LINUX.ORG.RU
решено ФорумAdmin

Проблемы с ipsec, прошу помощи

 ,


0

1

Доброго времени суток на моей стороне CentOS на удаленной - Циска, за ней два астериска был настроен тоннель, недавно упал и пошла какая-то билиберда

конфиг racoon: 

path include "/usr/local/etc/";
path pre_shared_key "/usr/local/etc/psk.txt";
#path certificate "/etc/racoon/certs";
#


padding {
        maximum_length 20;
        randomize off;
        strict_check off;
        exclusive_tail off;
}


log debug2;

listen {
        isakmp          my_real_ip [500];

}

remote dest_real_ip {
        exchange_mode main;
        doi ipsec_doi;
        situation identity_only;
        nonce_size 16;
        lifetime time 28800 sec;
#       nat_traversal off;
        passive off;
        proposal_check obey;
        initial_contact on;
        support_proxy on;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                lifetime time 3600 sec;
                dh_group 2;
        }

}

sainfo (address my_lan_ip/29 any address dest_lan_ip/30 any) {
        pfs_group       2;
        lifetime        time 36000 sec;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}


sainfo (address my_lan_ip/29 any address dest_lannet_ip/25 any) {
        pfs_group       2;
        lifetime        time 36000 sec;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}


sainfo anonymous {
        pfs_group       2;
        lifetime        time 36000 sec;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

Конфиг setkey: 

#!/usr/local/sbin/setkey -f

flush;
spdflush;

spdadd dest_lan_ip/30 my_lan_ip/29 any -P in ipsec esp/tunnel/dest_real_ip-my_real_ip/require;

spdadd dest_lannet_ip/25 dest_lan_ip/29 any -P in ipsec esp/tunnel/my_real_ip-dest_real_ip/require;

spdadd my_lan_ip/29 dest_lannet_ip/25 any -P out ipsec esp/tunnel/dest_real_ip-my_real_ip/require;

spdadd my_lan_ip/29 dest_lan_ip/30 any -P out ipsec esp/tunnel/dest_real_ip-my_real_ip/require;

для пояснения: my_real_ip, dest_real_ip - внешние адреса серверов

my_lan_ipm dest_lan_ip - внутренние адреса серверов

dest_lannet_ip - подсеть с астерисками

ситуация такая: адреса астерисков x.x.x.16 и x.x.x.35 по идее при маске x.x.x.0/25 должны быть видны оба. раньше работало - сейчас нет сейчас прописываю в setkey.conf маску /27 вижу хост x.x.x.16 прописываю маску /26 - вижу хост x.x.x.35

удаленная сторона уверяет что ничего в настройках не менялось уже крыша едет. в чем может быть загвоздка? Заранее благодарю за помощь


маску /27 вижу хост x.x.x.16 прописываю маску /26 - вижу хост x.x.x.35

А при маске /25 вобще ни одного хоста не видно?

Попробуйте посмотреть tcpdump'ом как меняются пакеты в зависимости от маски, заворачиваются пинги в esp или нет.

mky ★★★★★
()
Ответ на: комментарий от mky

при маске /25

23:37:06.603321 IP (tos 0x0, ttl 64, id 8960, offset 0, flags [DF], proto: ESP (50), length: 136) mtstar > 195.96.67.190: ESP(spi=0x92db99aa,seq=0x1), length 116 23:37:07.608700 IP (tos 0x0, ttl 64, id 8248, offset 0, flags [DF], proto: ESP (50), length: 136) mtstar > 195.96.67.190: ESP(spi=0x92db99aa,seq=0x2), length 116

при /26 (сначала до 16, после до 35) 23:40:35.415252 IP (tos 0x0, ttl 64, id 8248, offset 0, flags [DF], proto: ESP (50), length: 136) mtstar > 195.96.67.190: ESP(spi=0x44cf744c,seq=0xc), length 116 23:40:39.465818 IP (tos 0x0, ttl 64, id 29281, offset 0, flags [DF], proto: ESP (50), length: 136) mtstar > 195.96.67.190: ESP(spi=0x44cf744c,seq=0xd), length 116 23:40:39.478746 IP (tos 0x0, ttl 246, id 3221, offset 0, flags [none], proto: ESP (50), length: 136) 195.96.67.190 > mtstar: ESP(spi=0x030e2755,seq=0x1), length 116 23:40:39.478746 IP (tos 0x0, ttl 252, id 0, offset 0, flags [DF], proto: ICMP (1), length: 84) 83.242.231.35 > 192.168.22.162: ICMP echo reply, id 32778, seq 1, length 64

при /27 - соответственно наоборот

S1ash
() автор топика
Ответ на: комментарий от S1ash

идут в esp все

То есть, если пинговать, то видно, что туда уходит esp-пакет, а в ответ не приходит?

В порядке бреда. А что, если в setkey.conf сделать записи и для x.x.x.0/27 и для x.x.x.32/27 ?

mky ★★★★★
()
Ответ на: комментарий от mky

пробовал, либо ругается, либо ходит по одному, до которого пинг

S1ash
() автор топика
Ответ на: комментарий от S1ash

Форматированный текст нужно оформалять в тегах [pre] [/pre]

mky ★★★★★
()
Ответ на: комментарий от S1ash

при /27 - соответственно наоборот

При /27 icmp пакет до x.x.x.x/35 не должен заворачиватся в esp. Это так?

Хорошо бы посмотреть, что в той сети за cisco, но, наверное, это сложно.

пробовал, либо ругается, либо ходит по одному

Какие именно правила добавляли и как ругается?

mky ★★★★★
()
Ответ на: комментарий от mky

обманул, ругает если в конфиге ракуна поменять маску если прописать в setkey с 0/27 и 32/27 пингуется тот до которого первый пинг будет послан

S1ash
() автор топика
Ответ на: комментарий от mky

Я тоже считаю что проблемы на той стороне.. Либо где-то маску кривую прописали, либо циска мутит, но на той стороне ООО Комстар и у них «всё хорошо» завтра с раннего утра буду мозг шпиливилить

S1ash
() автор топика
Ответ на: комментарий от S1ash

Маску прописали, в том числе и в конфигах cisco?

mky ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Admin