130[@tplus.perm.ru]---195.222.159.129...195.222.153.193---195.222
.153.194[@telecom.perm.ru]===192.168.0.0/24; erouted; eroute owner: #359954
000 "telecomnet-to-tplusnet": newest ISAKMP SA: #0; newest IPsec SA:
#359954;
000 "tplus-to-consudm":
195.222.159.130[@tplus.perm.ru]---195.222.159.129...87.117.155.137---87.117.155.138[@consudm.ru];
er
outed; eroute owner: #359959
000 "tplus-to-consudm": newest ISAKMP SA: #352548; newest IPsec SA:
#359959;
000 "tplus-to-consudmnet":
195.222.159.130[@tplus.perm.ru]---195.222.159.129...87.117.155.137---87.117.155.138[@consudm.ru]=
==192.168.2.0/24; erouted; eroute owner: #359956
000 "tplus-to-consudmnet": newest ISAKMP SA: #352949; newest IPsec SA:
#359956;
000 "tplusnet-to-consudm":
192.168.1.0/24===195.222.159.130[@tplus.perm.ru]---195.222.159.129...87.117.155.137---87.117.155.
138[@consudm.ru]; erouted; eroute owner: #359957
000 "tplusnet-to-consudm": newest ISAKMP SA: #0; newest IPsec SA: #359957;
000 "tplusnet-to-consudmnet":
192.168.1.0/24===195.222.159.130[@tplus.perm.ru]---195.222.159.129...87.117.155.137---87.117.1
55.138[@consudm.ru]===192.168.2.0/24; erouted; eroute owner: #359958
000 "tplusnet-to-consudmnet": newest ISAKMP SA: #0; newest IPsec SA:
#359958;
000
000 #357466: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_REPLACE in 44s
000 #357466: "telecom-to-tplus" esp.3ad90d15@195.222.153.194 (200 bytes)
esp.fc8f26e3@195.222.159.130 (0 bytes); tunnel
000 #357458: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_EXPIRE in 674s
000 #357458: "telecom-to-tplus" esp.3ad90d10@195.222.153.194 (200 bytes)
esp.d17fd0d3@195.222.159.130 (0 bytes); tunnel
000 #357450: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_EXPIRE in 667s
000 #357450: "telecom-to-tplus" esp.3ad90d0c@195.222.153.194 (200 bytes)
esp.d0903130@195.222.159.130 (133 bytes); tunnel
000 #357442: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_REPLACE in 23s
000 #357442: "telecom-to-tplus" esp.3ad90d09@195.222.153.194 (200 bytes)
esp.7abae1c1@195.222.159.130 (133 bytes); tunnel
000 #357434: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_REPLACE in 36s
000 #357434: "telecom-to-tplus" esp.3ad90d05@195.222.153.194 (0 bytes)
esp.e2c1a579@195.222.159.130 (133 bytes); tunnel
000 #357426: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_EXPIRE in 647s
000 #357426: "telecom-to-tplus" esp.3ad90d01@195.222.153.194 (0 bytes)
esp.fa657f27@195.222.159.130 (133 bytes); tunnel
000 #357418: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_EXPIRE in 641s
000 #357418: "telecom-to-tplus" esp.3ad90cfd@195.222.153.194 (0 bytes)
esp.6207bd1e@195.222.159.130 (0 bytes); tunnel
000 #357410: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_EXPIRE in 635s
000 #357410: "telecom-to-tplus" esp.3ad90cf9@195.222.153.194 (0 bytes)
esp.5ff2391a@195.222.159.130 (0 bytes); tunnel
000 #357402: "telecom-to-tplus" STATE_QUICK_I2 (sent QI2, IPsec SA
established); EVENT_SA_EXPIRE in 628s
И таких строк с STATE_QUICK_I2 (sent QI2, IPsec SA established) уже за 3
тысячи.
Причем соединение telecom-to-tlus стоит и работает...
tcpdump по интерфейсу выдает:
15:10:25.756003 IP 195.222.159.130.isakmp > 195.222.153.194.isakmp:
isakmp: phase 2/others ? inf[E]
15:10:26.031241 IP 195.222.153.194.isakmp > 195.222.159.130.isakmp:
isakmp: phase 2/others ? inf[E]
15:10:26.036694 IP 195.222.159.130.isakmp > 195.222.153.194.isakmp:
isakmp: phase 2/others ? inf[E]
15:10:26.038604 IP 195.222.159.130.isakmp > 195.222.153.194.isakmp:
isakmp: phase 2/others ? inf[E]
...
Никто не сталкивался с такой ситуацией?
--
С Уважением
Директор ООО НЕВОД
Костарев А.Ф.
[-- Attachment #2: kaf.vcf --]
[-- Type: text/x-vcard, Size: 202 bytes --]
begin:vcard
fn:Alexey Kostarev
n:Kostarev;Alexey
org:Nevod Ltd.
adr:;;;Perm;;;Russia
email;internet:kaf@nevod.ru
tel;work:(3422) 196-960
url:http://www.nevod.ru/nevod/staff/kaf/
version:2.1
end:vcard
^ permalink raw reply [flat|nested] 7+ messages in thread
end of thread, other threads:[~2007-11-26 7:13 UTC | newest]
Thread overview: 7+ messages (download: mbox.gz / follow: Atom feed)
-- links below jump to the message on this page --
2007-10-23 14:54 [Comm] Fwd: Re: Поддержка IPSEC в Master 4.0 (openswan) Michael Shigorin
2007-10-23 15:18 ` Пустовит Михаил Анатольевич
2007-10-23 21:58 ` Grigory Milev
2007-10-24 8:40 ` Michael Shigorin
2007-11-26 7:13 ` [Comm] Постоянные попытки установить коннект при уже установленном соединении WAS: " Kostarev Alexey
2007-10-24 3:28 ` [Comm] " Kostarev Alexey
2007-10-24 7:52 ` Пустовит Михаил Анатольевич
ALT Linux Community general discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 community community/ http://lore.altlinux.org/community \
mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com
public-inbox-index community
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.community
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git