LINUX.ORG.RU
ФорумAdmin

IPSec Centos

 ,


0

3

Всем привет

Не получается настроить IPSec(Openswan).

Имеется:

1. Centos 6 x64

2. Openswan

Делаю site_to_site по мануалу https://access.redhat.com/documentation/en-US/Red_Hat_Enterprise_Linux/7/html...

192.168.0.2 и 192.168.1.2 это интерфейсы которые смотрят в локалку(eth1)

Public_IP_Host_A и Public_IP_Host_B это интерфейсы которые смотрят в мир(eth0)

Host A 

conn mytunnel
    auto=start
    leftid=@west.example.com
    left=Public_IP_Host_A
    leftsourceip=192.168.0.2
    leftsubnet=192.168.0.0/24
    leftrsasigkey=0sAQPWUF1IUfAWX ..... F57gW69bisiR8=
    rightid=@east.example.com
    right=Public_IP_Host_B
    rightsourceip=192.168.1.2
    rightsubnet=192.168.1.0/24
    rightrsasigkey=0sAQPF2p07R ..... PmY8zzk=
    authby=rsasig

Host B 

conn mytunnel
    auto=start
    leftid=@east.example.com
    left=Public_IP_Host_B
    leftsourceip=192.168.1.2
    leftsubnet=192.168.1.0/24
    leftrsasigkey=0sAQPF2p07RX0BoPH4Mo ..... GErwy0hDlPmY8zzk=
    rightid=@west.example.com
    right=Public_IP_Host_A
    rightsourceip=192.168.0.2
    rightsubnet=192.168.0.0/24
    rightrsasigkey=0sAQPWUF1IUfAWXPpSg .... .. F57gW69bisiR8=
    authby=rsasig

При старте выдает 

ipsec_setup: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled

Туннель не строит.

Что делаю не так?

Спасибо



Последнее исправление: mkgeka (всего исправлений: 2)

Это всё, что он выдаёт, больше ни строчки?

Вагую, у вас поди SNAT/MASQUERADE включён.

mky ★★★★★
()
Ответ на: комментарий от mkgeka

Вроде туннель строится но пакеты не ходят по туннелю, вопрос такой, IPSEC туннеля достаточно, для того что бы связать две серые сети(192.168.0.0/24 и 192.168.1.0/24 ) или нужно еще что-то поднимать, GRE например?

Спасибо

mkgeka
() автор топика

Освоение openswan'на нужно начинать с его немедленного удаления и установки strongswan'а.
Потом из описания подключений выбросить все, кроме left, right, auto и *subnet и переделать аутентификацию на PSK.
После этого уже не страшно тестить и курить логи.
Курить же логи опенсвана не нужно и в целом страшновато.

thesis ★★★★★
()
Ответ на: комментарий от thesis

Спасибо за ответ, пробовал перейти на ПКС, туннель строится но пакеты не ходят, вообще как то он работает непонятно, вроде туннель поднять но в таблице маршрутизации никакой, как понять туда ли пакет идет.

Вообщем как побороть этого зверя?

mkgeka
() автор топика
Ответ на: комментарий от mkgeka

А форвардинг на обоих концах включен?
И я не помню, нужно ли там явно указывать маршруты. Вроде нет, но не уверен уже.

thesis ★★★★★
()
Ответ на: комментарий от thesis

Да все включено, у меня вариантов уже нет:(

2-е сутки уже пошли. это не нормально когда ПО так настраивается.

Или у меня руки не оттуда растут или ПО такое.

mkgeka
() автор топика
Последнее исправление: mkgeka (всего исправлений: 1)
Ответ на: комментарий от thesis

Логи я выложил, больше ничего он не пишет и ошибок тоже нет, кроме тех что я писал выше.

tcpdump показывает что трафик не шифруется, еще идеи есть?

mkgeka
() автор топика
Последнее исправление: mkgeka (всего исправлений: 1)
Ответ на: комментарий от mkgeka

вроде туннель поднять но в таблице маршрутизации никакой,

ipsec работает на уровне ядра. Смотрим ip xfrm policy, ip xfrm state и т.д.

anc ★★★★★
()
Ответ на: комментарий от thesis

это конфиги к strongswan а не к openswan, 

psec_setup: /usr/libexec/ipsec/addconn Non-fips mode set in /proc/sys/crypto/fips_enabled

больше никакой ругани нет.

mkgeka
() автор топика

Еще замечание, а нафига у вас там left/right sourceip ? Хотя для openswan может это и нужно... не знаю... готовить его пытался слишком давно и то имнип безуспешно, во всяком случае в прод не отправил.

anc ★★★★★
()
Ответ на: комментарий от mkgeka

2-е сутки уже пошли. это не нормально когда ПО так настраивается.

Нормально. Не нормально только то что вы выбрали не самый лучший вариант Openswan (логи как у всех *swan, а документации чуть больше чем у racoon). Как вам уже написал thesis берите strongswan, для него примеров много (в том числе на родном сайте), только сразу предупреждаю, смотрите на версии, а то так и еще «полдня за ним будете бегать» (ц)
Так же thesis очень правильно написал у *swan логи ниочем, но при вашей задаче, соединить две сети на одном и том же ПО проблем вызвать не должно, от слова совсем.

anc ★★★★★
()

2-е сутки уже пошли. это не нормально когда ПО так настраивается.

Если первый раз настраиваете, лучше попрактикуйтесь на чистых виртуалках.
С реальными хостами могут быть дополнительные неочевидные заморочки, связанные с интеграцией в существующую инфраструктуру и коллизиями с другими сервисами.

ArcFi
()

У вас различаются конфигурации на концах туннеля: left и right делайте одинаковыми - машины сами договорятся. Берете конфиг с машины А и копируете на машину Б. На одной из сторон добавляете правила для рестарта соединения, типа: 

dpdaction=restart
dpdtimeout=10
dpddelay=10

ilya82
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin