LINUX.ORG.RU
ФорумAdmin

Ipsec racoon ubuntu проблема с объединением сетей


0

1

Добрый день, помогите с проблемкой пожалуйста
Пытаюсь объединить сети 192.168.0.0/24 роутер D-Link DI-824VUP+ белый ИП ZZZ.ZZZ.ZZZ.ZZZ
и 192.168.1.0/24 роутер ubuntu server 11.04 ядро 2.6.38.2 ipsec-tools 0.7.3 белый ИП XXX.XXX.XXX.XXX
Соединение поднимается, на D-Link DI-824VUP+ пишется

IKE Phase2 (IPSEC SA) established : [192.168.1.0|XXX.XXX.XXX.XXX]<->[ZZZ.ZZZ.ZZZ.ZZZ|192.168.0.0]
С него 192.168.1.1 пингуется, другие машины нет

C убунты ни 192.168.0.1 ни другие машины не пингуются
В iptables всё разрешено по умолчанию

Конфиги, логи с убунты:
Подскажите, что я делаю не так?




racoon.conf

path pre_shared_key «/etc/racoon/psk.txt» ;
# CP VPN-1
remote ZZZ.ZZZ.ZZZ.ZZZ
{
   exchange_mode main;
   lifetime time 24 hour;
proposal {
      encryption_algorithm des;
      hash_algorithm sha1;
      authentication_method pre_shared_key;
      dh_group 2;
   }
}


# net-to-net
sainfo address 192.168.1.0/24 any address 192.168.0.0/24 any
{
lifetime time 480 hour;
encryption_algorithm des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
   pfs_group 2;
}




ipsec-tools.conf

#!/usr/sbin/setkey -f
flush;
spdflush;
spdadd 192.168.1.0/24 192.168.0.0/24 any -P out ipsec esp/tunnel/XXX.XXX.XXX.XXX-ZZZ.ZZZ.ZZZ.ZZZ/require;
spdadd 192.168.0.0/24 192.168.1.0/24 any -P in ipsec esp/tunnel/ZZZ.ZZZ.ZZZ.ZZZ-XXX.XXX.XXX.XXX/require;
spdadd 192.168.0.0/24 192.168.1.0/24 any -P out ipsec esp/tunnel/ZZZ.ZZZ.ZZZ.ZZZ-XXX.XXX.XXX.XXX/require;
spdadd 192.168.1.0/24 192.168.0.0/24 any -P in ipsec esp/tunnel/XXX.XXX.XXX.XXX-ZZZ.ZZZ.ZZZ.ZZZ/require;


log


May 19 10:28:58 aquinas racoon: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
May 19 10:28:58 aquinas racoon: INFO: @(#)This product linked OpenSSL 0.9.8o 01 Jun 2010 (http://www.openssl.org/)
May 19 10:28:58 aquinas racoon: INFO: Reading configuration from «/etc/racoon/racoon.conf»
May 19 10:28:58 aquinas racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=8)
May 19 10:28:58 aquinas racoon: INFO: 127.0.0.1[500] used for NAT-T
May 19 10:28:58 aquinas racoon: INFO: XXX.XXX.XXX.XXX[500] used as isakmp port (fd=9)
May 19 10:28:58 aquinas racoon: INFO: XXX.XXX.XXX.XXX[500] used for NAT-T
May 19 10:28:58 aquinas racoon: INFO: 192.168.1.1[500] used as isakmp port (fd=10)
May 19 10:28:58 aquinas racoon: INFO: 192.168.1.1[500] used for NAT-T
May 19 10:28:58 aquinas racoon: INFO: ::1[500] used as isakmp port (fd=11)
May 19 10:28:58 aquinas racoon: INFO: fe80::1e6f:65ff:fe2b:2659%eth2[500] used as isakmp port (fd=12)
May 19 10:28:58 aquinas racoon: INFO: fe80::202:b3ff:fec0:d86d%eth1[500] used as isakmp port (fd=13)
May 19 10:28:58 aquinas racoon: INFO: respond new phase 1 negotiation: XXX.XXX.XXX.XXX[500]<=>ZZZ.ZZZ.ZZZ.ZZZ[500]
May 19 10:28:58 aquinas racoon: INFO: begin Identity Protection mode.
May 19 10:28:58 aquinas racoon: WARNING: SPI size isn't zero, but IKE proposal.
May 19 10:28:59 aquinas racoon: INFO: ISAKMP-SA established XXX.XXX.XXX.XXX[500]-ZZZ.ZZZ.ZZZ.ZZZ[500] spi:8eed9c9d4a9f47fa:64760910f97ed8f1
May 19 10:28:59 aquinas racoon: INFO: respond new phase 2 negotiation: XXX.XXX.XXX.XXX[500]<=>ZZZ.ZZZ.ZZZ.ZZZ[500]
May 19 10:29:00 aquinas racoon: INFO: IPsec-SA established: ESP/Tunnel ZZZ.ZZZ.ZZZ.ZZZ[0]->XXX.XXX.XXX.XXX[0] spi=23883944(0x16c70a8)
May 19 10:29:00 aquinas racoon: INFO: IPsec-SA established: ESP/Tunnel XXX.XXX.XXX.XXX[500]->ZZZ.ZZZ.ZZZ.ZZZ[500] spi=872470860(0x3400d94c)


route

Destination Gateway Genmask Flags Metric Ref Use Iface
XXX.XXX.XXX.0 * 255.255.255.0 U 0 0 0 eth2
192.168.1.0 * 255.255.255.0 U 0 0 0 eth1
192.168.0.0 192.168.1.1 255.255.255.0 UG 0 0 0 eth1
default XXX.XXX.XXX.XXX 0.0.0.0 UG 100 0 0 eth2

предпоследняя строчка добавлена руками, без неё тоже не работает.

>C убунты ни 192.168.0.1 ни другие машины не пингуются

В iptables всё разрешено по умолчанию

Все таки привел бы ты настрики iptables.

May 19 10:28:58 aquinas racoon: WARNING: SPI size isn't zero, but IKE proposal.

Вбил эту строку в Google и вуаля - ошибки именно с роутерами D-Link. ИМХО, гораздо проще(лучше?) поднимать IpSec между двумя шлюзами. Месяцев пять назад поднимал между двумя CentOS'ями, но с помощью OpenS/WAN - проблем не возникло.

mdma ()
Ответ на: комментарий от mdma

root@aquinas:/var/log# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
ACCEPT all  — anywhere anywhere
ACCEPT esp  — zzz.zzz.zzz.zzz xxx.xxx.xxx.xxx
ACCEPT udp  — zzz.zzz.zzz.zzz xxx.xxx.xxx.xxx udp dpt:isakmp

Chain FORWARD (policy ACCEPT)
target prot opt source destination
ACCEPT all  — anywhere anywhere
REJECT all  — anywhere anywhere reject-with icmp-port-unreachable

Chain OUTPUT (policy ACCEPT)
target prot opt source destination


Конечно лучше, но железяки куплены и засланы в другие города, никто мне три роутера не купит :(

vsclub ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.