LINUX.ORG.RU
ФорумAdmin

ipsec racoon no suitable proposal found

 


0

1

Удаленная железка usg60 186.37.112.232 (за ней сеть 192.168.237.0/24)
не подключается к racoon 19.124.100.5 (за ним сеть 192.168.206.0/24)

/etc/racoon/racoon.conf

log debug;
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";
remote 186.37.112.232 {
        exchange_mode main,aggressive;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group modp1024;
        }
        generate_policy off;
}

sainfo address 192.168.206.0/24[any] any address 192.168.237.0/24[any] any {
        pfs_group modp768;
        encryption_algorithm 3des;
        authentication_algorithm hmac_md5;
        compression_algorithm deflate;
/etc/ipsec-tools.conf
flush;
spdflush
/etc/racoon/psk.txt
186.37.112.232 345346535467546

Aug  3 13:53:17 debro racoon: DEBUG: ===
Aug  3 13:53:17 debro racoon: DEBUG: 398 bytes message received from 186.37.112.232[500] to 19.124.100.5[500]
Aug  3 13:53:17 debro racoon: DEBUG: #012b4218a9b ed305e7a 00000000 00000000 01100200 00000000 0000018e 0d000038#01200000001 00000001 0000002c 00010001 00000024 00010000 80010001 80020001#01280030001 80040001 800b0001 000c0004 00015180 0d000014 f758f226 8b2b3520#012240880e4 3354895b b963c13a 4b95f58c 461f68a6 2e5ec2a5 46abd94c 95499191#012bb841687 86734168 9ef2c95e fea36d69 85365dd5 3d387684 11efb795 1ab2eb01#01236ea47ee c4975e5a f16a2c26 766eea7a 6693e2eb 27373395 1c5ea48e ad60e5be#012fc4b90bb d00a9c44 3f872706 ae40
Aug  3 13:53:17 debro racoon: DEBUG: ===
Aug  3 13:53:17 debro racoon: INFO: respond new phase 1 negotiation: 19.124.100.5[500]<=>186.37.112.232[500]
Aug  3 13:53:17 debro racoon: INFO: begin Identity Protection mode.
Aug  3 13:53:17 debro racoon: DEBUG: begin.
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=1(sa)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=13(vid)
Aug  3 13:53:17 debro racoon: DEBUG: succeed.
Aug  3 13:53:17 debro racoon: DEBUG: received unknown Vendor ID
Aug  3 13:53:17 debro racoon: DEBUG: #012f758f226 68750f03 b08df6eb e1d00403
Aug  3 13:53:17 debro racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Aug  3 13:53:17 debro racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02#012
Aug  3 13:53:17 debro racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
Aug  3 13:53:17 debro racoon: INFO: received Vendor ID: RFC 3947
Aug  3 13:53:17 debro racoon: INFO: received Vendor ID: DPD
Aug  3 13:53:17 debro racoon: DEBUG: remote supports DPD
Aug  3 13:53:17 debro racoon: DEBUG: received unknown Vendor ID
Aug  3 13:53:17 debro racoon: DEBUG: #012afcad713 68a1f1c9 6b8696fc 7757
Aug  3 13:53:17 debro racoon: DEBUG: received unknown Vendor ID
Aug  3 13:53:17 debro racoon: DEBUG: #012c44fedc7 49f9e6ae 5b04ec96 9cb25d69
Aug  3 13:53:17 debro racoon: DEBUG: received unknown Vendor ID
Aug  3 13:53:17 debro racoon: DEBUG: #012f9196df8 6b812fb0 f68026d8 876dcb7b 00042500
Aug  3 13:53:17 debro racoon: DEBUG: received unknown Vendor ID
Aug  3 13:53:17 debro racoon: DEBUG: #012ac40f8c4 389927c6 e8ac2453 1bb78b2b 35202408 2c26766e#012ea7a6693 e2eb2737 33951c5e a48ead60 e5befc4b 90bbd00a 9c443f87 2706ae40
Aug  3 13:53:17 debro racoon: DEBUG: total SA len=52
Aug  3 13:53:17 debro racoon: DEBUG: #01200000001 00000001 0000002c 00010001 00000024 00010000 80010001 80020001#01280030001 80040001 800b0001 000c0004 00015180
Aug  3 13:53:17 debro racoon: DEBUG: begin.
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=2(prop)
Aug  3 13:53:17 debro racoon: DEBUG: succeed.
Aug  3 13:53:17 debro racoon: DEBUG: proposal #0 len=44
Aug  3 13:53:17 debro racoon: DEBUG: begin.
Aug  3 13:53:17 debro racoon: DEBUG: seen nptype=3(trns)
Aug  3 13:53:17 debro racoon: DEBUG: succeed.
Aug  3 13:53:17 debro racoon: DEBUG: transform #0 len=36
Aug  3 13:53:17 debro racoon: DEBUG: type=Encryption Algorithm, flag=0x8000, lorv=DES-CBC
Aug  3 13:53:17 debro racoon: DEBUG: encryption(des)
Aug  3 13:53:17 debro racoon: DEBUG: type=Hash Algorithm, flag=0x8000, lorv=MD5
Aug  3 13:53:17 debro racoon: DEBUG: hash(md5)
Aug  3 13:53:17 debro racoon: DEBUG: type=Authentication Method, flag=0x8000, lorv=pre-shared key
Aug  3 13:53:17 debro racoon: DEBUG: type=Group Description, flag=0x8000, lorv=768-bit MODP group
Aug  3 13:53:17 debro racoon: DEBUG: hmac(modp768)
Aug  3 13:53:17 debro racoon: DEBUG: type=Life Type, flag=0x8000, lorv=seconds
Aug  3 13:53:17 debro racoon: DEBUG: type=Life Duration, flag=0x0000, lorv=4
Aug  3 13:53:17 debro racoon: DEBUG: pair 0:
Aug  3 13:53:17 debro racoon: DEBUG:  0x7f149e7919e0: next=(nil) tnext=(nil)
Aug  3 13:53:17 debro racoon: DEBUG: proposal #0: 1 transform
Aug  3 13:53:17 debro racoon: DEBUG: type=Encryption Algorithm, flag=0x8000, lorv=DES-CBC
Aug  3 13:53:17 debro racoon: DEBUG: type=Hash Algorithm, flag=0x8000, lorv=MD5
Aug  3 13:53:17 debro racoon: DEBUG: type=Authentication Method, flag=0x8000, lorv=pre-shared key
Aug  3 13:53:17 debro racoon: DEBUG: type=Group Description, flag=0x8000, lorv=768-bit MODP group
Aug  3 13:53:17 debro racoon: DEBUG: type=Life Type, flag=0x8000, lorv=seconds
Aug  3 13:53:17 debro racoon: DEBUG: type=Life Duration, flag=0x0000, lorv=4
Aug  3 13:53:17 debro racoon: DEBUG: prop#=0, prot-id=ISAKMP, spi-size=0, #trns=1
Aug  3 13:53:17 debro racoon: DEBUG: trns#=0, trns-id=IKE
Aug  3 13:53:17 debro racoon: DEBUG:   lifetime = 86400
Aug  3 13:53:17 debro racoon: DEBUG:   lifebyte = 0
Aug  3 13:53:17 debro racoon: DEBUG:   enctype = DES-CBC
Aug  3 13:53:17 debro racoon: DEBUG:   encklen = 0
Aug  3 13:53:17 debro racoon: DEBUG:   hashtype = MD5
Aug  3 13:53:17 debro racoon: DEBUG:   authmethod = pre-shared key
Aug  3 13:53:17 debro racoon: DEBUG:   dh_group = 768-bit MODP group
Aug  3 13:53:17 debro racoon: ERROR: no suitable proposal found.
Aug  3 13:53:17 debro racoon: [186.37.112.232] ERROR: failed to get valid proposal.
Aug  3 13:53:17 debro racoon: [186.37.112.232] ERROR: failed to pre-process ph1 packet (side: 1, status 1).
Aug  3 13:53:17 debro racoon: [186.37.112.232] ERROR: phase1 negotiation failed

Прошу подсказку.

★★★★★

Ответ на: комментарий от petav

это у вас phase2, а обламывается у вас на phase1, у которой

encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group modp1024;

arto ★★
()
Ответ на: комментарий от arto

Да, спасибо за указку Настройка фаза 1 usg60

Настройка raccon

remote 186.37.112.232 {
        exchange_mode main,aggressive;
        proposal {
                encryption_algorithm des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 1;
        }
        generate_policy on;
        nat_traversal on;
}
Ругается racoon на это
Aug  3 14:46:28 debro racoon: DEBUG:   lifetime = 86400
Aug  3 14:46:28 debro racoon: DEBUG:   lifebyte = 0
Aug  3 14:46:28 debro racoon: DEBUG:   enctype = DES-CBC
Aug  3 14:46:28 debro racoon: DEBUG:   encklen = 0
Aug  3 14:46:28 debro racoon: DEBUG:   hashtype = SHA
Aug  3 14:46:28 debro racoon: DEBUG:   authmethod = pre-shared key
Aug  3 14:46:28 debro racoon: DEBUG:   dh_group = 768-bit MODP group
Aug  3 14:46:28 debro racoon: ERROR: no suitable proposal found.
Я не опытный, но не просматриваю разницы

petav ★★★★★
() автор топика
Ответ на: комментарий от arto

Это одно и тоже

dh_group group; define the group used for the Diffie-Hellman exponentiations. This directive must be defined. group is one of following: modp768, modp1024, modp1536. Or you can define 1, 2, or 5 as the DH group number. When you want to use aggressive mode, you must define same DH group in each proposal.

(c) http://www.kame.net/racoon/racoon.conf.5

petav ★★★★★
() автор топика
Последнее исправление: petav (всего исправлений: 1)
Ответ на: комментарий от petav

значит надо смотреть на отладочный лог

arto ★★
()
Ответ на: комментарий от petav

Попробуйте log debug2; И потом долго курить лог. Во всяком случае я когда-то давно столкнулся с «коробкой»(правда не суксель, а длинк) где выставленное в вэб интерфейсе реально не соответствовало действительности, изменения в вэбе не меняли ее поведения, т.к. сроки были «одна ночь» пришлось для нее другие настройки в ракуне прописать.

anc ★★★★★
()
Ответ на: комментарий от petav

посмотрите траффик, какие именно значения передаются в sa

arto ★★
()

Я не специалист.

Главное: С другими клиентами - был положительный опыт? Да, они все работают -> обновите прошивку, и пишите в тех-поддержку зухеля, лор тут нипричём кмк. Нет -> пробуйте.

getup - аналогично, только наоборот.

Ещё мысль: главный тут сервер, поэтому его логи важнее клиента.

anc (вы спец вроде), разве это не капитанство? (после того как первичный осмотр логов ничего не дал)

(и да, конечно стронгсван лучше)

the1 ★★
()
Ответ на: комментарий от the1

Я немного напутал.. Вам кмк надо другие серверы попробовать (а getup - клиенты; про важность логов сервера - тоже ему, а не вам). Ну понятно вобщем..

the1 ★★
()
Ответ на: комментарий от the1

Ещё мысль: главный тут сервер, поэтому его логи важнее клиента.

Исходя из задачи ТС разницы нет, кто сервер а кто клиент, соединение с любой стороны можно стартовать.

anc ★★★★★
()
Ответ на: комментарий от petav

Развивается не развиваться, но например в OS X он и используется. У меня так же благополучно трудиться как раз в задачах обьеденения сетей.
Использую и strongswan и racoon
strongswan
Плюсы: Очень годная документация с кучей примеров
Минусы: Наркоманский лог который не очем. Поломки от версии к версии, т.е. если уж настроили конкретную версию лучше без надобности не менять.
racoon
Плюсы: Очень годный лог.
Минусы: Мало документации.

В части strongswan vs racoon и логов. Был как минимум один случай, настраивал соединение в strongswan (с чем именно не помню) в упор не получалось, логи не очем, в результате сначала настроил на ракун, по логам понял чего хотим, и эти настройки уже потом прописал в strongswan.

ЗЫ Все-таки рекомендую log debug2 включить и посмотреть, именно эта строка у меня закоментирована для отладки.

anc ★★★★★
()
Ответ на: комментарий от anc

Да, вы правы уровень логов повысил. Добавил в racoon все что есть в zywall в настройках. Добился с помощью удачи и ipsec ZYWALL и RACOON (Centos 6.3) следующего: setkey -D

19.124.100.5 186.37.112.232
        esp mode=tunnel spi=0(0x00000000) reqid=0(0x00000000)
        seq=0x00000000 replay=0 flags=0x00000000 state=larval 
        created: Aug  5 21:29:47 2017   current: Aug  5 21:30:04 2017
        diff: 17(s)     hard: 30(s)     soft: 0(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=0 pid=15989 refcnt=0
19.124.100.5 это racoon
186.37.112.232 это zywall

Тут должно быть и обратное направление, с этим вожусь. Спасибо.

petav ★★★★★
() автор топика
Ответ на: комментарий от petav

19.124.100.5 это racoon 186.37.112.232 это zywall

Трафик между внешними ip надо весь разрешать или 500 порта хватит?

petav ★★★★★
() автор топика
Ответ на: комментарий от petav

У setkey должно быть две строки одна на in другая на out
Пример файла загружаемого командой:
/sbin/setkey -f /etc/racoon/setkey.conf

flush;
spdflush;
spdadd 192.168.7.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/$IP1-#IP2/require;
spdadd 192.168.0.0/24 192.168.7.0/24 any -P in ipsec esp/tunnel/$IP2-$IP1/require;

Где 192.168.7.0/24 сеть на роутере с реальным $IP1, а 192.168.0.0/24 сеть на роутере с реальным $IP2

anc ★★★★★
()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Правда, лог хороший, теперь два плеча вижу.

setkey -D
19.124.100.5 186.37.112.232 
        esp mode=tunnel spi=1233436108(0x4984bdcc) reqid=0(0x00000000)
        E: des-cbc  caa2c32d 823e75ec
        A: hmac-sha1  a95b4587 1b4f07f1 18ab1f60 c51057fd f563eb14
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: Aug  5 22:45:42 2017   current: Aug  5 22:45:57 2017
        diff: 15(s)     hard: 86400(s)  soft: 69120(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=1 pid=16897 refcnt=0
186.37.112.232 19.124.100.5
        esp mode=tunnel spi=135593904(0x0814ffb0) reqid=0(0x00000000)
        E: des-cbc  a72a8428 d74b8d0c
        A: hmac-sha1  e229bc87 3b7293d4 970b62d1 fa170bbe fe63f56b
        seq=0x00000000 replay=4 flags=0x00000000 state=mature 
        created: Aug  5 22:45:42 2017   current: Aug  5 22:45:57 2017
        diff: 15(s)     hard: 86400(s)  soft: 69120(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=0 pid=16897 refcnt=0
petav ★★★★★
() автор топика
Ответ на: комментарий от anc

Cпасибо, сделал

racoonctl vpn-connect 186.37.112.232
Как Racoon as IPsec client for Zywall подсказывает. Вижу такое:
# ip xfrm policy
src 192.168.206.0/24 dst 192.168.1.0/24 
        dir out priority 2147483648 ptype main 
        tmpl src 19.124.100.5 dst 186.37.112.232
                proto esp reqid 0 mode tunnel
src 192.168.1.0/24 dst 192.168.206.0/24 
        dir fwd priority 2147483648 ptype main 
        tmpl src 186.37.112.232 dst 19.124.100.5
                proto esp reqid 0 mode tunnel
src 192.168.1.0/24 dst 192.168.206.0/24 
        dir in priority 2147483648 ptype main 
        tmpl src 186.37.112.232 dst 19.124.100.5
                proto esp reqid 0 mode tunnel
Пингую zywall
# ping -c 3 186.37.112.232
PING 186.37.112.232 (186.37.112.232) 56(84) bytes of data.
64 bytes from 186.37.112.232: icmp_req=1 ttl=55 time=12.0 ms
^C
--- 186.37.112.232 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 12.092/12.092/12.092/0.000 ms
Но пока пинга 192.168.1.1 нет

petav ★★★★★
() автор топика
Ответ на: комментарий от petav

Добавил

# iptables -t nat -I POSTROUTING -d 192.168.1.0/24 -j ACCEPT
заработало. Отлажу мелочи, выложу инстукцию для racoon+zywall

petav ★★★★★
() автор топика
Ответ на: комментарий от petav

Но пока пинга 192.168.1.1 нет

Делаете с роутера на котором racoon? Тогда используйте у ping ключ -I интерфейс-на-котором-192.168
Пример для варианта описанного мной выше.

ping -c 1 -I eth1 192.168.0.1
Пингую с сервера на котором на интерфейсе eth1 локалка 192.168.7.0/24 а на eth0 $IP1

anc ★★★★★
()
Ответ на: комментарий от anc

Спасибо, большое, после правила Nat стало откликаться:

# ping  192.168.1.1 -I eth0
PING 192.168.1.1 (192.168.1.1) from 192.168.206.75 eth0: 56(84) bytes of data.
64 bytes from 192.168.1.1: icmp_req=1 ttl=63 time=12.8 ms
64 bytes from 192.168.1.1: icmp_req=2 ttl=63 time=12.5 ms
64 bytes from 192.168.1.1: icmp_req=3 ttl=63 time=12.7 ms
64 bytes from 192.168.1.1: icmp_req=4 ttl=63 time=12.7 ms
64 bytes from 192.168.1.1: icmp_req=5 ttl=63 time=12.6 ms

petav ★★★★★
() автор топика
Ответ на: комментарий от petav

Тут уже вопросы к правилам iptables а не к ipsec. В целом верно, только -I потом не пользуйте, а пропишите в нужное место. И я еще предпочитаю ключик -s $LAN_NET тоже указывать, но это придирки.
Да, и не забудьте правила в FORWARD.

anc ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.