LINUX.ORG.RU
решено ФорумAdmin

Racoon Ipsec internet access

 , ,


0

1

Есть задача поднять ipsec, совместимый с яблочными девайсами. Поставил racoon, сконфигурировал, ipsec соединение устанавливается, но пакеты дальше racoon сервера не идут. Конфиг racoon:

log info;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

listen {
        isakmp SERVER_IP [500];
        isakmp_natt SERVER_IP [4500];
}


remote CLIENT_IP {
        exchange_mode main,aggressive;
        lifetime time 2147483 second;
        passive on;
        generate_policy on; #
        dpd_delay 20; #
        nat_traversal on;
        proposal {
                encryption_algorithm aes;
                hash_algorithm sha1;
                authentication_method xauth_psk_server;
                dh_group 2; #
        }
}

mode_cfg {
        auth_source system; #
        conf_source local; #
        network4 10.0.1.50; # 
        netmask4 255.255.255.0;
        pool_size 225;
        dns4 8.8.8.8;
        save_passwd on;
        banner ""; # 
}        
        
sainfo anonymous { 
        #lifetime time 2147483 second;
        encryption_algorithm aes;
        authentication_algorithm hmac_sha1; 
        compression_algorithm deflate;
}   

Правила iptables:

/sbin/iptables -A INPUT -i eth0 -m policy --pol ipsec --dir in -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p esp -d SERVER_IP -j ACCEPT
/sbin/iptables -A INPUT -i eth0 -p udp -d SERVER_IP -m multiport --dports 500,4500 -j ACCEPT
/sbin/iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

/proc/sys/net/ipv4/ip_forward равно еденичке

Кусок лога racoon:

Jan 14 18:04:21 vpn2 racoon: INFO: IPsec-SA established: ESP/Tunnel SERVER_IP[4500]->46.165.12.227[4500] spi=226272416(0xd7ca4a0)
Jan 14 18:04:21 vpn2 racoon: INFO: IPsec-SA established: ESP/Tunnel SERVER_IP[4500]->46.165.12.227[4500] spi=55135745(0x3494e01)
Jan 14 18:06:28 vpn2 racoon: INFO: deleting a generated policy.
Jan 14 18:06:28 vpn2 racoon: INFO: purged IPsec-SA proto_id=ESP spi=55135745.
Jan 14 18:06:28 vpn2 racoon: INFO: purging ISAKMP-SA spi=101bf1b9cad7f15e:495b10289d3c3f48:0000f520.
Jan 14 18:06:28 vpn2 racoon: INFO: purged IPsec-SA spi=226272416.
Jan 14 18:06:28 vpn2 racoon: INFO: purged ISAKMP-SA spi=101bf1b9cad7f15e:495b10289d3c3f48:0000f520.
Jan 14 18:06:28 vpn2 racoon: INFO: ISAKMP-SA deleted SERVER_IP[4500]-CLIENT_IP[4500] spi:101bf1b9cad7f15e:495b10289d3c3f48
Jan 14 18:06:28 vpn2 racoon: INFO: KA remove: SERVER_IP[4500]->CLIENT_IP[4500]

Т.е. соединение успешно устанавливается, но дальше ipsec сервера пакеты не идут. Что я делаю не так/не сделал?

Чтобы исключить вопросы «а не маскарадится ли трафик, который не нужно маскарадить» и «не режется ли полезный трафик» разреши весь трафик вообще и смотри tcpdump'ом, что где как.

Кстати, а яблодевайсы не требуют l2tp внутри ipsec?

thesis ★★★★★ ()
Ответ на: комментарий от thesis

спасибо за совет

Спасибо за совет, завтра попробую. У яблодевайсов по умолчанию в конфигах 3 варианта: pptp, l2tp/ipsec и cisco ipsec. Первые 2 настроены и успешно крутятся на другом сервере с помощью pptpd и openswan. Пытался накрутить cisco ipsec через openswan, много времени потратил зря, в итоге на irc канале девелоперов openswan сказали, что он очень хреново эту циску поддерживает. Выбор был между strongswan и racoon, выбрал racoon, т.к. на яблодевайсах он же клиентом выступает. Конфиг, что я привел, позволяет яблодевайсам подключатся через cisco ipsec, но, увы, пока без интернета.

moveax3 ()
Ответ на: спасибо за совет от moveax3

О как, а я думал цыскоипсек с люниксовыми вообще несовместим. Буду знать.

Умного ничего не скажу, енота не настраивал, только *swan'ов.

thesis ★★★★★ ()

Если только у вас не RH5, то с racoon лучше в принципе не связываться. Оно уже считается deprecated и выпиливатся постепенно. Посмотрите в сторону OpenSWAN. Ну и кроме того, пока ваш туннель не будет функционировать как требуется, по возможности не включайте файервол.

//мимопроходил

trancefer ★★ ()

Решение

/proc/sys/net/ipv4/ip_forward = 1 iptables --table nat --append POSTROUTING --jump MASQUERADE

for each in /proc/sys/net/ipv4/conf/* do echo 0 > $each/accept_redirects echo 0 > $each/send_redirects done

moveax3 ()
Ответ на: комментарий от trancefer

openswan

Спасибо за совет. Как я уже написал, разработчики openswan на irc канале ихнем написали, что не стоит его юзать для cisco ipsec. А вот libreswan обьязательно попробую, судя по всему проект развивается довольно активно.

moveax3 ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.