* [Comm] IPSec help need @ 2003-07-12 7:51 Igor Solovyov 2003-07-15 8:06 ` svgol 0 siblings, 1 reply; 9+ messages in thread From: Igor Solovyov @ 2003-07-12 7:51 UTC (permalink / raw) To: Community Hi All! Возникли некотрые вопросы: Пытаюсь поднять ipsec, прописал /etc/ipsec.conf: # basic configuration config setup interfaces="ipsec0=eth2:0" klipsdebug=none plutodebug=none plutoload=%search plutostart=%search uniqueids=yes conn My_Conn type=tunnel left=xxx.xxx.xxx.2 leftsubnet=192.168.63.0/24 leftnexthop=xxx.xxx.xxx.1 right=yyy.yyy.yyy.2 rightsubnet=192.168.31.0/24 rightnexthop=yyy.yyy.yyy.1 auth=esp spibase=0x200 esp=3des-md5-96 keyexchange=ike keylife=8h keyingtries=0 auto=add А в /etc/ipsec.conf: xxx.xxx.xxx.2 yyy.yyy.yyy.2: PSK "My_Very_Secure_Key" стартую - service ipsec start, а в логах вижу: WARNING: ipsec0 has route filtering turned on, KLIPS may not work (/proc/sys/net/ipv4/conf/ipsec0/rp_filter = `1', should be 0) Вопрос 1: Интересно как это я должен сделать /proc/sys/net/ipv4/conf/ipsec0/rp_filter=0 если интерфейс ipsec0 до старта ipsec еще не существует? Я закинул туда 0 уже после поднятия ipsec0, это правильно? далее делаю: # ipsec manual --up My_Conn получаю: /usr/lib/ipsec/spi --label My_Conn: Trouble building key_a extension, error=-22. Вопрос 2: что я сделал неправильно? -- Best regards! Igor Solovyov System/network administrator JSC CB "Zlatkombank" ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] IPSec help need 2003-07-12 7:51 [Comm] IPSec help need Igor Solovyov @ 2003-07-15 8:06 ` svgol 2003-07-15 17:02 ` Igor Solovyov 0 siblings, 1 reply; 9+ messages in thread From: svgol @ 2003-07-15 8:06 UTC (permalink / raw) To: Community On 12 Jul Sat 13:51, Igor Solovyov wrote: <skip> > > А в /etc/ipsec.conf: > > xxx.xxx.xxx.2 yyy.yyy.yyy.2: PSK "My_Very_Secure_Key" имеется в виду /etc/ipsec.secrets? > стартую - service ipsec start, а в логах вижу: > > WARNING: ipsec0 has route filtering turned on, KLIPS > may not work (/proc/sys/net/ipv4/conf/ipsec0/rp_filter = `1', > should be 0) > > Вопрос 1: > Интересно как это я должен сделать > /proc/sys/net/ipv4/conf/ipsec0/rp_filter=0 > если интерфейс ipsec0 до старта ipsec еще не существует? > Я закинул туда 0 уже после поднятия ipsec0, это правильно? Из FAQ: To get rid of this message you can add the following rules into your firewall configuration script: for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do /bin/echo "0" > ${interface}; done > > далее делаю: > > # ipsec manual --up My_Conn для "ручных" каналов нужно указывать ключи в файле /etc/ipsec.conf или включать другой файл с ключами опцией also. Если я правильно понял, Вы пытаетесь использовать общий ключ из /etc/ipsec.secrets, а это уже "автоматический" канал. Соответственно, команда ipsec auto --up My_Conn -- Sergey V. Golovin ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] IPSec help need 2003-07-15 8:06 ` svgol @ 2003-07-15 17:02 ` Igor Solovyov 2003-07-16 9:56 ` svgol 0 siblings, 1 reply; 9+ messages in thread From: Igor Solovyov @ 2003-07-15 17:02 UTC (permalink / raw) To: community Hi! On Tue, 15 Jul 2003 12:06:33 +0400 svgol@samkon.ru wrote: > > А в /etc/ipsec.conf: > > > > xxx.xxx.xxx.2 yyy.yyy.yyy.2: PSK "My_Very_Secure_Key" > > имеется в виду /etc/ipsec.secrets? Да, конечно. Очепятка вышла. :-) > > если интерфейс ipsec0 до старта ipsec еще не существует? > > Я закинул туда 0 уже после поднятия ipsec0, это правильно? > > Из FAQ: > > To get rid of this message you can add the following rules > into your firewall configuration script: > > for interface in /proc/sys/net/ipv4/conf/*/rp_filter; do > /bin/echo "0" > ${interface}; done это понятно, но это ничего не даст, поскольку ругань идет на интерфейс ipsec0, а его до запуска сервиса просто не существует. Он появляется при запуске сервиса и при этом и идет эта ругань. Я ничего лучше не придумал как закидывать туда 0 сразу после поднятия интерфейса. > > далее делаю: > > > > # ipsec manual --up My_Conn > > для "ручных" каналов нужно указывать ключи в файле > /etc/ipsec.conf или включать другой файл с ключами опцией also. > Если я правильно понял, Вы пытаетесь использовать общий ключ > из /etc/ipsec.secrets, а это уже"автоматический" канал. > Соответственно, команда > > ipsec auto --up My_Conn Я это позже понял и сечас именно auto и делаю. Теперь ситуация выглядит иначе. В логах: ipsec__plutorun: 104 "My_Conn" #1: STATE_MAIN_I1: initiate ipsec__plutorun: 106 "My_Conn" #1: STATE_MAIN_I2: sent MI2,expecting MR2 ipsec__plutorun: 003 "My_Conn" #1: ignoring Vendor ID payload last message repeated 3 times ipsec__plutorun: 108 "My_Conn" #1: STATE_MAIN_I3: sent MI3, expecting MR3 ipsec__plutorun: 004 "My_Conn" #1: STATE_MAIN_I4: ISAKMP SA established ipsec__plutorun: 112 "My_Conn" #2: STATE_QUICK_I1: initiate ipsec__plutorun: 003 "My_Conn" #2: ignoring informational payload, type IPSEC_RESPONDER_LIFETIME ipsec__plutorun: 004 "My_Conn" #2: STATE_QUICK_I2: sent QI2, IPsec SA established Выглядит вроде все нормально - "IPsec SA established." # ipsec eroute 0 192.168.63.0/24 -> 192.168.31.0/24 => tun0x1002@yyy.yyy.yyy.2 Вроде как все пучком. Однако: ping -I 192.168.63.200 192.168.31.99 PING 192.168.31.99 (192.168.31.99) from 192.168.63.200 : 56(84) bytes of data. --- 161.8.31.99 ping statistics --- 6 packets transmitted, 0 received, 100% loss, time 5011ms Не идет ни в какую. Фаервол проверил сто раз, ничего не режется, все что режется логируется, в логах ничего нет. :-((( tcpdump-ом смотрел и на физическом интерфейсе и на ipsec0, видно что от меня запросы идут. Не пойму в чем дело. На второй стороне стоит не Linux, а cisco. Тот админ говорит, что у него ругань "SA is doing unknown authentication." У него установлено: encr 3des, hash md5 У меня: esp=3des-md5-96 В общем пока полный затык. :-((( -- Best regards! Igor Solovyov System/network administrator JSC CB "Zlatkombank" ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] IPSec help need 2003-07-15 17:02 ` Igor Solovyov @ 2003-07-16 9:56 ` svgol 2003-07-16 10:53 ` Dmitriy Gnidchenko 0 siblings, 1 reply; 9+ messages in thread From: svgol @ 2003-07-16 9:56 UTC (permalink / raw) To: community On 15 Jul Tue 23:02, Igor Solovyov wrote: > что у него ругань "SA is doing unknown authentication." > У него установлено: encr 3des, hash md5 > У меня: esp=3des-md5-96 > В общем пока полный затык. :-((( Я не спец по цискам. Могу только предложить проверить: Freeswan использует 2 и 5 группы Diffie-Hellman. Может циска пытается использовать другую, которая Freeswan'ом не поддерживается. -- Sergey V. Golovin ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] IPSec help need 2003-07-16 9:56 ` svgol @ 2003-07-16 10:53 ` Dmitriy Gnidchenko 2003-07-16 11:18 ` Igor Solovyov 0 siblings, 1 reply; 9+ messages in thread From: Dmitriy Gnidchenko @ 2003-07-16 10:53 UTC (permalink / raw) To: community On Wed, 16 Jul 2003 svgol@samkon.ru wrote: > On 15 Jul Tue 23:02, Igor Solovyov wrote: > > что у него ругань "SA is doing unknown authentication." > > У него установлено: encr 3des, hash md5 > > У меня: esp=3des-md5-96 > > В общем пока полный затык. :-((( > > Я не спец по цискам. Могу только предложить проверить: > Freeswan использует 2 и 5 группы Diffie-Hellman. > Может циска пытается использовать другую, которая > Freeswan'ом не поддерживается. Ты не пробовал с циски пинговать внутренний интерфейс Линуха, который как предпологается будет использован для VPN ? Только надо enhansed ping использовать иначе source ip будет IP внешнего интерфейса. ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] IPSec help need 2003-07-16 10:53 ` Dmitriy Gnidchenko @ 2003-07-16 11:18 ` Igor Solovyov 2003-07-16 11:44 ` Dmitriy Gnidchenko 0 siblings, 1 reply; 9+ messages in thread From: Igor Solovyov @ 2003-07-16 11:18 UTC (permalink / raw) To: community Hi! On Wed, 16 Jul 2003 14:53:46 +0400 (MSD) Dmitriy Gnidchenko <savithur@avatar.spb.ru> wrote: > Ты не пробовал с циски пинговать внутренний интерфейс Линуха, > который как предпологается будет использован для VPN ? пингуется без проблем. > Только надо enhansed ping использовать иначе source ip будет IP > внешнего интерфейса. Не обязательно eping. Можно и так: ping -I <src_addr> <dst_addr> P.S. IPSEc все-таки заработал. Сделали так: Сначала положили простой тунель (ip tunel add...), а потом в него затолкали IPSec-овский. Как ни странно заработало. :-)) Может провайдеры чего где наколбасили. В общем так и осталось непонятным. :-))) -- Best regards! Igor Solovyov System/network administrator JSC CB "Zlatkombank" ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] IPSec help need 2003-07-16 11:18 ` Igor Solovyov @ 2003-07-16 11:44 ` Dmitriy Gnidchenko 2003-07-16 15:56 ` Igor Solovyov 0 siblings, 1 reply; 9+ messages in thread From: Dmitriy Gnidchenko @ 2003-07-16 11:44 UTC (permalink / raw) To: community On Wed, 16 Jul 2003, Igor Solovyov wrote: > Hi! > On Wed, 16 Jul 2003 14:53:46 +0400 (MSD) > Dmitriy Gnidchenko <savithur@avatar.spb.ru> wrote: > > > Ты не пробовал с циски пинговать внутренний интерфейс > Линуха, > > который как предпологается будет использован для VPN ? > > пингуется без проблем. > > > Только надо enhansed ping использовать иначе source ip будет > IP > > внешнего интерфейса. > > Не обязательно eping. Можно и так: > > ping -I <src_addr> <dst_addr> Это значит что сам канал у вас работал, что то на стороне линуха было. а у тебя что в таблице FIREWALL forwarding ? > P.S. IPSEc все-таки заработал. Сделали так: > Сначала положили простой тунель (ip tunel add...), > а потом в него затолкали IPSec-овский. Как ни странно > заработало. :-)) > Может провайдеры чего где наколбасили. В общем так > и осталось непонятным. :-))) > > ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] IPSec help need 2003-07-16 11:44 ` Dmitriy Gnidchenko @ 2003-07-16 15:56 ` Igor Solovyov 2003-07-16 16:23 ` Dmitriy Gnidchenko 0 siblings, 1 reply; 9+ messages in thread From: Igor Solovyov @ 2003-07-16 15:56 UTC (permalink / raw) To: community Hi! On Wed, 16 Jul 2003 15:44:17 +0400 (MSD) Dmitriy Gnidchenko <savithur@avatar.spb.ru> wrote: > Это значит что сам канал у вас работал, > что то на стороне линуха было. Вроде бы цискин адимн сказал, что ругань шла на собственно криптование. Вроде как несовпадение алгоритмов было. > а у тебя что в таблице FIREWALL forwarding ? На линуксе? ACCEPT стоит: $IPT -A FORWARD -p ALL -i ipsec+ -j ACCEPT -- Best regards! Igor Solovyov System/network administrator JSC CB "Zlatkombank" ^ permalink raw reply [flat|nested] 9+ messages in thread
* Re: [Comm] IPSec help need 2003-07-16 15:56 ` Igor Solovyov @ 2003-07-16 16:23 ` Dmitriy Gnidchenko 0 siblings, 0 replies; 9+ messages in thread From: Dmitriy Gnidchenko @ 2003-07-16 16:23 UTC (permalink / raw) To: community On Wed, 16 Jul 2003, Igor Solovyov wrote: > Hi! > On Wed, 16 Jul 2003 15:44:17 +0400 (MSD) > Dmitriy Gnidchenko <savithur@avatar.spb.ru> wrote: > > > Это значит что сам канал у вас работал, > > что то на стороне линуха было. > > Вроде бы цискин адимн сказал, что ругань шла > на собственно криптование. Вроде как несовпадение > алгоритмов было. Вообще тогда странно получается. Если интерфейс пингуется значит канал есть. либо я совсем запутался :-\ посмотреть бы его настройки, что же он такого накрутил там у себя на циске. Мда... > > а у тебя что в таблице FIREWALL forwarding ? > > На линуксе? ACCEPT стоит: > > $IPT -A FORWARD -p ALL -i ipsec+ -j ACCEPT Тут ни куда не денешся, все верно. ^ permalink raw reply [flat|nested] 9+ messages in thread
end of thread, other threads:[~2003-07-16 16:23 UTC | newest] Thread overview: 9+ messages (download: mbox.gz / follow: Atom feed) -- links below jump to the message on this page -- 2003-07-12 7:51 [Comm] IPSec help need Igor Solovyov 2003-07-15 8:06 ` svgol 2003-07-15 17:02 ` Igor Solovyov 2003-07-16 9:56 ` svgol 2003-07-16 10:53 ` Dmitriy Gnidchenko 2003-07-16 11:18 ` Igor Solovyov 2003-07-16 11:44 ` Dmitriy Gnidchenko 2003-07-16 15:56 ` Igor Solovyov 2003-07-16 16:23 ` Dmitriy Gnidchenko
ALT Linux Community general discussions This inbox may be cloned and mirrored by anyone: git clone --mirror http://lore.altlinux.org/community/0 community/git/0.git # If you have public-inbox 1.1+ installed, you may # initialize and index your mirror using the following commands: public-inbox-init -V2 community community/ http://lore.altlinux.org/community \ mandrake-russian@linuxteam.iplabs.ru community@lists.altlinux.org community@lists.altlinux.ru community@lists.altlinux.com public-inbox-index community Example config snippet for mirrors. Newsgroup available over NNTP: nntp://lore.altlinux.org/org.altlinux.lists.community AGPL code for this site: git clone https://public-inbox.org/public-inbox.git