From mboxrd@z Thu Jan 1 00:00:00 1970 Return-Path: X-Spam-Checker-Version: SpamAssassin 3.2.5 (2008-06-10) on sa.int.altlinux.org X-Spam-Level: X-Spam-Status: No, score=-2.5 required=5.0 tests=BAYES_00, DNS_FROM_OPENWHOIS, RCVD_IN_DNSWL_LOW,SPF_PASS autolearn=no version=3.2.5 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed; d=gmail.com; s=gamma; h=message-id:date:from:user-agent:mime-version:to:subject:references :in-reply-to:content-type:content-transfer-encoding; bh=AT+rmQW7lWga4doK6+TnYYUPYc9qfAAV4LtGx3mFMVE=; b=qyoxmfJOtz7elcXa1QnG7dFn+xlrdO6D98wq5wgVQgSHd5vR4PpNOk+rXD92P+YjyT bHKBfnH+RP2I9PFw6nAmtaHO44L6H/E3ivrBI0KSI6s+lu9I3GxvDztgiKoUXD3YGYfS NtyPJmR4NOMHgwUKd4Ms2go0SQZfUHb8tixsU= Message-ID: <4E27DC53.7080407@gmail.com> Date: Thu, 21 Jul 2011 10:59:15 +0300 From: Patlasov YuriI User-Agent: Mozilla/5.0 (Windows; U; Windows NT 6.1; ru; rv:1.9.2.15) Gecko/20110303 Lightning/1.0b2 Thunderbird/3.1.9 MIME-Version: 1.0 To: sysadmins@lists.altlinux.org References: <30328219.19.1309949853101.JavaMail.javamailuser@localhost> <4E167914.8000806@bgc.perm.ru> <20110708083356.GA12391@t60p.mithraen.ru> <20110708154212.186abe18@bird.localdomain> <20110720203431.GA1031942@mw.mithraen.ru> <4E27564E.7000809@gmail.com> In-Reply-To: Content-Type: text/plain; charset=KOI8-R; format=flowed Content-Transfer-Encoding: 8bit Subject: Re: [Sysadmins] ipsec X-BeenThere: sysadmins@lists.altlinux.org X-Mailman-Version: 2.1.12 Precedence: list Reply-To: ALT Linux sysadmins' discussion List-Id: ALT Linux sysadmins' discussion List-Unsubscribe: , List-Archive: List-Post: List-Help: List-Subscribe: , X-List-Received-Date: Thu, 21 Jul 2011 08:04:10 -0000 Archived-At: List-Archive: 21.07.2011 8:55, Dmitriy Kruglikov пишет: >> но ipsec прикрутить не в какую. > Потому что не "не в какую", а "ни в какую"... > ;) > > А в чем проблема-то? > >> Почему выбрано именно это протокол. >> pptp - протокол из-за очень хороших провайдеров не всегда подымается. >> openVPN - для Винды нужно ставить клиент. >> L2tp с ipsec - только остается. > Так и для IPSec у меня клиент получается... > Но OpenVPN попроще будет... > > да попроще . Когда linux клиенту работает на ура. Когда настраевал и понял все её кухни. Сейчас доволен. Что имеем инет шлюз на alt linux. 1) Ядро 2.6.32-un-def-alt16 2) Вход два провайдера выход одна сетка. Маршрутизация настроена правильно. 3) В iptables 500 и 4500 порты открыты. GRE пакеты тоже открыты. 1701 порт для xl2tpd тоже открыт. Теперь про racoon: Конфиг минимальный. При запуске выдает: racoon: ERROR: racoon: MLS support is not enabled. Что за ошибка и как от неё избавиться не нашел!!! Может не там искал ??? подскажите где??? Авторизация идет по предварительный ключам по IP. Anonymius - пока не получилось (главное пока поднять VPN) При авторизации вот такой лог: Jul 21 10:45:46 ya01 racoon: ERROR: invalid DH group 20. Jul 21 10:45:46 ya01 racoon: ERROR: invalid DH group 19. Jul 21 10:45:46 ya01 racoon: phase1(ident R msg1): 0.011274 Jul 21 10:45:46 ya01 racoon: INFO: Hashing 11.111.111.111[500] with algo #2 Jul 21 10:45:46 ya01 racoon: INFO: NAT-D payload #0 verified Jul 21 10:45:46 ya01 racoon: INFO: Hashing 22.222.222.222[500] with algo #2 Jul 21 10:45:46 ya01 racoon: INFO: NAT-D payload #1 doesn't match Jul 21 10:45:46 ya01 racoon: INFO: NAT detected: PEER Jul 21 10:45:46 ya01 racoon: oakley_dh_generate(MODP1024): 0.011265 Jul 21 10:45:46 ya01 racoon: INFO: Hashing 22.222.222.222[500] with algo #2 Jul 21 10:45:46 ya01 racoon: INFO: Hashing 11.111.111.111[500] with algo #2 Jul 21 10:45:46 ya01 racoon: INFO: Adding remote and local NAT-D payloads. Jul 21 10:45:46 ya01 racoon: oakley_dh_compute(MODP1024): 0.013252 Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=64): 0.000024 Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=145): 0.000009 Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=165): 0.000008 Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=165): 0.000008 Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=1): 0.000008 Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=20): 0.000008 Jul 21 10:45:46 ya01 racoon: phase1(ident R msg2): 0.028991 Jul 21 10:45:46 ya01 racoon: INFO: NAT-T: ports changed to: 22.222.222.222[4500]<->11.111.111.111[4500] Jul 21 10:45:46 ya01 racoon: INFO: KA list add: 11.111.111.111[4500]->22.222.222.222[4500] Jul 21 10:45:46 ya01 racoon: alg_oakley_encdef_decrypt(3des klen=192 size=40): 0.000043 Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=488): 0.000012 Jul 21 10:45:46 ya01 racoon: oakley_validate_auth(pre-shared key): 0.000776 Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=488): 0.000011 Jul 21 10:45:46 ya01 racoon: alg_oakley_encdef_encrypt(3des klen=192 size=40): 0.000010 Jul 21 10:45:46 ya01 racoon: phase1(ident R msg3): 0.004970 Jul 21 10:45:46 ya01 racoon: phase1(Identity Protection): 0.080822 Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=32): 0.000009 Jul 21 10:45:46 ya01 racoon: alg_oakley_encdef_encrypt(3des klen=192 size=56): 0.000012 Jul 21 10:45:46 ya01 racoon: INFO: ISAKMP-SA established 11.111.111.111[4500]-22.222.222.222[4500] spi:3a54e74acf05edb8:c8de6340cf8ecb0e Jul 21 10:45:46 ya01 racoon: INFO: respond new phase 2 negotiation: 11.111.111.111[4500]<=>22.222.222.222[4500] Jul 21 10:45:46 ya01 racoon: alg_oakley_encdef_decrypt(3des klen=192 size=304): 0.000031 Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=276): 0.000010 Jul 21 10:45:46 ya01 racoon: INFO: no policy found, try to generate the policy : 192.168.0.150/32[1701] 11.111.111.111/32[1701] proto=udp dir=in Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0 Jul 21 10:45:46 ya01 racoon: ERROR: not matched Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0 Jul 21 10:45:46 ya01 racoon: ERROR: not matched Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0 Jul 21 10:45:46 ya01 racoon: ERROR: not matched Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0 Jul 21 10:45:46 ya01 racoon: ERROR: not matched Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0 Jul 21 10:45:46 ya01 racoon: ERROR: not matched Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0 Jul 21 10:45:46 ya01 racoon: ERROR: not matched Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0 Jul 21 10:45:46 ya01 racoon: ERROR: not matched Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0 Jul 21 10:45:46 ya01 racoon: ERROR: not matched Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0 Jul 21 10:45:46 ya01 racoon: ERROR: not matched Jul 21 10:45:46 ya01 racoon: ERROR: no suitable policy found. Jul 21 10:45:46 ya01 racoon: ERROR: failed to pre-process packet. 11.111.111.111 - ip сервара куда подключаемся 22.222.222.222 - ip сервера откуда подключаемся 192.168.0.150 - ip клиента за натом откуда подключаемся pfs group - черный ящик )))) Могу выложить конфигурацию или еще сто-то если поможет. Жду помощи.