LINUX.ORG.RU
решено ФорумAdmin

Помогите срастить ipsec (ipsec-tools + racoon) <---> strongswan

 , ,


0

1

Есть уже существующий рабочий сетап ipsec на базе ipsec-tools + racoon (старые машины), к которым надо подключить свежую машину с ipsec на strongswan.

У существующего сетапа:

	proposal {
		encryption_algorithm 3des;
		hash_algorithm sha1;
		authentication_method pre_shared_key;
		dh_group 2;

Что-то я не соображу что на стороне strongswan надо указать. 0

	ike=3des-sha1-modp1024!
	esp=3des-sha1
Так?

В общем, сейчас я на стороне racoon получаю сообщения вида

ERROR: invalid flag 0x08.

На стороне strongswan получаю сообщения вида

parsed ID_PROT request 0 [ ID HASH ]
looking for pre-shared key peer configs matching
found 1 matching config, but none allows pre-shared key authentication using Main Mode
generating INFORMATIONAL_V1 request 3754429371 [ HASH N(AUTH_FAILED) ]

Из поиска внятного ответа я не смог получить (((

Что я делаю не так? Помогите, пожалуйста.

ipsec и openswan

★★★★★

В целом криминала особого не вижу за исключением добавить -modp1024! и в esp. Во всяком случае у меня так робит.
Посмотрите ipsec listplugins возможно у вас того же 3des нэма, он отдельным плагином идет.

anc ★★★★★ ()
Ответ на: комментарий от targitaj

Тоже вроде без криминала.
Лучше так
ipsec listplugins | grep -i des
Это было с моей стороны пальцем в небо. Просто попадал на такое ранее. Когда тот или иной плагин не был закомпилин.

Изменения в esp не помогли?

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc
ipsec listplugins | grep -i des
        CRYPTER:3DES_CBC-24 (soft)
    CRYPTER:3DES_CBC-24
    CRYPTER:DES_CBC-8
    CRYPTER:DES_ECB-8
    CRYPTER:3DES_CBC-24
    CRYPTER:DES_CBC-8
    CRYPTER:DES_ECB-8
    CRYPTER:DES_CBC-8
    CRYPTER:DES_ECB-8
    CRYPTER:3DES_CBC-24

Изменения в esp не помогли?

grep 1024 /etc/ipsec.conf 
	ike=3des-sha1-modp1024!
	esp=3des-sha1-modp1024!

это? Не, не помогло

targitaj ★★★★★ ()
Ответ на: комментарий от targitaj

Ошибок вот вообще не вижу. Ну ладно, напомните позже вдруг забуду :) , протестирую и с sha1. Хотя ещё раз, не вижу ошибок, вроде все верно, даже придраться не к чему. :(

anc ★★★★★ ()
Ответ на: комментарий от targitaj

яннп. какой поисковик? у тебя сетап ждет авторизацию по ключу. клиент ломится без нее. о чем человеческим языком пишет: "не нашел, йоба, ни одного ключа, ответ получил такой: [ HASH N(AUTH_FAILED) ] (аутентификацию слил) "

Anoxemian ★★★★★ ()
Ответ на: комментарий от targitaj

о, а сетап тебе пишет: notification NO-PROPOSAL-CHOSEN received in unencrypted informational exchange. То бишь: «ломится кто-то, но сливает, т.к. ключа не предоставил, а другого предложения для коннекта у меня нет»

Anoxemian ★★★★★ ()
Ответ на: комментарий от anc

gate55

root@net-gate55:~# cat /etc/ipsec.conf 
# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
	# strictcrlpolicy=yes
	# uniqueids = no

# Add connections here.

# Sample VPN connections

# ---> gate33
conn gate55-to-gate33
#	authby=secret
	left=%defaultroute
	leftid=185.x.x.x
	leftsubnet=10.5.5.0/24
	right=136.x.x.x
	rightsubnet=10.3.3.0/24
	keyexchange = ikev2
	ike=3des-sha1-modp1024!
	esp=3des-sha1-modp1024!
#	keyingtries=0
	ikelifetime=1h
	lifetime=8h
#	dpddelay=30
#	dpdtimeout=120
#	dpdaction=restart
	auto=start
	aggressive = yes

include /var/lib/strongswan/ipsec.conf.inc
root@net-gate55:~# 

gate33

root@net-gate33:~# cat /etc/racoon/racoon.conf 
#
# NOTE: This file will not be used if you use racoon-tool(8) to manage your
# IPsec connections. racoon-tool will process racoon-tool.conf(5) and
# generate a configuration (/var/lib/racoon/racoon.conf) and use it, instead
# of this file.
#
# Simple racoon.conf
# 
#
# Please look in /usr/share/doc/racoon/examples for
# examples that come with the source.
#
# Please read racoon.conf(5) for details, and alsoread setkey(8).
#
#
# Also read the Linux IPSEC Howto up at 
# http://www.ipsec-howto.org/t1.html 
#
log notify;
#log debug2;
path pre_shared_key «/etc/racoon/psk.txt»;
path certificate «/etc/racoon/certs»;

sainfo anonymous {
	pfs_group 2;
	lifetime time 1 hour;
	encryption_algorithm 3des, blowfish 448, rijndael;
	authentication_algorithm hmac_sha1, hmac_md5;
	compression_algorithm deflate;
	}
# ---> net-gate55
remote 185.x.x.x {
	exchange_mode main;
	proposal {
		encryption_algorithm 3des;
		hash_algorithm sha1;
		authentication_method pre_shared_key;
		dh_group 2;
		}
	}
root@net-gate33:~# cat /etc/ipsec-tools.conf 
#!/usr/sbin/setkey -f

# NOTE: Do not use this file if you use racoon with racoon-tool
# utility. racoon-tool will setup SAs and SPDs automatically using
# /etc/racoon/racoon-tool.conf configuration.
# 

## Flush the SAD and SPD
#
flush;
spdflush;

## Some sample SPDs for use racoon
#

#---33-55---

spdadd		10.3.3.0/24 10.5.5.0/24		any -P out	ipsec esp/tunnel/136.x.x.x-185.x.x.x/require;

spdadd		10.5.5.0/24 10.3.3.0/24		any -P in	ipsec esp/tunnel/185.x.x.x-136.x.x.x/require;
root@net-gate33:~# 
targitaj ★★★★★ ()
Ответ на: комментарий от targitaj

Из рабочего, но чуть поправленного с удалением не нужно

conn MYCONN-NAME
       keyexchange=ikev1
       leftauth=psk
       rightauth=psk
       left=x.x.x.58
       leftid="x.x.x.58"
       right=x.x.x.14
       rightid="x.x.x.14"
       ike=3des-md5-modp768!
       esp=3des-md5-modp768!
       leftsubnet=192.168.1.0/24
       rightsubnet=192.168.2.0/24
       auto=start

Да, исторически осталось md5, можно ругать но так оно и есть. Другие железяки только так и работают, с учетом никакой конспирологии этого вполне хватает. А это мой конфиг для подключения к этой тряхомундии.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Взял пару строк из твоего конфига и заработало.

# ---> gate33
conn gate55-to-gate33
	keyexchange = ikev1
	leftauth=psk
	rightauth=psk
#	authby=psk
#	authby=secret
#	authby=xauthpsk
#	left=%defaultroute
	left=185.x.x.x
	leftid=«185.x.x.x»
	leftsubnet=10.5.5.0/24
	right=136.x.x.x
	rightid=«136.x.x.x»
	rightsubnet=10.3.3.0/24
	ike=3des-sha1-modp1024!
	esp=3des-sha1-modp1024!
	auto=start
#	keyingtries=0
#	ikelifetime=1h
#	lifetime=8h
#	dpddelay=30
#	dpdtimeout=120
#	dpdaction=restart
#	aggressive = yes

Спасибо.

targitaj ★★★★★ ()
Последнее исправление: targitaj (всего исправлений: 1)
Ответ на: комментарий от targitaj

Вангую за
keyexchange
и
left/rightid.
:)
А в целом зашибись что заработало. Я реально очень рад, что помог.
И простите что не быстро и возможно сумбурно, я только с «40-а дней» родного человека приехал.

anc ★★★★★ ()
Последнее исправление: anc (всего исправлений: 1)
Ответ на: комментарий от anc

Так-то вообще надо ключи, но на ключи я перееду после обновления всех машин-шлюзов. У меня там debian 7 сейчас на части машин.

Да, я видел, что отвечал не мне.

targitaj ★★★★★ ()
Последнее исправление: targitaj (всего исправлений: 1)
Ответ на: комментарий от targitaj

Та не, я про то что надо писать перед :(двоеточием) кто и откуда. секьюрности добавит.
Что-то типа
1.1.1.1 2.2.2.2 : PSK <your_password>"
А насчет сертов тут конечно правильнее. Но вы можете постепенно переводить, создавая отдельные секции параметров. Не обязательно ждать «когда все обновиться». Имхо для вас наооборот будет удобнее, обкатал на одном и дальше транслируй.

anc ★★★★★ ()