Доброго дня!
Пытаюсь поднять ipsec между двумя linux серверами, как описано тут:
http://www.rhd.ru/docs/manuals/enterprise/RHEL-4-Manual/security-guide/s1-ips...
Схема лабы:
192.168.0.0/24 -office1 - 192.168.0.1||10.0.0.200 - localnet - 10.0.0.201||192.168.1.1 - office2 - 192.168.1.0/24
В данном случае все работает.
Ставлю компы в разные офисы.
Подправляю /etc/sysconfig/network-scripts/ifcfg-ipsec0
Заменяю DST адреса.
Схема на практике.
192.168.0.0/24 -office1 - 192.168.0.1||XXX.XXX.XXX.XXX - internet - ZZZ.ZZZ.ZZZ.ZZZ||192.168.1.1 - office2 - 192.168.1.0/24
В даннос случае пинги не проходят.
Компы те же, iptables принимает все пакеты, не дропает ничего.
racoon говорит:
INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
INFO: @(#)This product linked OpenSSL 1.0.0d-fips 8 Feb 2011 (http://www.openssl.org/)
INFO: Reading configuration from «/etc/racoon/racoon.conf»
INFO: XXX.XXX.XXX.XXX[500] used as isakmp port (fd=9)
INFO: XXX.XXX.XXX.XXX[500] used for NAT-T
INFO: unsupported PF_KEY message REGISTER
INFO: 127.0.0.1[500] used as isakmp port (fd=0)
INFO: 127.0.0.1[500] used for NAT-T
INFO: XXX.XXX.XXX.XXX[500] used as isakmp port (fd=8)
INFO: XXX.XXX.XXX.XXX[500] used for NAT-T
INFO: 192.168.0.1[500] used as isakmp port (fd=9)
INFO: 192.168.0.1[500] used for NAT-T
INFO: fe80::215:17ff:feb3:1034%eth0[500] used as isakmp port (fd=15)
INFO: fe80::215:17ff:feb3:1036%eth1[500] used as isakmp port (fd=16)
INFO: IPsec-SA request for ZZZ.ZZZ.ZZZ.ZZZ queued due to no phase1 found.
INFO: initiate new phase 1 negotiation: XXX.XXX.XXX.XXX[500]<=>ZZZ.ZZZ.ZZZ.ZZZ[500]
INFO: begin Aggressive mode.
INFO: received Vendor ID: DPD
NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
INFO: ISAKMP-SA established XXX.XXX.XXX.XXX[500]-ZZZ.ZZZ.ZZZ.ZZZ[500] spi:3ba02ecb100d7d3c:7239f899ba8b124a
INFO: respond new phase 2 negotiation: XXX.XXX.XXX.XXX[500]<=>ZZZ.ZZZ.ZZZ.ZZZ[500]
INFO: IPsec-SA established: AH/Tunnel ZZZ.ZZZ.ZZZ.ZZZ[500]->XXX.XXX.XXX.XXX[500] spi=167866852(0xa0171e4)
INFO: IPsec-SA established: ESP/Tunnel ZZZ.ZZZ.ZZZ.ZZZ[500]->XXX.XXX.XXX.XXX[500] spi=92676938(0x586234a)
INFO: IPsec-SA established: AH/Tunnel XXX.XXX.XXX.XXX[500]->ZZZ.ZZZ.ZZZ.ZZZ[500] spi=185406509(0xb0d142d)
INFO: IPsec-SA established: ESP/Tunnel XXX.XXX.XXX.XXX[500]->ZZZ.ZZZ.ZZZ.ZZZ[500] spi=56514983(0x35e59a7)
INFO: initiate new phase 2 negotiation: XXX.XXX.XXX.XXX[500]<=>ZZZ.ZZZ.ZZZ.ZZZ[500]
INFO: IPsec-SA established: AH/Tunnel ZZZ.ZZZ.ZZZ.ZZZ[500]->XXX.XXX.XXX.XXX[500] spi=114769297(0x6d73d91)
INFO: IPsec-SA established: ESP/Tunnel ZZZ.ZZZ.ZZZ.ZZZ[500]->XXX.XXX.XXX.XXX[500] spi=111038607(0x69e508f)
INFO: IPsec-SA established: AH/Tunnel XXX.XXX.XXX.XXX[500]->ZZZ.ZZZ.ZZZ.ZZZ[500] spi=106840651(0x65e424b)
INFO: IPsec-SA established: ESP/Tunnel XXX.XXX.XXX.XXX[500]->ZZZ.ZZZ.ZZZ.ZZZ[500] spi=167399505(0x9fa5051)
Судя по последним строкам тоннель образовывается.
На другой стороне лог такой же
Пробую на стороне ZZZ.ZZZ.ZZZ.ZZZ выпонить ping 192.168.0.1
результат tcpdump такой:
tcpdump -i eth0 -n -e -v host ZZZ.ZZZ.ZZZ.ZZZ and port not 53 and port not 80 and port not 3306
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 65535 bytes
ZZZ.ZZZ.ZZZ.ZZZ > XXX.XXX.XXX.XXX: AH(spi=0x06d73d91,sumlen=16,seq=0x59): (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ESP (50), length 136)
ZZZ.ZZZ.ZZZ.ZZZ > XXX.XXX.XXX.XXX: ESP(spi=0x069e508f,seq=0x59), length 116
15:21:44.553093 b0:c6:9a:5f:00:29 > 00:15:17:b3:10:34, ethertype IPv4 (0x0800), length 150: (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ESP (50), length 136)
В результате сети 192.168.0.0/24 и 192.168.1.0/24 друг-друга не видят.
Подскажите плз, куда копать?
Ответ на:
комментарий
от fr_butch
Ответ на:
комментарий
от gich
Ответ на:
комментарий
от blind_oracle
Ответ на:
комментарий
от gich
Ответ на:
комментарий
от gich
Ответ на:
комментарий
от blind_oracle
Ответ на:
комментарий
от gich
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Похожие темы
- Форум Ipsec racoon ubuntu проблема с объединением сетей (2011)
- Форум Racoon Ipsec internet access (2015)
- Форум IpSec между ubuntu server и pfsense. Не проходит pharse1 (2014)
- Форум ipsec - не поднимается туннель (2011)
- Форум Ipsec проблема (2012)
- Форум ipsec (2.6 KAME-tools) transport mode, auto key (2004)
- Форум L2TP over IPsec. не получается сконфигурировать xl2tpd. (2012)
- Форум ipsec Racoon linux (2012)
- Форум Проблемы с подключением xl2tpd+racoon+ipsec.tools (2016)
- Форум МГТС, Sercomm rv6688, Cisco VPN client под оффтопик: кто мешает достучаться до VPN? (2016)