LINUX.ORG.RU
ФорумAdmin

IPSEC cisco & linux

 ,


1

2

Добрый день. Есть strongswan-5.3.3-alt0.M70T.1. Циска на другой стороне (доступа к ней нет). Связь вяжется, а дальше ничего.

config setup
    charondebug="ike 3, knl 3, cfg 3, net 3, dmn 3, mgr 3"
conn %default
    authby=secret # The default authentication method is to use pre-shared keys.
    ikelifetime=1440m
    keylife=60m
    rekeymargin=3m
    keyexchange=ikev1
conn ciscomsc
    type=tunnel
    keyexchange=ikev1
    aggressive=no
    authby=secret
    auto=start
    ike=aes256-sha1-modp1024
    esp=aes256-sha1!
    left=ВНЕШНИЙ_ЮНИКС
    leftsubnet=192.168.111.0/24 ЛОКАЛКА_ЮНИКСА
    right=ВНЕШНИЙ_ЦИСКА
    rightsubnet=192.168.110.0/24 ЛОКАЛКА_ЗА_ЦИСКОЙ

Security Associations (1 up, 0 connecting):
    ciscomsc[1]: ESTABLISHED 53 seconds ago, ВНЕШНИЙ_ЮНИКС[ВНЕШНИЙ_ЮНИКС]...ВНЕШНИЙ_ЦИСКА[ВНЕШНИЙ_ЦИСКА]
После поднятия связи в ip xfrm policy list пусто. Пишу руками после чего появляется ip xfrm policy list
....
src 192.168.110.0/24 dst 192.168.111.0/24
        dir in priority 1500
src 192.168.111.0/24 dst 192.168.110.0/24
        dir out priority 1500
src 192.168.111.0/24 dst 192.168.110.0/24
        dir fwd priority 1500
Пинги не ходят, tcpdump-ом невидно что бы трафик зарулился в тунель. Подскажите куда посмотреть? Спасибо.


Думаю, что все-таки стоит начать с курения логов.

anc ★★★★★ ()
Ответ на: комментарий от blind_oracle

statusall

Status of IKE charon daemon (strongSwan 5.3.3, Linux 3.10.32-std-def-alt1, x86_64):
  uptime: 17 hours, since Dec 17 14:38:05 2015
  malloc: sbrk 2703360, mmap 0, used 579504, free 2123856
  worker threads: 10 of 16 idle, 6/0/0/0 working, job queue: 0/0/0/0, scheduled: 2
  loaded plugins: charon ldap pkcs11 aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc cmac hmac ctr ccm gcm curl attr kernel-pfkey kernel-netlink resolve socket-default farp stroke smp updown eap-identity eap-sim eap-aka eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-tnc xauth-generic tnc-tnccs dhcp addrblock
Listening IP addresses:
  ВНЕШНИЙ_ЮНИКС
Connections:
    ciscomsc:  ВНЕШНИЙ_ЮНИКС...ВНЕШНИЙ_ЦИСКА  IKEv1
    ciscomsc:   local:  [ВНЕШНИЙ_ЮНИКС] uses pre-shared key authentication
    ciscomsc:   remote: [ВНЕШНИЙ_ЦИСКА] uses pre-shared key authentication
    ciscomsc:   child:  192.168.111.0/24 === 192.168.110.0/24 TUNNEL
Security Associations (1 up, 0 connecting):
    ciscomsc[1]: ESTABLISHED 17 hours ago, ВНЕШНИЙ_ЮНИКС[ВНЕШНИЙ_ЮНИКС]...ВНЕШНИЙ_ЦИСКА[ВНЕШНИЙ_ЦИСКА]
    ciscomsc[1]: IKEv1 SPIs: 1111111111111111_i* 11111111111111cd_r, pre-shared key reauthentication in 5 hours
    ciscomsc[1]: IKE proposal: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
igoX ()

тут был?
и еще, например, вот это включено в стронгсване? Еще какие-то цисковые расширения были там...

И вообще, надо сказать широкой общественности, что у тебя альт линукс. :)

aol ★★★★★ ()
Ответ на: комментарий от aol

Выставил в cisco_unity = yes и перегрузил, но в логах как-то не нашел ничего на тему cisco_unity. Подскажите после поднятия соединения надо прописывать policy через ip xfrm policy add или через подобное

#! /usr/sbin/setkey -f
spdflush;
flush;
spdadd 192.168.111.0/24 192.168.110.0/24 any -P out ipsec esp/transport/ВНЕШНИЙ_ЮНИКC-ВНЕШНИЙ_ЦИСКА/require;
....

[root@gw strongswan.d]# cat charon.conf 
charon {
....
    cisco_unity = yes
....
}
Dec 18 09:40:09 gw charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.3.3, Linux 3.10.32-std-def-alt1, x86_64)
Dec 18 09:40:09 gw charon: 00[KNL] known interfaces and IP addresses:
...
Dec 18 09:40:09 gw charon: 00[CFG] loading ca certificates from '/etc/strongswan/ipsec.d/cacerts'
Dec 18 09:40:09 gw charon: 00[CFG] loading aa certificates from '/etc/strongswan/ipsec.d/aacerts'
Dec 18 09:40:09 gw charon: 00[CFG] loading ocsp signer certificates from '/etc/strongswan/ipsec.d/ocspcerts'
Dec 18 09:40:09 gw charon: 00[CFG] loading attribute certificates from '/etc/strongswan/ipsec.d/acerts'
Dec 18 09:40:09 gw charon: 00[CFG] loading crls from '/etc/strongswan/ipsec.d/crls'
Dec 18 09:40:09 gw charon: 00[CFG] loading secrets from '/etc/strongswan/ipsec.secrets'
Dec 18 09:40:09 gw charon: 00[CFG]   loaded IKE secret for ВНЕШНИЙ_ЮНИКС ВНЕШНИЙ_ЦИСКА
Dec 18 09:40:09 gw charon: 00[CFG] loaded 0 RADIUS server configurations
Dec 18 09:40:09 gw charon: 00[CFG] HA config misses local/remote address
Dec 18 09:40:09 gw charon: 00[LIB] loaded plugins: charon ldap pkcs11 aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc cmac hmac ctr ccm gcm curl attr kernel-pfkey kernel-netlink resolve socket-default farp stroke smp updown eap-identity eap-sim eap-aka eap-md5 eap-gtc eap-mschapv2 eap-radius eap-tls eap-ttls eap-tnc xauth-generic tnc-tnccs dhcp addrblock
Dec 18 09:40:09 gw charon: 00[LIB] dropped capabilities, running as uid 0, gid 0
Dec 18 09:40:09 gw charon: 00[JOB] spawning 16 worker threads
Dec 18 09:40:09 gw charon: 03[NET] waiting for data on sockets
Dec 18 09:40:09 gw charon: 06[CFG] stroke message => 772 bytes @ 0x7f5384000ab0
...
Dec 18 09:40:09 gw charon: 03[NET] received packet: from ВНЕШНИЙ_ЦИСКА[500] to ВНЕШНИЙ_ЮНИКС[500]
Dec 18 09:40:09 gw charon: 13[IKE] IKE_SA ciscomsc[1] established between ВНЕШНИЙ_ЮНИКС[ВНЕШНИЙ_ЮНИКС]...ВНЕШНИЙ_ЦИСКА[ВНЕШНИЙ_ЦИСКА]
Dec 18 09:40:09 gw charon: 03[NET] waiting for data on sockets
Dec 18 09:40:09 gw charon: 14[MGR] checkout IKE_SA by message
Dec 18 09:40:09 gw charon: 13[IKE] IKE_SA ciscomsc[1] state change: CONNECTING => ESTABLISHED
Dec 18 09:40:09 gw charon: 13[IKE] scheduling reauthentication in 86100s
Dec 18 09:40:09 gw charon: 13[IKE] maximum IKE_SA lifetime 86280s
Dec 18 09:40:09 gw charon: 13[IKE] activating new tasks
Dec 18 09:40:09 gw charon: 13[IKE]   activating QUICK_MODE task
Dec 18 09:40:09 gw charon: 13[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
Dec 18 09:40:09 gw charon: 13[KNL]   SADB_EXT_SA
Dec 18 09:40:09 gw charon: 13[KNL]   SADB_EXT_LIFETIME_HARD
Dec 18 09:40:09 gw charon: 13[KNL]   SADB_EXT_LIFETIME_SOFT
Dec 18 09:40:09 gw charon: 13[KNL]   SADB_EXT_LIFETIME_CURRENT
Dec 18 09:40:09 gw charon: 13[KNL]   SADB_EXT_ADDRESS_SRC
Dec 18 09:40:09 gw charon: 13[KNL]   SADB_EXT_ADDRESS_DST
Dec 18 09:40:09 gw charon: 13[KNL]   SADB_X_EXT_SA2
Dec 18 09:40:09 gw charon: 13[KNL] got SPI c0f7046e
Dec 18 09:40:09 gw charon: 13[CFG] configured proposals: ESP:AES_CBC_256/HMAC_SHA1_96/NO_EXT_SEQ
Dec 18 09:40:09 gw charon: 13[CFG] proposing traffic selectors for us:
Dec 18 09:40:09 gw charon: 13[CFG]  192.168.111.0/24
Dec 18 09:40:09 gw charon: 13[CFG] proposing traffic selectors for other:
Dec 18 09:40:09 gw charon: 13[CFG]  192.168.110.0/24
Dec 18 09:40:09 gw charon: 13[IKE] Hash(1) => 20 bytes @ 0x7f536c0029a0
Dec 18 09:40:09 gw charon: 13[IKE]    0: 50 E0 CD 20 89 D8 18 42 7F 59 A8 6F 3E 80 C7 A7  P.. ...B.Y.o>...
Dec 18 09:40:09 gw charon: 13[IKE]   16: 67 3B 17 58                                      g;.X
Dec 18 09:40:09 gw charon: 13[ENC] generating QUICK_MODE request 3090058663 [ HASH SA No ID ID ]
Dec 18 09:40:09 gw charon: 13[NET] sending packet: from ВНЕШНИЙ_ЮНИКС[500] to ВНЕШНИЙ_ЦИСКА[500] (188 bytes)
Dec 18 09:40:09 gw charon: 13[MGR] checkin IKE_SA ciscomsc[1]
Dec 18 09:40:09 gw charon: 13[MGR] check-in of IKE_SA successful.
Dec 18 09:40:09 gw charon: 04[NET] sending packet: from ВНЕШНИЙ_ЮНИКС[500] to ВНЕШНИЙ_ЦИСКА[500]
Dec 18 09:40:09 gw charon: 14[MGR] IKE_SA ciscomsc[1] successfully checked out
Dec 18 09:40:09 gw charon: 14[NET] received packet: from ВНЕШНИЙ_ЦИСКА[500] to ВНЕШНИЙ_ЮНИКС[500] (108 bytes)
Dec 18 09:40:09 gw charon: 14[ENC] parsed INFORMATIONAL_V1 request 4186370115 [ HASH N((24576)) ]
.....
Dec 18 09:40:09 gw charon: 03[NET] received packet: from ВНЕШНИЙ_ЦИСКА[500] to ВНЕШНИЙ_ЮНИКС[500]
Dec 18 09:40:09 gw charon: 03[NET] waiting for data on sockets
Dec 18 09:40:09 gw charon: 15[MGR] checkout IKE_SA by message
Dec 18 09:40:09 gw charon: 15[MGR] IKE_SA ciscomsc[1] successfully checked out
Dec 18 09:40:09 gw charon: 15[NET] received packet: from ВНЕШНИЙ_ЦИСКА[500] to ВНЕШНИЙ_ЮНИКС[500] (92 bytes)
Dec 18 09:40:09 gw charon: 15[ENC] parsed INFORMATIONAL_V1 request 2826156971 [ HASH N(NO_PROP) ]
Dec 18 09:40:09 gw charon: 15[IKE] Hash => 20 bytes @ 0x7f5364000e30
Dec 18 09:40:09 gw charon: 15[IKE] received NO_PROPOSAL_CHOSEN error notify
Dec 18 09:40:09 gw charon: 15[KNL] deleting SAD entry with SPI c0f7046e
Dec 18 09:40:09 gw charon: 15[KNL] deleted SAD entry with SPI c0f7046e
Dec 18 09:40:09 gw charon: 15[MGR] checkin IKE_SA ciscomsc[1]
Dec 18 09:40:09 gw charon: 15[MGR] check-in of IKE_SA successful.
Dec 18 09:40:13 gw charon: 10[MGR] checkout IKE_SA
Dec 18 09:40:13 gw charon: 10[MGR] IKE_SA ciscomsc[1] successfully checked out
Dec 18 09:40:13 gw charon: 10[MGR] checkin IKE_SA ciscomsc[1]
Dec 18 09:40:13 gw charon: 10[MGR] check-in of IKE_SA successful.
Dec 18 09:40:13 gw charon: 11[MGR] checkout IKE_SA
Dec 18 09:40:13 gw charon: 11[MGR] IKE_SA ciscomsc[1] successfully checked out
Dec 18 09:40:13 gw charon: 11[MGR] checkin IKE_SA ciscomsc[1]
Dec 18 09:40:13 gw charon: 11[MGR] check-in of IKE_SA successful.
Dec 18 09:40:13 gw charon: 13[MGR] checkout IKE_SA
Dec 18 09:40:13 gw charon: 13[MGR] IKE_SA ciscomsc[1] successfully checked out
Dec 18 09:40:13 gw charon: 13[MGR] checkin IKE_SA ciscomsc[1]
Dec 18 09:40:13 gw charon: 13[MGR] check-in of IKE_SA successful.
Dec 18 09:40:13 gw charon: 14[MGR] checkout IKE_SA
Dec 18 09:40:13 gw charon: 14[MGR] IKE_SA ciscomsc[1] successfully checked out
Dec 18 09:40:13 gw charon: 14[MGR] checkin IKE_SA ciscomsc[1]
Dec 18 09:40:13 gw charon: 14[MGR] check-in of IKE_SA successful.
igoX ()
Ответ на: комментарий от igoX

после поднятия соединения надо прописывать policy через ip xfrm policy add

нет, всё должно «само»

вот не циско, конечно, но тоже site to site.
зачем type=tunnel, кстати?

aol ★★★★★ ()
Ответ на: комментарий от voltmod

сделал auto=route. после этого смотрю tcpdump и пинги вообще не уходят(iptables останавливал). если auto=start то пинги уходят просто с внешнего ip на удаленную локалку.

igoX ()
Ответ на: комментарий от voltmod

Подскажите если statusall выдает это еще не значит что всё хорошо?

Security Associations (1 up, 0 connecting):
    ciscomsc[1]: ESTABLISHED 17 hours ago, ВНЕШНИЙ_ЮНИКС[ВНЕШНИЙ_ЮНИКС]...ВНЕШНИЙ_ЦИСКА[ВНЕШНИЙ_ЦИСКА]
    ciscomsc[1]: IKEv1 SPIs: 1111111111111111_i* 11111111111111cd_r, pre-shared key reauthentication in 5 hours
    ciscomsc[1]: IKE proposal: AES_CBC_256/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_1024
Может что-то надо в iptables подкрутить?(400 4500 порты на вход открыты) для ВНЕШНИЙ_ЦИСКА_IP

igoX ()
Ответ на: комментарий от arto

Правильно ли я понимаю что проблема именно со второй фазой и это надо подбирать параметр esp?

......
17:24:27.881541 IP ЮНИКС_ВНЕШНИЙ_IP.isakmp > ЦИСКА_ВНЕШНИЙ_IP.isakmp: isakmp: phase 2/others I oakley-quick[E]
17:24:27.939710 IP ЦИСКА_ВНЕШНИЙ_IP.isakmp > ЮНИКС_ВНЕШНИЙ_IP.isakmp: isakmp: phase 2/others R inf[E]
17:25:27.840667 IP ЦИСКА_ВНЕШНИЙ_IP.isakmp > ЮНИКС_ВНЕШНИЙ_IP.isakmp: isakmp: phase 2/others R inf[E]
....

igoX ()
Ответ на: комментарий от arto

Перепробовал

#esp=aes-sha1!
#esp=aes256-sha1!
#esp=aes256-sha1
#esp=aes256
#esp=aes
#esp=null-sha1

На циске мне сказали что на их стороне такие нстройки

crypto ipsec transform-set ESP-AES-SHA esp-aes 256 esp-sha-hmac

crypto isakmp policy ***
 encr aes 256
 authentication pre-share
 group 2

igoX ()
Ответ на: комментарий от igoX

digest sha2 можно попробовать (в цисковской нотификации не силён) pfs используется? dh группа какая? компрессия есть? granularity?

arto ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.