LINUX.ORG.RU
ФорумAdmin

Настройка IPSec сервера


0

0

Так сложилось, что поступило задание поставить на linux(fedora) L2TP over IPSec впн сервер.
Начал с того что прочитал несколько статей (ибо их не так много) и начал с настройки IPSec.
В качестве IPSec сервера выбрал openswan.
Вначале пробовал заходить на него с венды, но по неизвествной причине канекта не было (только оптом обнаружил что клиент в венде плохой). В итоге захожу туда (тестю) на маковском клиенте (Mac OS X v10.5.5).
Вначале соединение не устанавливалось совсем, но после несоклкьих дней тестов в итоге я получил следующую ошибку, и вот уже неделю не могу её одолеть:

pluto[5077]: packet from 89.113.48.112:26133: received Vendor ID payload [RFC 3947] method set to=109
pluto[5077]: packet from 89.113.48.112:26133: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike] method set to=110
pluto[5077]: packet from 89.113.48.112:26133: ignoring unknown Vendor ID payload [8f8d83826d246b6fc7a8a6a428c11de8]
pluto[5077]: packet from 89.113.48.112:26133: ignoring unknown Vendor ID payload [439b59f8ba676c4c7737ae22eab8f582]
pluto[5077]: packet from 89.113.48.112:26133: ignoring unknown Vendor ID payload [4d1e0e136deafa34c4f3ea9f02ec7285]
pluto[5077]: packet from 89.113.48.112:26133: ignoring unknown Vendor ID payload [80d0bb3def54565ee84645d4c85ce3ee]
pluto[5077]: packet from 89.113.48.112:26133: ignoring unknown Vendor ID payload [9909b64eed937c6573de52ace952fa6b]
pluto[5077]: packet from 89.113.48.112:26133: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03] meth=108, but already using method 110
pluto[5077]: packet from 89.113.48.112:26133: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02] meth=107, but already using method 110
pluto[5077]: packet from 89.113.48.112:26133: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] meth=106, but already using method 110
pluto[5077]: packet from 89.113.48.112:26133: received Vendor ID payload [Dead Peer Detection]
pluto[5077]: "roadwarrior-net"[1] 89.113.48.112 #1: responding to Main Mode from unknown peer 89.113.48.112
pluto[5077]: "roadwarrior-net"[1] 89.113.48.112 #1: transition from state STATE_MAIN_R0 to state STATE_MAIN_R1
pluto[5077]: "roadwarrior-net"[1] 89.113.48.112 #1: STATE_MAIN_R1: sent MR1, expecting MI2
pluto[5077]: "roadwarrior-net"[1] 89.113.48.112 #1: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike (MacOS X): both are NATed
pluto[5077]: "roadwarrior-net"[1] 89.113.48.112 #1: transition from state STATE_MAIN_R1 to state STATE_MAIN_R2
pluto[5077]: "roadwarrior-net"[1] 89.113.48.112 #1: STATE_MAIN_R2: sent MR2, expecting MI3
pluto[5077]: "roadwarrior-net"[1] 89.113.48.112 #1: Main mode peer ID is ID_IPV4_ADDR: '192.168.1.2'
pluto[5077]: "roadwarrior-net"[1] 89.113.48.112 #1: switched from "roadwarrior-net" to "roadwarrior-net"
pluto[5077]: "roadwarrior-net"[2] 89.113.48.112 #1: deleting connection "roadwarrior-net" instance with peer 89.113.48.112 {isakmp=#0/ipsec=#0}
pluto[5077]: "roadwarrior-net"[2] 89.113.48.112 #1: transition from state STATE_MAIN_R2 to state STATE_MAIN_R3
pluto[5077]: "roadwarrior-net"[2] 89.113.48.112 #1: new NAT mapping for #1, was 89.113.48.112:26133, now 89.113.48.112:26173
pluto[5077]: "roadwarrior-net"[2] 89.113.48.112 #1: STATE_MAIN_R3: sent MR3, ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp1024}
pluto[5077]: "roadwarrior-net"[2] 89.113.48.112 #1: ignoring informational payload, type IPSEC_INITIAL_CONTACT msgid=00000000
pluto[5077]: "roadwarrior-net"[2] 89.113.48.112 #1: received and ignored informational message
pluto[5077]: "roadwarrior-net"[2] 89.113.48.112 #1: the peer proposed: *.*.*.*/32:0/0 -> 192.168.1.2/32:0/0
pluto[5077]: "roadwarrior-net"[2] 89.113.48.112 #1: cannot respond to IPsec SA request because no connection is known for *.*.*.*/32===10.254.185.206<10.254.185.206>[S=C]:17/1701...89.113.48.112[192.16 8.1.2,S=C]:17/49241===192.168.1.2/32
pluto[5077]: "roadwarrior-net"[2] 89.113.48.112 #1: sending encrypted notification INVALID_ID_INFORMATION to 89.113.48.112:26173
pluto[5077]: "roadwarrior-net"[2] 89.113.48.112 #1: the peer proposed: *.*.*.*/32:0/0 -> 192.168.1.2/32:0/0
pluto[5077]: "roadwarrior-net"[2] 89.113.48.112 #1: cannot respond to IPsec SA request because no connection is known for *.*.*.*/32===10.254.185.206<10.254.185.206>[S=C]:17/1701...89.113.48.112[192.16 8.1.2,S=C]:17/49241===192.168.1.2/32
pluto[5077]: "roadwarrior-net"[2] 89.113.48.112 #1: sending encrypted notification INVALID_ID_INFORMATION to 89.113.48.112:26173
pluto[5077]: "roadwarrior-net"[2] 89.113.48.112 #1: the peer proposed: *.*.*.*/32:0/0 -> 192.168.1.2/32:0/0
pluto[5077]: "roadwarrior-net"[2] 89.113.48.112 #1: cannot respond to IPsec SA request because no connection is known for *.*.*.*/32===10.254.185.206<10.254.185.206>[S=C]:17/1701...89.113.48.112[192.16 8.1.2,S=C]:17/49241===192.168.1.2/32

*.*.*.* - внешний ip моего сервера, к которому я осуществляю конект из дома

Текст этой ошибки выскакивает при ЛЮБОЙ (!!!) конфигурации, какую бы я не использовал. В данный момент стоит вот эта:
ipsec.conf

version 2.0

config setup
interfaces=%defaultroute
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16

conn %default
keyingtries=1
compress=yes
disablearrivalcheck=no
authby=secret

conn roadwarrior-net
leftsubnet=10.254.185.0/24
also=roadwarrior

conn roadwarrior-all
leftsubnet=0.0.0.0/0
also=roadwarrior

conn roadwarrior
left=10.254.185.206
right=%any
rightsubnet=vhost:%no,%priv
auto=add
pfs=yes

conn roadwarrior-l2tp
type=transport
left=10.254.185.206
leftprotoport=17/1701
right=%any
rightprotoport=17/1701
pfs=no
auto=add

conn roadwarrior-l2tp-oldwin
left=10.254.185.206
leftprotoport=17/0
right=%any
rightprotoport=17/1701
rightsubnet=vhost:%no,%priv
pfs=no
auto=add

conn block
auto=ignore

conn private
auto=ignore

conn private-or-clear
auto=ignore

conn clear-or-private
auto=ignore

conn clear
auto=ignore

conn packetdefault
auto=ignore

ipsec.secrets

10.254.185.206 %any : PSK "12345"

10.254.185.206 - внутренний ip моего сервера.

Что я пробовал:
Проблем с портами нету. Все разрешено.
Отключал nat-travesal все тоже самое только без строчки в логах о нате.
Пробовал разные конфиги, с использованием подсетей и всякой прочей лабуды, которую на форумах советуют постааивть для решения проблемы.

ipsec auto --status говорит

000 using kernel interface: netkey
000 interface lo/lo 127.0.0.1
000 interface lo/lo 127.0.0.1
000 interface eth0/eth0 10.254.185.206
000 interface eth0/eth0 10.254.185.206
000 %myid = (none)
000 debug none
000
000 algorithm ESP encrypt: id=2, name=ESP_DES, ivlen=8, keysizemin=64, keysizemax=64
000 algorithm ESP encrypt: id=3, name=ESP_3DES, ivlen=8, keysizemin=192, keysizemax=192
000 algorithm ESP encrypt: id=12, name=ESP_AES, ivlen=8, keysizemin=128, keysizemax=256
000 algorithm ESP auth attr: id=1, name=AUTH_ALGORITHM_HMAC_MD5, keysizemin=128, keysizemax=128
000 algorithm ESP auth attr: id=2, name=AUTH_ALGORITHM_HMAC_SHA1, keysizemin=160, keysizemax=160
000
000 algorithm IKE encrypt: id=3, name=OAKLEY_BLOWFISH_CBC, blocksize=8, keydeflen=128
000 algorithm IKE encrypt: id=5, name=OAKLEY_3DES_CBC, blocksize=8, keydeflen=192
000 algorithm IKE encrypt: id=7, name=OAKLEY_AES_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=65004, name=OAKLEY_SERPENT_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=65005, name=OAKLEY_TWOFISH_CBC, blocksize=16, keydeflen=128
000 algorithm IKE encrypt: id=65289, name=OAKLEY_TWOFISH_CBC_SSH, blocksize=16, keydeflen=128
000 algorithm IKE hash: id=1, name=OAKLEY_MD5, hashsize=16
000 algorithm IKE hash: id=2, name=OAKLEY_SHA1, hashsize=20
000 algorithm IKE hash: id=4, name=OAKLEY_SHA2_256, hashsize=32
000 algorithm IKE hash: id=6, name=OAKLEY_SHA2_512, hashsize=64
000 algorithm IKE dh group: id=2, name=OAKLEY_GROUP_MODP1024, bits=1024
000 algorithm IKE dh group: id=5, name=OAKLEY_GROUP_MODP1536, bits=1536
000 algorithm IKE dh group: id=14, name=OAKLEY_GROUP_MODP2048, bits=2048
000 algorithm IKE dh group: id=15, name=OAKLEY_GROUP_MODP3072, bits=3072
000 algorithm IKE dh group: id=16, name=OAKLEY_GROUP_MODP4096, bits=4096
000 algorithm IKE dh group: id=17, name=OAKLEY_GROUP_MODP6144, bits=6144
000 algorithm IKE dh group: id=18, name=OAKLEY_GROUP_MODP8192, bits=8192
000
000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,0,0} trans={0,0,0} attrs={0,0,0}
000
000 "roadwarrior": 10.254.185.206<10.254.185.206>[S=C]...%virtual[S=C]===?; unrouted; eroute owner: #0
000 "roadwarrior": myip=unset; hisip=unset;
000 "roadwarrior": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 1
000 "roadwarrior": policy: PSK+ENCRYPT+COMPRESS+TUNNEL+PFS+IKEv2ALLOW+lKOD+rKOD; prio: 32,32; interface: eth0;
000 "roadwarrior": newest ISAKMP SA: #0; newest IPsec SA: #0;
000 "roadwarrior-all": 0.0.0.0/0===10.254.185.206<10.254.185.206>[S=C]...%virtual[S=C]===?; unrouted; eroute owner: #0
000 "roadwarrior-all": myip=unset; hisip=unset;
000 "roadwarrior-all": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 1
000 "roadwarrior-all": policy: PSK+ENCRYPT+COMPRESS+TUNNEL+PFS+IKEv2ALLOW+lKOD+rKOD; prio: 0,32; interface: eth0;
000 "roadwarrior-all": newest ISAKMP SA: #0; newest IPsec SA: #0;
000 "roadwarrior-l2tp": 10.254.185.206<10.254.185.206>[S=C]:17/1701...%any[S=C]:17/1701; unrouted; eroute owner: #0
000 "roadwarrior-l2tp": myip=unset; hisip=unset;
000 "roadwarrior-l2tp": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 1
000 "roadwarrior-l2tp": policy: PSK+ENCRYPT+COMPRESS+IKEv2ALLOW+lKOD+rKOD; prio: 32,32; interface: eth0;
000 "roadwarrior-l2tp": newest ISAKMP SA: #0; newest IPsec SA: #0;
000 "roadwarrior-l2tp-oldwin": 10.254.185.206<10.254.185.206>[S=C]:17/0...%virtual[S=C]:17/1701===?; unrouted; eroute owner: #0
000 "roadwarrior-l2tp-oldwin": myip=unset; hisip=unset;
000 "roadwarrior-l2tp-oldwin": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 1
000 "roadwarrior-l2tp-oldwin": policy: PSK+ENCRYPT+COMPRESS+TUNNEL+IKEv2ALLOW+lKOD+rKOD; prio: 32,32; interface: eth0;
000 "roadwarrior-l2tp-oldwin": newest ISAKMP SA: #0; newest IPsec SA: #0;
000 "roadwarrior-net": 10.254.185.0/24===10.254.185.206<10.254.185.206>[S=C]...%virtual[S=C]===?; unrouted; eroute owner: #0
000 "roadwarrior-net": myip=unset; hisip=unset;
000 "roadwarrior-net": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 1
000 "roadwarrior-net": policy: PSK+ENCRYPT+COMPRESS+TUNNEL+PFS+IKEv2ALLOW+lKOD+rKOD; prio: 24,32; interface: eth0;
000 "roadwarrior-net": newest ISAKMP SA: #0; newest IPsec SA: #0;
000 "roadwarrior-net"[2]: 10.254.185.0/24===10.254.185.206<10.254.185.206>[S=C]...89.113.48.112[192.168.1 .2,S=C]===?; unrouted; eroute owner: #0
000 "roadwarrior-net"[2]: myip=unset; hisip=unset;
000 "roadwarrior-net"[2]: ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 1
000 "roadwarrior-net"[2]: policy: PSK+ENCRYPT+COMPRESS+TUNNEL+PFS+IKEv2ALLOW+lKOD+rKOD; prio: 24,32; interface: eth0;
000 "roadwarrior-net"[2]: newest ISAKMP SA: #1; newest IPsec SA: #0;
000 "roadwarrior-net"[2]: IKE algorithm newest: 3DES_CBC_192-SHA1-MODP1024

Как уже наверное успели заметить, в качестве идентфикации юзаю PSK

Что самое интересное в этом всем, что я понятия не имею откуда берется ip 192.168.1.2 на который переносится peer.
т.е. я имею ввиду его нету вообще нигде в настройках ни в ip addr ни в route... причем этот ip возникает в КАЖДОЙ (!!!) конфигурации ipsec которую я применяю.

Если есть у кого идеи или если кто то уже поднимал ipsec over l2tp или просто ipsec))) напишите свое мнение или идеи по решению моей проблемы а то у меня уже руки опускаются.

aimatme
() автор топика
Ответ на: комментарий от LifeWins

не( к сожалению мой выбор не изменится)

aimatme
() автор топика
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin