LINUX.ORG.RU
ФорумAdmin

L2TP/IPSEC VPN: Linux client -> CheckPoint Safe@Office 500W


0

2

Имеется CheckPoint Safe@Office, настроенный принимать L2TP/IPSEC соединения с VPN сервером. Подсоединяться надо из Linux (у меня Slackware). Делаю так: ставлю OpenSwan (http://www.openswan.org/) и xl2tpd (http://www.xelerance.com/services/software/xl2tpd/). Запускаю:

# /etc/rc.d/rc.ipsec start

ipsec_setup: Starting Openswan IPsec U2.6.32/K2.6.33.4-smp...

#ipsec verify

Checking for IPsec support in kernel [OK]
SAref kernel support [N/A]
NETKEY:  Testing for disabled ICMP send_redirects [OK]
NETKEY detected, testing for disabled ICMP accept_redirects [OK]
Hardware RNG detected, testing if used properly [OK]
Checking that pluto is running [OK]
Pluto listening for IKE on udp 500 [OK]
Pluto listening for NAT-T on udp 4500 [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADEing [OK]
Checking for 'ip' command [OK]
Checking /bin/sh is not /bin/dash [OK]
Checking for 'iptables' command [OK]
Opportunistic Encryption Support [DISABLED]

# ipsec auto --verbose --up office

002 «Office» #1: initiating Main Mode
104 «Office» #1: STATE_MAIN_I1: initiate
003 «Office» #1: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] method set to=106
002 «Office» #1: enabling possible NAT-traversal with method draft-ietf-ipsec-nat-t-ike-05
002 «Office» #1: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
106 «Office» #1: STATE_MAIN_I2: sent MI2, expecting MR2
003 «Office» #1: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: i am NATed
002 «Office» #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
108 «Office» #1: STATE_MAIN_I3: sent MI3, expecting MR3
002 «Office» #1: Main mode peer ID is ID_IPV4_ADDR: 'XXX.XXX.XXX.XXX'
002 «Office» #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4
004 «Office» #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp1536}
002 «Office» #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP+IKEv2ALLOW+SAREFTRACK {using isakmp#1 msgid:82d02e4d proposal=3DES(3)_192-MD5(1)_128 pfsgroup=no-pfs}
117 «Office» #2: STATE_QUICK_I1: initiate
002 «Office» #2: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2
004 «Office» #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0x26839c24 <0x4c12cd83 xfrm=3DES_0-HMAC_MD5 NATOA=none NATD=none DPD=none}
#

Вроде всё хорошо, туннель создан, вхожу в Safe@Office через SSH, всё работает, но через пару команд соединение прерывается. Смотрю на стороне Safe@Office — очень много ошибок «Encrypion error». Соответственно, когда хочу выполнить следующую фазу через xl2tpd, то ничего не получается, те же самые ошибки декодирования:

# /etc/rc.d/rc.xl2tpd start

Starting xl2tpd:
xl2tpd[7365]: xl2tpd version xl2tpd-1.2.4 started on laptop PID:7365
xl2tpd[7365]: Written by Mark Spencer, Copyright © 1998, Adtran, Inc.
xl2tpd[7365]: Forked by Scott Balmos and David Stipp, © 2001
xl2tpd[7365]: Inherited by Jeff McAdams, © 2002
xl2tpd[7365]: Forked again by Xelerance (www.xelerance.com) © 2006
xl2tpd[7365]: Listening on IP address 0.0.0.0, port 1701

# echo «c office» > /var/run/xl2tpd/l2tp-control

Далее xl2tpd жалуется, что израсходовал максимальное число попыток соединения. На стороне Safe@Office всё те же «Encryption error». Наверняка, всё дело в несовпадении каких-то параметров (MTU, фрагментация пакетов). С родным клиентом у Safe@Office всё в порядке, но он работает исключительно под Windows. Может быть кто-нибудь сталкивался с такой ситуацией?

# /etc/ipsec.conf
version 2.0
config setup
interfaces=%defaultroute
plutodebug=«control»
protostack=netkey
nat_traversal=yes
oe=off
conn %default
keyingtries=3
keylife=3600s
ikelifetime=21600s
conn Office
authby=secret
type=tunnel
forceencaps=no
keyexchange=ike
ike=3des-sha1
phase2=esp
phase2alg=3des-md5
pfs=no
left=%defaultroute
right=XXX.XXX.XXX.XXX
auto=add
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore

Скорее всего, данное коммерческое ipsec-решение, как и положено честным сертифицированным проприетарщикам, использует модифицированное шифрование с возможностью бэкдоринга со стороны соответствующих служб.

Не сертифицированный openswan же, надо полагать, использует честное шифрование без бэкдоров. Вот они и не могут договориться.

nnz ★★★★ ()

попробуйте уменьшить значение MTU. afair, l2tp 40 byte, ipsec 60. можно посмотреть MTU на родном клиенте.

EvgGad_303 ★★★★★ ()
Ответ на: комментарий от EvgGad_303

Ничего не помогает, наверно, хочу невозможного. Обидно, не Windows же ставить. А эта коробка - данность, с этим ничего не поделаешь :(

OlegLPS ()

лучше ipsec-tools

где-то я видел в тырнете настройку для l2tp, там про сертификаты и т.д. было, но ссылку уже не помню.

dimon555 ★★★★★ ()
Ответ на: комментарий от dimon555

Спасибо, попробую. Есть ещё Shrewsoft клиент, но он из-за NAT работать с Safe@Office не будет.

OlegLPS ()
Ответ на: комментарий от OlegLPS

>nat_traversal=yes а без этого работает ?

можно сетевым анализатором сессии сравнить с родным клиентом и без, чтобы понять хотя бы в какой фазе падает + по возможности повербознее логирование на железке (если возможно).

anonymous ()

а нельзя ли сделать то же самое с racoon и ipsec-tools? там логи громадные, но понятные

anonymous ()
Ответ на: комментарий от anonymous

Дело было в MTU

IPSEC у Checkpoint Safe Office всё таки честный. Дело было в MTU, где-то по дороге оказалось меньше, чем у меня. После подключения выставил:

# ifconfig eth0 mtu 1300

и всё. Туннель работает, коробка по нему управляется. Но теперь в L2TP-фазе (мне нужен Office mode) даёт Encryption error многократно. Разбираюсь, пока не понял.

OlegLPS ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.