forum.opennet.ru - "IPSec, Racoon и FreeBSD" (38)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"IPSec, Racoon и FreeBSD"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"IPSec, Racoon и FreeBSD"
Сообщение от RaZOR (ok) on 10-Июн-05, 09:08
FreeBSD 5.2.1, Racoon 20030826a Необходимо филиал подцепить к серверу центрального офиса по VPN IPSec. Нечего не получается! Уже мозги сломал. Ситуация на текущий момент: 1. Сервер центрального офиса - вероятно Windows. внешний адрес - xxx.xxx.xxx.xxx внутренний адрес - 192.168.3.210 внутренняя сеть - 192.168.3.0/24 2. Сервер филиала - FreeBSD (я с траблами тут). внешний адрес - yyy.yyy.yyy.yyy внутренний адрес - 192.168.4.1 внутренняя сеть - 192.168.4.0/24 /etc/rc.conf: gif_interfaces="gif0" gifconfig_gif0="yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx" ifconfig_gif0="inet 192.168.4.1 192.168.3.210 netmask 255.255.255.0" static_routes="vpn" route_vpn="192.168.3.0/24 192.168.3.210" export route_vpn ipsec_enable="YES" ipsec_file="/etc/ipsec.conf" /etc/ipsec.conf: flush; spdflush; spdadd 192.168.4.0/24 192.168.3.0/24 any -P \ out ipsec esp/transport/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/require; spdadd 192.168.3.0/24 192.168.4.0/24 any -P \ in ipsec esp/transport/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require; /usr/local/etc/racoon/racoon.conf: path include "/usr/local/etc/racoon" ; path pre_shared_key "/usr/local/etc/racoon/psk.txt" ; #path certificate "/usr/local/etc/cert" ; log debug; padding { maximum_length 20; # maximum padding length. randomize off; # enable randomize length. strict_check off; # enable strict check. exclusive_tail off; # extract last one octet. } listen { #isakmp 192.168.3.210 [500]; } timer { # These value can be changed per remote node. counter 5; # maximum trying count to send. interval 20 sec; # maximum interval to resend persend 1; # the number of packets per a send. # timer for waiting to complete each phase. phase1 30 sec; phase2 15 sec; } remote anonymous { exchange_mode main; doi ipsec_doi; situation identity_only; my_identifier address; nonce_size 16; lifetime time 3600 sec; # sec,min,hour initial_contact on; support_proxy on; proposal_check obey; # obey, strict or claim proposal { encryption_algorithm 3des; hash_algorithm md5; authentication_method pre_shared_key; dh_group 1 ; } } sainfo anonymous { pfs_group 1; lifetime time 3600 sec; encryption_algorithm 3des ; authentication_algorithm hmac_md5; compression_algorithm deflate ; } /usr/local/etc/racoon/psk.txt: xxx.xxx.xxx.xxx ************
Высказать мнение \| Ответить \| Правка \| Cообщить модератору

Оглавление

IPSec, Racoon и FreeBSD, Azazelo, 10:56 , 10-Июн-05, (1)

IPSec, Racoon и FreeBSD, RaZOR, 11:12 , 10-Июн-05, (2)

IPSec, Racoon и FreeBSD, RaZOR, 12:21 , 10-Июн-05, (3)

IPSec, Racoon и FreeBSD, .zZz., 12:57 , 10-Июн-05, (4)

IPSec, Racoon и FreeBSD, .zZz., 12:58 , 10-Июн-05, (5)

IPSec, Racoon и FreeBSD, RaZOR, 13:06 , 10-Июн-05, (6)

IPSec, Racoon и FreeBSD, .zZz., 13:12 , 10-Июн-05, (7)

IPSec, Racoon и FreeBSD, RaZOR, 13:29 , 10-Июн-05, (8)

IPSec, Racoon и FreeBSD, Skif, 13:55 , 10-Июн-05, (9)

IPSec, Racoon и FreeBSD, RaZOR, 14:22 , 10-Июн-05, (10)

IPSec, Racoon и FreeBSD, Skif, 14:33 , 10-Июн-05, (11)

IPSec, Racoon и FreeBSD, RaZOR, 14:52 , 10-Июн-05, (12)

IPSec, Racoon и FreeBSD, Azazelo, 15:05 , 10-Июн-05, (13)

IPSec, Racoon и FreeBSD, RaZOR, 15:14 , 10-Июн-05, (14)
IPSec, Racoon и FreeBSD, Skif, 15:18 , 10-Июн-05, (15)
IPSec, Racoon и FreeBSD, RaZOR, 15:47 , 10-Июн-05, (16)
IPSec, Racoon и FreeBSD, RaZOR, 15:52 , 10-Июн-05, (17)
IPSec, Racoon и FreeBSD, Skif, 16:12 , 10-Июн-05, (18)
IPSec, Racoon и FreeBSD, Skif, 16:15 , 10-Июн-05, (19)
IPSec, Racoon и FreeBSD, RaZOR, 16:52 , 10-Июн-05, (20)
IPSec, Racoon и FreeBSD, Skif, 17:03 , 10-Июн-05, (21)
IPSec, Racoon и FreeBSD, RaZOR, 17:24 , 10-Июн-05, (22)
IPSec, Racoon и FreeBSD, .zZz., 18:54 , 10-Июн-05, (23)
IPSec, Racoon и FreeBSD, anonymous, 21:53 , 10-Июн-05, (24)
IPSec, Racoon и FreeBSD, RomaNick, 13:36 , 11-Июн-05, (25)
IPSec, Racoon и FreeBSD, gennady, 01:14 , 13-Июн-05, (26)
IPSec, Racoon и FreeBSD, Skif, 12:25 , 13-Июн-05, (27)
IPSec, Racoon и FreeBSD, RaZOR, 14:23 , 14-Июн-05, (28)

IPSec, Racoon и FreeBSD, RaZOR, 14:31 , 14-Июн-05, (29)

IPSec, Racoon и FreeBSD, Skif, 14:56 , 14-Июн-05, (30)

IPSec, Racoon и FreeBSD, RaZOR, 14:58 , 14-Июн-05, (31)

IPSec, Racoon и FreeBSD, Skif, 15:01 , 14-Июн-05, (32)

IPSec, Racoon и FreeBSD, Skif, 15:19 , 14-Июн-05, (33)
IPSec, Racoon и FreeBSD, RaZOR, 16:37 , 14-Июн-05, (34)

IPSec, Racoon и FreeBSD, RaZOR, 17:03 , 14-Июн-05, (35)

IPSec, Racoon и FreeBSD, akocherov, 04:36 , 28-Авг-07, (36)

IPSec, Racoon и FreeBSD, RaZOR, 08:07 , 28-Авг-07, (37)

IPSec, Racoon и FreeBSD, J.Rico, 14:20 , 15-Янв-08, (38)

Сообщения по теме [Сортировка по времени | RSS]

1. "IPSec, Racoon и FreeBSD"

Сообщение от Azazelo (??) on 10-Июн-05, 10:56

>FreeBSD 5.2.1, Racoon 20030826a
>Необходимо филиал подцепить к серверу центрального офиса по VPN IPSec.
>Нечего не получается! Уже мозги сломал.
>
>Ситуация на текущий момент:
>1. Сервер центрального офиса - вероятно Windows.
>внешний адрес - xxx.xxx.xxx.xxx
>внутренний адрес - 192.168.3.210
>внутренняя сеть - 192.168.3.0/24
>2. Сервер филиала - FreeBSD (я с траблами тут).
>внешний адрес - yyy.yyy.yyy.yyy
>внутренний адрес - 192.168.4.1
>внутренняя сеть - 192.168.4.0/24
>
>/etc/rc.conf:
>gif_interfaces="gif0"
>gifconfig_gif0="yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx"
>ifconfig_gif0="inet 192.168.4.1 192.168.3.210 netmask 255.255.255.0"
>static_routes="vpn"
>route_vpn="192.168.3.0/24 192.168.3.210"
>export route_vpn
>ipsec_enable="YES"
>ipsec_file="/etc/ipsec.conf"
>
>/etc/ipsec.conf:
>flush;
>spdflush;
>spdadd 192.168.4.0/24 192.168.3.0/24 any -P \
>out ipsec esp/transport/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/require;
>spdadd 192.168.3.0/24 192.168.4.0/24 any -P \
>in ipsec esp/transport/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require;
>
>/usr/local/etc/racoon/racoon.conf:
>path include "/usr/local/etc/racoon" ;
>path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
>#path certificate "/usr/local/etc/cert" ;
>log debug;
>padding
>{
>        maximum_length 20; # maximum
>padding length.
>        randomize off; # enable
>randomize length.
>        strict_check off; # enable
>strict check.
>        exclusive_tail off; # extract
>last one octet.
>}
>
>listen
>{
>        #isakmp 192.168.3.210 [500];
>}
>
>timer
>{
># These value can be changed per remote node.
>        counter 5; # maximum
>trying count to send.
>        interval 20 sec; #
>maximum interval to resend
>        persend 1; # the
>number of packets per a send.
>
># timer for waiting to complete each phase.
>        phase1 30 sec;
>        phase2 15 sec;
>}
>
>remote anonymous
>{
>        exchange_mode main;
>        doi ipsec_doi;
>        situation identity_only;
>
>        my_identifier address;
>        nonce_size 16;
>        lifetime time 3600 sec;
># sec,min,hour
>        initial_contact on;
>        support_proxy on;
>        proposal_check obey; # obey,
>strict or claim
>
>proposal {
>        encryption_algorithm 3des;
>        hash_algorithm md5;
>        authentication_method pre_shared_key;
>        dh_group 1 ;
>        }
>}
>
>sainfo anonymous
>{
>        pfs_group 1;
>        lifetime time 3600 sec;
>
>        encryption_algorithm 3des ;
>        authentication_algorithm hmac_md5;
>        compression_algorithm deflate ;
>}
>
>/usr/local/etc/racoon/psk.txt:
>xxx.xxx.xxx.xxx        ************
а firewall ? не мешает ?
у меня подобная конструкция работает в 5 разных офисах.
делал по следуюшему мануалу
http://www.opennet.ru/base/net/vpn_ipsec_racoon.txt.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 10-Июн-05, 11:12

>а firewall ? не мешает ?
>
>у меня подобная конструкция работает в 5 разных офисах.
>делал по следуюшему мануалу
>http://www.opennet.ru/base/net/vpn_ipsec_racoon.txt.html
Не мешает. По дефолту все открыто, не закрывал.
Читал его. Но что-то не хочет. :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 10-Июн-05, 12:21

racoon в логах пишет следующее:
2005-06-10 13:17:43: DEBUG: pfkey.c:195:pfkey_handler(): get pfkey X_SPDDUMP message
2005-06-10 13:17:43: DEBUG: pfkey.c:210:pfkey_handler(): pfkey X_SPDDUMP failed: No such file or directory

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "IPSec, Racoon и FreeBSD"

Сообщение от .zZz. (??) on 10-Июн-05, 12:57

>racoon в логах пишет следующее:
>
>2005-06-10 13:17:43: DEBUG: pfkey.c:195:pfkey_handler(): get pfkey X_SPDDUMP message
>2005-06-10 13:17:43: DEBUG: pfkey.c:210:pfkey_handler(): pfkey X_SPDDUMP failed: No such file or directory
>
собственно, а /usr/local/etc/racoon/psk.txt есть с расшаренным ключом соответствующим ip внутри?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "IPSec, Racoon и FreeBSD"

Сообщение от .zZz. (??) on 10-Июн-05, 12:58

>>racoon в логах пишет следующее:
>>
>>2005-06-10 13:17:43: DEBUG: pfkey.c:195:pfkey_handler(): get pfkey X_SPDDUMP message
>>2005-06-10 13:17:43: DEBUG: pfkey.c:210:pfkey_handler(): pfkey X_SPDDUMP failed: No such file or directory
>>
>
>собственно, а /usr/local/etc/racoon/psk.txt есть с расшаренным ключом соответствующим ip внутри?
тьфу сорри...
он ещё должен быть с правильными правами

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 10-Июн-05, 13:06

>тьфу сорри...
>он ещё должен быть с правильными правами
Чтение файла разрешено всем. Там внешний адрес сервера центрального офиса.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "IPSec, Racoon и FreeBSD"

Сообщение от .zZz. (??) on 10-Июн-05, 13:12

>>тьфу сорри...
>>он ещё должен быть с правильными правами
>
>Чтение файла разрешено всем. Там внешний адрес сервера центрального офиса.
неееее... тут как раз и запара - этот файл ДОЛЖЕН быть с чмодом 600 - иначе ракун его отплёвывает ( как мне помницца )

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 10-Июн-05, 13:29

>неееее... тут как раз и запара - этот файл ДОЛЖЕН быть с
>чмодом 600 - иначе ракун его отплёвывает ( как мне помницца
не помогает :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "IPSec, Racoon и FreeBSD"

Сообщение от Skif (ok) on 10-Июн-05, 13:55

>>неееее... тут как раз и запара - этот файл ДОЛЖЕН быть с
>>чмодом 600 - иначе ракун его отплёвывает ( как мне помницца
>
>не помогает :(

ipfw add allow esp from any to any
добавь. Этот тип не всегда отрабатывается при ip fom any to any

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 10-Июн-05, 14:22

>ipfw add allow esp from any to any
>
>добавь. Этот тип не всегда отрабатывается при ip fom any to any
Добавил для своего файрвола.
Тут смысл не в файрволе, как я думаю.
По логам Racoon следует его запуск, потом строки:
2005-06-10 15:14:13: DEBUG: pfkey.c:195:pfkey_handler(): get pfkey X_SPDDUMP message
2005-06-10 15:14:13: DEBUG: pfkey.c:210:pfkey_handler(): pfkey X_SPDDUMP failed: No such file or directory
Потом он начинает соединяться с каким-то посторонним адресом (!). Такие дела...
С нужным из psk.txt даже и не думает. В конце валится с этими строками:
2005-06-10 15:14:38: ERROR: ipsec_doi.c:404:print_ph1mismatched(): rejected enctype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 3DES-CBC:7
2005-06-10 15:14:38: ERROR: ipsec_doi.c:428:print_ph1mismatched(): rejected hash type: DB(prop#1:trns#1):Peer(prop#0:trns#0) = MD5:SHA
2005-06-10 15:14:38: ERROR: ipsec_doi.c:440:print_ph1mismatched(): rejected dh_group: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 768-bit MODP group:1024-bit MODP group
2005-06-10 15:14:38: ERROR: ipsec_doi.c:243:get_ph1approval(): no suitable proposal found.
2005-06-10 15:14:38: ERROR: isakmp_ident.c:782:ident_r1recv(): failed to get valid proposal.
2005-06-10 15:14:38: ERROR: isakmp.c:913:isakmp_ph1begin_r(): failed to processpacket.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "IPSec, Racoon и FreeBSD"

Сообщение от Skif (ok) on 10-Июн-05, 14:33

контрольный вопрос transport принципиально или может подойти tunnel ?
просто меня грызут смутные сомнения по поводу ipsec еще. Но так как я большую часть времени использовал именно tunnel то могу ошмибаться

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 10-Июн-05, 14:52

>контрольный вопрос transport принципиально или может подойти tunnel ?
>просто меня грызут смутные сомнения по поводу ipsec еще. Но так как
>я большую часть времени использовал именно tunnel то могу ошмибаться

Я админ филиала. Центральный офис из-за меня менять ничего не будет.
Время идет... На повестке дня остались только непонятки с proposal :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "IPSec, Racoon и FreeBSD"

Сообщение от Azazelo (??) on 10-Июн-05, 15:05

>>контрольный вопрос transport принципиально или может подойти tunnel ?
>>просто меня грызут смутные сомнения по поводу ipsec еще. Но так как
>>я большую часть времени использовал именно tunnel то могу ошмибаться
>
>
>Я админ филиала. Центральный офис из-за меня менять ничего не будет.
>Время идет... На повестке дня остались только непонятки с proposal :)
я тоже использую tunnel. использовал вышеописанную статью .

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 10-Июн-05, 15:14

>>Я админ филиала. Центральный офис из-за меня менять ничего не будет.
>>Время идет... На повестке дня остались только непонятки с proposal :)
>
>я тоже использую tunnel. использовал вышеописанную статью .
Я рад :)
Что с proposal делать-то?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "IPSec, Racoon и FreeBSD"

Сообщение от Skif (ok) on 10-Июн-05, 15:18

Заглуши ракун. Очисть лог. Потом стартани и потерпи секунд 30. Все что вывалиться кинь сюда или же вывеси где нить на страничку. Охота глянуть.
Да еще, DEBUG включал в ядре? для IPSEC?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 10-Июн-05, 15:47

>Заглуши ракун. Очисть лог. Потом стартани и потерпи секунд 30. Все что
>вывалиться кинь сюда или же вывеси где нить на страничку. Охота
>глянуть.
>Да еще, DEBUG включал в ядре? для IPSEC?
Дебаг включен.
Содержимое лога:
2005-06-10 16:40:51: INFO: main.c:172:main(): @(#)package version freebsd-20030826a
2005-06-10 16:40:51: INFO: main.c:174:main(): @(#)internal version 20001216 sakane@kame.net
2005-06-10 16:40:51: INFO: main.c:175:main(): @(#)This product linked OpenSSL 0.9.7c 30 Sep 2003 (http://www.openssl.org/)
2005-06-10 16:40:51: WARNING: cftoken.l:514:yywarn(): /usr/local/etc/racoon/racoon.conf:46: "support_mip6" it is obsoleted.  use "support_proxy".
2005-06-10 16:40:51: DEBUG: pfkey.c:2310:pk_checkalg(): compression algorithm can not be checked because sadb message doesn't support it.
2005-06-10 16:40:51: INFO: isakmp.c:1358:isakmp_open(): yyy.yyy.yyy.yyy[500] used as isakmp port (fd=5)
2005-06-10 16:40:51: DEBUG: pfkey.c:195:pfkey_handler(): get pfkey X_SPDDUMP message
2005-06-10 16:40:51: DEBUG: pfkey.c:195:pfkey_handler(): get pfkey X_SPDDUMP message
2005-06-10 16:40:51: DEBUG: policy.c:184:cmpspidxstrict(): sub:0xbfbfe9c0: 192.168.4.0/24[0] 192.168.3.0/32[0] proto=any dir=out
2005-06-10 16:40:51: DEBUG: policy.c:185:cmpspidxstrict(): db :0x80a1c08: 192.168.3.0/24[0] 192.168.4.0/24[0] proto=any dir=in
2005-06-10 16:42:07: DEBUG: isakmp.c:221:isakmp_handler(): ===
2005-06-10 16:42:07: DEBUG: isakmp.c:222:isakmp_handler(): 388 bytes message received from 195.58.28.165[500]
2005-06-10 16:42:07: DEBUG: plog.c:193:plogdump():
499615c2 69485703 00000000 00000000 01100200 00000000 00000184 0d0000dc
00000001 00000001 000000d0 00010006 03000024 00010000 80010007 800e0080
80020002 80030001 80040002 800b0001 800c7080 03000024 01010000 80010007
800e0080 80020001 80030001 80040002 800b0001 800c7080 03000020 02010000
80010005 80020002 80030001 80040002 800b0001 800c7080 03000020 03010000
80010005 80020001 80030001 80040002 800b0001 800c7080 03000020 04010000
80010001 80020002 80030001 80040002 800b0001 800c7080 00000020 05010000
80010001 80020001 80030001 80040002 800b0001 800c7080 0d000014 afcad713
68a1f1c9 6b8696fc 77570100 0d000014 27bab5dc 01ea0760 ea4e3190 ac27c0d0
0d000014 6105c422 e76847e4 3f968480 1292aecd 0d000014 4485152d 18b6bbcd
0be8a846 9579ddcc 0d000014 cd604643 35df21f8 7cfdb2fc 68b6a448 0d000014
90cb8091 3ebb696e 086381b5 ec427b1f 00000014 7d9419a6 5310ca6f 2c179d92
15529d56
2005-06-10 16:42:07: DEBUG: isakmp.c:2248:isakmp_printpacket(): begin.
2005-06-10 16:42:07: DEBUG: remoteconf.c:129:getrmconf(): anonymous configuration selected for 195.58.28.165[500].
2005-06-10 16:42:07: DEBUG: isakmp.c:889:isakmp_ph1begin_r(): ===
2005-06-10 16:42:07: INFO: isakmp.c:894:isakmp_ph1begin_r(): respond new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>195.58.28.165[500]
2005-06-10 16:42:07: INFO: isakmp.c:899:isakmp_ph1begin_r(): begin Identity Protection mode.
2005-06-10 16:42:07: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=1(sa)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:07: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:07: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:07: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:07: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:07: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:07: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:07: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:07: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1117:get_proppair(): total SA len=216
2005-06-10 16:42:07: DEBUG: plog.c:193:plogdump():
00000001 00000001 000000d0 00010006 03000024 00010000 80010007 800e0080
80020002 80030001 80040002 800b0001 800c7080 03000024 01010000 80010007
800e0080 80020001 80030001 80040002 800b0001 800c7080 03000020 02010000
80010005 80020002 80030001 80040002 800b0001 800c7080 03000020 03010000
80010005 80020001 80030001 80040002 800b0001 800c7080 03000020 04010000
80010001 80020002 80030001 80040002 800b0001 800c7080 00000020 05010000
80010001 80020001 80030001 80040002 800b0001 800c7080
2005-06-10 16:42:07: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=2(prop)
2005-06-10 16:42:07: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1178:get_proppair(): proposal #0 len=208
2005-06-10 16:42:07: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:07: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:07: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1327:get_transform(): transform #0 len=36
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Encryption Algorithm, flag=0x8000, lorv=7
2005-06-10 16:42:07: DEBUG: algorithm.c:386:alg_oakley_encdef(): encription(aes)
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Key Length, flag=0x8000, lorv=128
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Hash Algorithm, flag=0x8000, lorv=SHA
2005-06-10 16:42:07: DEBUG: algorithm.c:256:alg_oakley_hashdef(): hash(sha1)
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:07: DEBUG: algorithm.c:614:alg_oakley_dhdef(): hmac(modp1024)
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:07: ERROR: ipsec_doi.c:1318:get_transform(): Only a single transform payload is allowed during phase 1 processing.
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1221:get_proppair(): pair 0:
2005-06-10 16:42:07: DEBUG: proposal.c:895:print_proppair0():  0x80a7d20: next=0x0 tnext=0x0
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:1256:get_proppair(): proposal #0: 1 transform
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:322:get_ph1approvalx(): prop#=0, prot-id=ISAKMP, spi-size=0, #trns=6
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:327:get_ph1approvalx(): trns#=0, trns-id=IKE
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Encryption Algorithm, flag=0x8000, lorv=7
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Key Length, flag=0x8000, lorv=128
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Hash Algorithm, flag=0x8000, lorv=SHA
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:338:get_ph1approvalx(): Compared: DB:Peer
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:339:get_ph1approvalx(): (lifetime = 3600:28800)
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:341:get_ph1approvalx(): (lifebyte = 0:0)
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:343:get_ph1approvalx(): enctype = 3DES-CBC:7
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:348:get_ph1approvalx(): (encklen = 0:128)
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:350:get_ph1approvalx(): hashtype = MD5:SHA
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:355:get_ph1approvalx(): authmethod = pre-shared key:pre-shared key
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:360:get_ph1approvalx(): dh_group = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Encryption Algorithm, flag=0x8000, lorv=7
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Key Length, flag=0x8000, lorv=128
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Hash Algorithm, flag=0x8000, lorv=SHA
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:07: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:07: ERROR: ipsec_doi.c:404:print_ph1mismatched(): rejected enctype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 3DES-CBC:7
2005-06-10 16:42:07: ERROR: ipsec_doi.c:428:print_ph1mismatched(): rejected hashtype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = MD5:SHA
2005-06-10 16:42:07: ERROR: ipsec_doi.c:440:print_ph1mismatched(): rejected dh_group: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:07: ERROR: ipsec_doi.c:243:get_ph1approval(): no suitable proposal found.
2005-06-10 16:42:07: ERROR: isakmp_ident.c:782:ident_r1recv(): failed to get valid proposal.
2005-06-10 16:42:07: ERROR: isakmp.c:913:isakmp_ph1begin_r(): failed to process packet.
2005-06-10 16:42:37: DEBUG: isakmp.c:221:isakmp_handler(): ===
2005-06-10 16:42:37: DEBUG: isakmp.c:222:isakmp_handler(): 388 bytes message received from 195.58.28.165[500]
2005-06-10 16:42:37: DEBUG: plog.c:193:plogdump():
499615c2 69485703 00000000 00000000 01100200 00000000 00000184 0d0000dc
00000001 00000001 000000d0 00010006 03000024 00010000 80010007 800e0080
80020002 80030001 80040002 800b0001 800c7080 03000024 01010000 80010007
800e0080 80020001 80030001 80040002 800b0001 800c7080 03000020 02010000
80010005 80020002 80030001 80040002 800b0001 800c7080 03000020 03010000
80010005 80020001 80030001 80040002 800b0001 800c7080 03000020 04010000
80010001 80020002 80030001 80040002 800b0001 800c7080 00000020 05010000
80010001 80020001 80030001 80040002 800b0001 800c7080 0d000014 afcad713
68a1f1c9 6b8696fc 77570100 0d000014 27bab5dc 01ea0760 ea4e3190 ac27c0d0
0d000014 6105c422 e76847e4 3f968480 1292aecd 0d000014 4485152d 18b6bbcd
0be8a846 9579ddcc 0d000014 cd604643 35df21f8 7cfdb2fc 68b6a448 0d000014
90cb8091 3ebb696e 086381b5 ec427b1f 00000014 7d9419a6 5310ca6f 2c179d92
15529d56
2005-06-10 16:42:37: DEBUG: isakmp.c:2248:isakmp_printpacket(): begin.
2005-06-10 16:42:37: DEBUG: remoteconf.c:129:getrmconf(): anonymous configuration selected for 195.58.28.165[500].
2005-06-10 16:42:37: DEBUG: isakmp.c:889:isakmp_ph1begin_r(): ===
2005-06-10 16:42:37: INFO: isakmp.c:894:isakmp_ph1begin_r(): respond new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>195.58.28.165[500]
2005-06-10 16:42:37: INFO: isakmp.c:899:isakmp_ph1begin_r(): begin Identity Protection mode.
2005-06-10 16:42:37: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=1(sa)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=13(vid)
2005-06-10 16:42:37: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:37: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:37: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:37: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:37: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:37: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:37: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:37: DEBUG: vendorid.c:137:check_vendorid(): received unknown Vendor ID
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1117:get_proppair(): total SA len=216
2005-06-10 16:42:37: DEBUG: plog.c:193:plogdump():
00000001 00000001 000000d0 00010006 03000024 00010000 80010007 800e0080
80020002 80030001 80040002 800b0001 800c7080 03000024 01010000 80010007
800e0080 80020001 80030001 80040002 800b0001 800c7080 03000020 02010000
80010005 80020002 80030001 80040002 800b0001 800c7080 03000020 03010000
80010005 80020001 80030001 80040002 800b0001 800c7080 03000020 04010000
80010001 80020002 80030001 80040002 800b0001 800c7080 00000020 05010000
80010001 80020001 80030001 80040002 800b0001 800c7080
2005-06-10 16:42:37: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=2(prop)
2005-06-10 16:42:37: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1178:get_proppair(): proposal #0 len=208
2005-06-10 16:42:37: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:37: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:37: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1327:get_transform(): transform #0 len=36
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Encryption Algorithm, flag=0x8000, lorv=7
2005-06-10 16:42:37: DEBUG: algorithm.c:386:alg_oakley_encdef(): encription(aes)
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Key Length, flag=0x8000, lorv=128
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Hash Algorithm, flag=0x8000, lorv=SHA
2005-06-10 16:42:37: DEBUG: algorithm.c:256:alg_oakley_hashdef(): hash(sha1)
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:37: DEBUG: algorithm.c:614:alg_oakley_dhdef(): hmac(modp1024)
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:37: ERROR: ipsec_doi.c:1318:get_transform(): Only a single transform payload is allowed during phase 1 processing.
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1221:get_proppair(): pair 0:
2005-06-10 16:42:37: DEBUG: proposal.c:895:print_proppair0():  0x80a7d20: next=0x0 tnext=0x0
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:1256:get_proppair(): proposal #0: 1 transform
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:322:get_ph1approvalx(): prop#=0, prot-id=ISAKMP, spi-size=0, #trns=6
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:327:get_ph1approvalx(): trns#=0, trns-id=IKE
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Encryption Algorithm, flag=0x8000, lorv=7
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Key Length, flag=0x8000, lorv=128
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Hash Algorithm, flag=0x8000, lorv=SHA
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:338:get_ph1approvalx(): Compared: DB:Peer
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:339:get_ph1approvalx(): (lifetime = 3600:28800)
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:341:get_ph1approvalx(): (lifebyte = 0:0)
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:343:get_ph1approvalx(): enctype = 3DES-CBC:7
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:348:get_ph1approvalx(): (encklen = 0:128)
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:350:get_ph1approvalx(): hashtype = MD5:SHA
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:355:get_ph1approvalx(): authmethod = pre-shared key:pre-shared key
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:360:get_ph1approvalx(): dh_group = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Encryption Algorithm, flag=0x8000, lorv=7
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Key Length, flag=0x8000, lorv=128
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Hash Algorithm, flag=0x8000, lorv=SHA
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:37: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:37: ERROR: ipsec_doi.c:404:print_ph1mismatched(): rejected enctype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 3DES-CBC:7
2005-06-10 16:42:37: ERROR: ipsec_doi.c:428:print_ph1mismatched(): rejected hashtype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = MD5:SHA
2005-06-10 16:42:37: ERROR: ipsec_doi.c:440:print_ph1mismatched(): rejected dh_group: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:37: ERROR: ipsec_doi.c:243:get_ph1approval(): no suitable proposal found.
2005-06-10 16:42:37: ERROR: isakmp_ident.c:782:ident_r1recv(): failed to get valid proposal.
2005-06-10 16:42:37: ERROR: isakmp.c:913:isakmp_ph1begin_r(): failed to process packet.
2005-06-10 16:42:45: DEBUG: isakmp.c:221:isakmp_handler(): ===
2005-06-10 16:42:45: DEBUG: isakmp.c:222:isakmp_handler(): 80 bytes message received from xxx.xxx.xxx.xxx[500]
2005-06-10 16:42:45: DEBUG: plog.c:193:plogdump():
ca92beea 8fc89635 00000000 00000000 01100200 00000000 00000050 00000034
00000001 00000001 00000028 01010001 00000020 01010000 800b0001 800c7080
80010005 80030001 80020001 80040002
2005-06-10 16:42:45: DEBUG: isakmp.c:2248:isakmp_printpacket(): begin.
2005-06-10 16:42:45: DEBUG: remoteconf.c:129:getrmconf(): anonymous configuration selected for xxx.xxx.xxx.xxx[500].
2005-06-10 16:42:45: DEBUG: isakmp.c:889:isakmp_ph1begin_r(): ===
2005-06-10 16:42:45: INFO: isakmp.c:894:isakmp_ph1begin_r(): respond new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>xxx.xxx.xxx.xxx[500]
2005-06-10 16:42:45: INFO: isakmp.c:899:isakmp_ph1begin_r(): begin Identity Protection mode.
2005-06-10 16:42:45: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:45: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=1(sa)
2005-06-10 16:42:45: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1117:get_proppair(): total SA len=48
2005-06-10 16:42:45: DEBUG: plog.c:193:plogdump():
00000001 00000001 00000028 01010001 00000020 01010000 800b0001 800c7080
80010005 80030001 80020001 80040002
2005-06-10 16:42:45: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:45: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=2(prop)
2005-06-10 16:42:45: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1178:get_proppair(): proposal #1 len=40
2005-06-10 16:42:45: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:45: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:45: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1327:get_transform(): transform #1 len=32
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Encryption Algorithm, flag=0x8000, lorv=3DES-CBC
2005-06-10 16:42:45: DEBUG: algorithm.c:386:alg_oakley_encdef(): encription(3des)
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Hash Algorithm, flag=0x8000, lorv=MD5
2005-06-10 16:42:45: DEBUG: algorithm.c:256:alg_oakley_hashdef(): hash(md5)
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:45: DEBUG: algorithm.c:614:alg_oakley_dhdef(): hmac(modp1024)
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1221:get_proppair(): pair 1:
2005-06-10 16:42:45: DEBUG: proposal.c:895:print_proppair0():  0x80a7d20: next=0x0 tnext=0x0
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:1256:get_proppair(): proposal #1: 1 transform
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:322:get_ph1approvalx(): prop#=1, prot-id=ISAKMP, spi-size=0, #trns=1
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:327:get_ph1approvalx(): trns#=1, trns-id=IKE
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Encryption Algorithm, flag=0x8000, lorv=3DES-CBC
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Hash Algorithm, flag=0x8000, lorv=MD5
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:338:get_ph1approvalx(): Compared: DB:Peer
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:339:get_ph1approvalx(): (lifetime = 3600:28800)
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:341:get_ph1approvalx(): (lifebyte = 0:0)
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:343:get_ph1approvalx(): enctype = 3DES-CBC:3DES-CBC
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:348:get_ph1approvalx(): (encklen = 0:0)
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:350:get_ph1approvalx(): hashtype = MD5:MD5
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:355:get_ph1approvalx(): authmethod = pre-shared key:pre-shared key
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:360:get_ph1approvalx(): dh_group = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Encryption Algorithm, flag=0x8000, lorv=3DES-CBC
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Hash Algorithm, flag=0x8000, lorv=MD5
2005-06-10 16:42:45: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:45: ERROR: ipsec_doi.c:440:print_ph1mismatched(): rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#1) = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:45: ERROR: ipsec_doi.c:243:get_ph1approval(): no suitable proposal found.
2005-06-10 16:42:45: ERROR: isakmp_ident.c:782:ident_r1recv(): failed to get valid proposal.
2005-06-10 16:42:45: ERROR: isakmp.c:913:isakmp_ph1begin_r(): failed to process packet.
2005-06-10 16:42:54: DEBUG: isakmp.c:221:isakmp_handler(): ===
2005-06-10 16:42:54: DEBUG: isakmp.c:222:isakmp_handler(): 80 bytes message received from xxx.xxx.xxx.xxx[500]
2005-06-10 16:42:54: DEBUG: plog.c:193:plogdump():
ca92beea 8fc89635 00000000 00000000 01100200 00000000 00000050 00000034
00000001 00000001 00000028 01010001 00000020 01010000 800b0001 800c7080
80010005 80030001 80020001 80040002
2005-06-10 16:42:54: DEBUG: isakmp.c:2248:isakmp_printpacket(): begin.
2005-06-10 16:42:54: DEBUG: remoteconf.c:129:getrmconf(): anonymous configuration selected for xxx.xxx.xxx.xxx[500].
2005-06-10 16:42:54: DEBUG: isakmp.c:889:isakmp_ph1begin_r(): ===
2005-06-10 16:42:54: INFO: isakmp.c:894:isakmp_ph1begin_r(): respond new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>xxx.xxx.xxx.xxx[500]
2005-06-10 16:42:54: INFO: isakmp.c:899:isakmp_ph1begin_r(): begin Identity Protection mode.
2005-06-10 16:42:54: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:54: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=1(sa)
2005-06-10 16:42:54: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1117:get_proppair(): total SA len=48
2005-06-10 16:42:54: DEBUG: plog.c:193:plogdump():
00000001 00000001 00000028 01010001 00000020 01010000 800b0001 800c7080
80010005 80030001 80020001 80040002
2005-06-10 16:42:54: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:54: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=2(prop)
2005-06-10 16:42:54: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1178:get_proppair(): proposal #1 len=40
2005-06-10 16:42:54: DEBUG: isakmp.c:1112:isakmp_parsewoh(): begin.
2005-06-10 16:42:54: DEBUG: isakmp.c:1139:isakmp_parsewoh(): seen nptype=3(trns)
2005-06-10 16:42:54: DEBUG: isakmp.c:1178:isakmp_parsewoh(): succeed.
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1327:get_transform(): transform #1 len=32
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Encryption Algorithm, flag=0x8000, lorv=3DES-CBC
2005-06-10 16:42:54: DEBUG: algorithm.c:386:alg_oakley_encdef(): encription(3des)
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Hash Algorithm, flag=0x8000, lorv=MD5
2005-06-10 16:42:54: DEBUG: algorithm.c:256:alg_oakley_hashdef(): hash(md5)
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1886:check_attr_isakmp(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:54: DEBUG: algorithm.c:614:alg_oakley_dhdef(): hmac(modp1024)
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1221:get_proppair(): pair 1:
2005-06-10 16:42:54: DEBUG: proposal.c:895:print_proppair0():  0x80a7d20: next=0x0 tnext=0x0
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:1256:get_proppair(): proposal #1: 1 transform
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:322:get_ph1approvalx(): prop#=1, prot-id=ISAKMP, spi-size=0, #trns=1
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:327:get_ph1approvalx(): trns#=1, trns-id=IKE
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Encryption Algorithm, flag=0x8000, lorv=3DES-CBC
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Hash Algorithm, flag=0x8000, lorv=MD5
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:338:get_ph1approvalx(): Compared: DB:Peer
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:339:get_ph1approvalx(): (lifetime = 3600:28800)
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:341:get_ph1approvalx(): (lifebyte = 0:0)
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:343:get_ph1approvalx(): enctype = 3DES-CBC:3DES-CBC
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:348:get_ph1approvalx(): (encklen = 0:0)
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:350:get_ph1approvalx(): hashtype = MD5:MD5
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:355:get_ph1approvalx(): authmethod = pre-shared key:pre-shared key
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:360:get_ph1approvalx(): dh_group = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Type, flag=0x8000, lorv=seconds
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Life Duration, flag=0x8000, lorv=28800
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Encryption Algorithm, flag=0x8000, lorv=3DES-CBC
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Authentication Method, flag=0x8000, lorv=pre-shared key
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Hash Algorithm, flag=0x8000, lorv=MD5
2005-06-10 16:42:54: DEBUG: ipsec_doi.c:491:t2isakmpsa(): type=Group Description, flag=0x8000, lorv=1024-bit MODP group
2005-06-10 16:42:54: ERROR: ipsec_doi.c:440:print_ph1mismatched(): rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#1) = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:54: ERROR: ipsec_doi.c:243:get_ph1approval(): no suitable proposal found.
2005-06-10 16:42:54: ERROR: isakmp_ident.c:782:ident_r1recv(): failed to get valid proposal.
2005-06-10 16:42:54: ERROR: isakmp.c:913:isakmp_ph1begin_r(): failed to process packet.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 10-Июн-05, 15:52

Кто такой 195.58.28.165 - без понятия.
В настройках нигде не фигурирует.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "IPSec, Racoon и FreeBSD"

Сообщение от Skif (ok) on 10-Июн-05, 16:12

2005-06-10 16:42:37: ERROR: ipsec_doi.c:404:print_ph1mismatched(): rejected enctype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 3DES-CBC:7
2005-06-10 16:42:37: ERROR: ipsec_doi.c:428:print_ph1mismatched(): rejected hashtype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = MD5:SHA
2005-06-10 16:42:37: ERROR: ipsec_doi.c:440:print_ph1mismatched(): rejected dh_group: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 768-bit MODP group:1024-bit MODP group
2005-06-10 16:42:37: ERROR: ipsec_doi.c:243:get_ph1approval(): no suitable proposal found.
2005-06-10 16:42:37: ERROR: isakmp_ident.c:782:ident_r1recv(): failed to get valid proposal.
2005-06-10 16:42:37: ERROR: isakmp.c:913:isakmp_ph1begin_r(): failed to process packet.
обрати внимание на этот текст.
покажи
ls -l /usr/local/etc/racoon/
Проверь, что бы содержимое psk.txt было:
router1:
111.111.111.111   mypassword
router2
222.222.222.222   mypassword
где 111.111.111.111 ip второго роутера, а 222.222.222.222 первого.
Он говорит, что отбрасывает тип хеша, что ты шлешь. Тобишь либо неправильные пароли, либо тип шифрования не идентичен на обоих концах. Может на том конце используется не racoon?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "IPSec, Racoon и FreeBSD"

Сообщение от Skif (ok) on 10-Июн-05, 16:15

да, еще права на psk.txt должны быть тока у рута: chmod 600 psk.txt

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 10-Июн-05, 16:52

>обрати внимание на этот текст.
>покажи
>ls -l /usr/local/etc/racoon/
# ls -i /usr/local/etc/racoon/
94230 psk.txt           94231 racoon.conf
969019 psk.txt.dist     969020 racoon.conf.dist
>Проверь, что бы содержимое psk.txt было:
>router1:
>111.111.111.111   mypassword
>router2
>222.222.222.222   mypassword
>
>где 111.111.111.111 ip второго роутера, а 222.222.222.222 первого.
Откуда я возьму два роутера с ключами? Я к одному узлу подключаюсь.
Соответственно один адрес и один ключ. С этим ключем подключался D-Link DFL-600.
>Он говорит, что отбрасывает тип хеша, что ты шлешь. Тобишь либо неправильные
>пароли, либо тип шифрования не идентичен на обоих концах. Может на
>том конце используется не racoon?
Там не racoon (вероятно что-то под виндой). Но racoon-ом туда конектились и работают из другого филиала. Но там народ молчаливый слишком - не колятся :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "IPSec, Racoon и FreeBSD"

Сообщение от Skif (ok) on 10-Июн-05, 17:03

>>обрати внимание на этот текст.
>>покажи
>>ls -l /usr/local/etc/racoon/
>
># ls -i /usr/local/etc/racoon/
> 94230 psk.txt
> 94231 racoon.conf
>969019 psk.txt.dist     969020 racoon.conf.dist
не ls -i , а ls -l (L маленькая)
>
>>Проверь, что бы содержимое psk.txt было:
>>router1:
на router1 psk.txt содержит:
111.111.111.111   mypassword
на router2 psk.txt содержит:
222.222.222.222   mypassword
>Откуда я возьму два роутера с ключами? Я к одному узлу подключаюсь.
>
>Соответственно один адрес и один ключ. С этим ключем подключался D-Link DFL-600.
>
>
>>Он говорит, что отбрасывает тип хеша, что ты шлешь. Тобишь либо неправильные
>>пароли, либо тип шифрования не идентичен на обоих концах. Может на
>>том конце используется не racoon?
>
>Там не racoon (вероятно что-то под виндой). Но racoon-ом туда конектились и
>работают из другого филиала. Но там народ молчаливый слишком - не
>колятся :(
Полистай это. Выяснить надо четко, что с той стороны, что бы потом не было мучительно больно за бесцельно потраченное время.
http://www.opennet.ru/base/net/bsd_win_vpn.txt.html

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 10-Июн-05, 17:24

>не ls -i , а ls -l (L маленькая)
router# ls -l /usr/local/etc/racoon/
total 10
-rw-------  1 bin  bin    26 Jun 10 15:53 psk.txt
-r--r--r--  1 bin  bin   610 Jun  8 16:09 psk.txt.dist
-rw-r--r--  1 bin  bin  1442 Jun 10 15:57 racoon.conf
-r--r--r--  1 bin  bin  3080 Jun  8 16:09 racoon.conf.dist
>>>Проверь, что бы содержимое psk.txt было:
>>>router1:
>
>на router1 psk.txt содержит:
>111.111.111.111   mypassword
>
>на router2 psk.txt содержит:
>222.222.222.222   mypassword
Другой офис подключается с одним роутером и ключем в psk.txt
Зачем два?
>Полистай это. Выяснить надо четко, что с той стороны, что бы потом
>не было мучительно больно за бесцельно потраченное время.
>http://www.opennet.ru/base/net/bsd_win_vpn.txt.html
У меня оказалось интереснее: на той стороне D-Link-овский шлюз, у меня FreeBSD.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "IPSec, Racoon и FreeBSD"

Сообщение от .zZz. (??) on 10-Июн-05, 18:54

>>не ls -i , а ls -l (L маленькая)
>
>router# ls -l /usr/local/etc/racoon/
>total 10
>-rw-------  1 bin  bin    26 Jun 10
>15:53 psk.txt
chown root:wheel psk.txt попробуй ( у меня так и я помню - неспроста)

>-r--r--r--  1 bin  bin   610 Jun  8
>16:09 psk.txt.dist
>-rw-r--r--  1 bin  bin  1442 Jun 10 15:57 racoon.conf
>
>-r--r--r--  1 bin  bin  3080 Jun  8 16:09
>racoon.conf.dist
>
>>>>Проверь, что бы содержимое psk.txt было:
>>>>router1:
>>
>>на router1 psk.txt содержит:
>>111.111.111.111   mypassword
>>
>>на router2 psk.txt содержит:
>>222.222.222.222   mypassword
>
>Другой офис подключается с одним роутером и ключем в psk.txt
>Зачем два?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "IPSec, Racoon и FreeBSD"

Сообщение от anonymous (??) on 10-Июн-05, 21:53

>>не ls -i , а ls -l (L маленькая)
>
>router# ls -l /usr/local/etc/racoon/
>total 10
>-rw-------  1 bin  bin    26 Jun 10
>15:53 psk.txt
>-r--r--r--  1 bin  bin   610 Jun  8
>16:09 psk.txt.dist
>-rw-r--r--  1 bin  bin  1442 Jun 10 15:57 racoon.conf
>
>-r--r--r--  1 bin  bin  3080 Jun  8 16:09
>racoon.conf.dist
>
>>>>Проверь, что бы содержимое psk.txt было:
>>>>router1:
>>
>>на router1 psk.txt содержит:
>>111.111.111.111   mypassword
>>
>>на router2 psk.txt содержит:
>>222.222.222.222   mypassword
>
>Другой офис подключается с одним роутером и ключем в psk.txt
>Зачем два?
>
>>Полистай это. Выяснить надо четко, что с той стороны, что бы потом
>>не было мучительно больно за бесцельно потраченное время.
>>http://www.opennet.ru/base/net/bsd_win_vpn.txt.html
>
>У меня оказалось интереснее: на той стороне D-Link-овский шлюз, у меня FreeBSD.
что значит D-Link-овский шлюз ? та сторона , что через нат работает?
у ipsec проблемы с nat-om .

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "IPSec, Racoon и FreeBSD"

Сообщение от RomaNick (ok) on 11-Июн-05, 13:36

У меня тоже были БОЛЬШИЕ проблемы с настройкой всего этого, делал всё по инструкции через rc.conf и вроде тоже всё должно было работать, но не работало, пока не нашел в одном из форумов (не помню где), что через rc.conf данная конструкци и НЕ работает, переделал - стало всё ОК!!!!
То, что я перенёс из rc.conf в /usr/local/etc/rc.d/ipsec.sh
ifconfig gif0 destroy
ifconfig gif0 create
gifconfig gif0 192.168.1.1 192.168.1.2
ifconfig gif0 inet 192.168.2.1 172.31.31.1 netmask 255.255.255.0 mtu 1460
route add 172.31.31.0/24 172.31.31.1
/usr/sbin/setkey -f /etc/ipsec.conf
/usr/local/sbin/racoon -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log
Была ещё одна проблемка, но это уже в настройке маршрутизируемого коммутатора, кот. надо было перенастроить под данную задачу. Вообщем копай в эти стороны и в помощ тебе tcpdump -i твой_интерфейс

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "IPSec, Racoon и FreeBSD"

Сообщение от gennady (??) on 13-Июн-05, 01:14

>У меня тоже были БОЛЬШИЕ проблемы с настройкой всего этого, делал всё
>по инструкции через rc.conf и вроде тоже всё должно было работать,
>но не работало, пока не нашел в одном из форумов (не
>помню где), что через rc.conf данная конструкци и НЕ работает, переделал
>- стало всё ОК!!!!
Ерунда. Все работает через /etc/rc.conf. Проверь настройки ядра. Там по-умолчанию ipsec выключен. Проверь права доступа к файлу с ключами, как уже советовали. И длина клюяа имеет значение. Для sha1 -128 бит, для md5 -160 вроде.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "IPSec, Racoon и FreeBSD"

Сообщение от Skif (ok) on 13-Июн-05, 12:25

>router# ls -l /usr/local/etc/racoon/
>total 10
>-rw-------  1 bin  bin    26 Jun 10
>15:53 psk.txt
>-r--r--r--  1 bin  bin   610 Jun  8
>16:09 psk.txt.dist
>-rw-r--r--  1 bin  bin  1442 Jun 10 15:57 racoon.conf
>
>-r--r--r--  1 bin  bin  3080 Jun  8 16:09
>racoon.conf.dist
>
Вот здесь первая ошибка. Тебе уже не раз говорили - права 600 владелец root
>У меня оказалось интереснее: на той стороне D-Link-овский шлюз, у меня FreeBSD.
>
Модель шлюза приведи. Кстати, здесь (или это на другом видел, англицком), есть пример связки фри с D-Link шлюзом.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 14-Июн-05, 14:23

>Модель шлюза приведи. Кстати, здесь (или это на другом видел, англицком), есть
>пример связки фри с D-Link шлюзом.
На сайте Длинка есть. Особо не помогло.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 14-Июн-05, 14:31

Сделал файл psk.txt на root:wheel, chmod 600
Стало получше, но работать не хочет! :(
Текущая ситуация:
==========
rc.conf:
static_routes="vpn"
route_vpn="192.168.3.0/24 192.168.3.210"
export route_vpn
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
ike_enable="YES"
ike_program="/usr/local/sbin/racoon"
==========
Логи racoon (без debug):
2005-06-14 12:36:28: INFO: main.c:172:main(): @(#)package version freebsd-20030826a
2005-06-14 12:36:28: INFO: main.c:174:main(): @(#)internal version 20001216 sakane@kame.net
2005-06-14 12:36:28: INFO: main.c:175:main(): @(#)This product linked OpenSSL 0.9.7c 30 Sep 2003 (http://www.openssl.org/)
2005-06-14 12:36:28: WARNING: cftoken.l:514:yywarn(): /usr/local/etc/racoon/racoon.conf:46: "support_mip6" it is obsoleted.  use "support_proxy".
2005-06-14 12:36:28: INFO: isakmp.c:1358:isakmp_open(): yyy.yyy.yyy.yyy[500] used as isakmp port (fd=5)
2005-06-14 12:38:35: INFO: isakmp.c:894:isakmp_ph1begin_r(): respond new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>xxx.xxx.xxx.xxx[500]
2005-06-14 12:38:35: INFO: isakmp.c:899:isakmp_ph1begin_r(): begin Identity Protection mode.
2005-06-14 12:38:35: INFO: vendorid.c:128:check_vendorid(): received Vendor ID: KAME/racoon
2005-06-14 12:38:35: INFO: isakmp.c:2412:log_ph1established(): ISAKMP-SA established yyy.yyy.yyy.yyy[500]-xxx.xxx.xxx.xxx[500] spi:c7c26defb430c8dc:eef11288cc66b2c2
2005-06-14 12:38:35: INFO: isakmp.c:1049:isakmp_ph2begin_r(): respond new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0]
2005-06-14 12:38:35: ERROR: proposal.c:378:cmpsaprop_alloc(): encmode mismatched: my:Transport peer:Tunnel
2005-06-14 12:38:35: ERROR: ipsec_doi.c:1001:get_ph2approvalx(): not matched
2005-06-14 12:38:35: ERROR: ipsec_doi.c:966:get_ph2approval(): no suitable policy found.
2005-06-14 12:38:35: ERROR: isakmp.c:1063:isakmp_ph2begin_r(): failed to pre-process packet.
2005-06-14 12:38:45: INFO: isakmp.c:1049:isakmp_ph2begin_r(): respond new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0]
2005-06-14 12:38:45: ERROR: proposal.c:378:cmpsaprop_alloc(): encmode mismatched: my:Transport peer:Tunnel
2005-06-14 12:38:45: ERROR: ipsec_doi.c:1001:get_ph2approvalx(): not matched
2005-06-14 12:38:45: ERROR: ipsec_doi.c:966:get_ph2approval(): no suitable policy found.
2005-06-14 12:38:45: ERROR: isakmp.c:1063:isakmp_ph2begin_r(): failed to pre-process packet.
2005-06-14 12:38:55: INFO: isakmp.c:1049:isakmp_ph2begin_r(): respond new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0]
2005-06-14 12:38:55: ERROR: proposal.c:378:cmpsaprop_alloc(): encmode mismatched: my:Transport peer:Tunnel
2005-06-14 12:38:55: ERROR: ipsec_doi.c:1001:get_ph2approvalx(): not matched
2005-06-14 12:38:55: ERROR: ipsec_doi.c:966:get_ph2approval(): no suitable policy found.
2005-06-14 12:38:55: ERROR: isakmp.c:1063:isakmp_ph2begin_r(): failed to pre-process packet.
2005-06-14 12:40:37: INFO: isakmp.c:942:isakmp_ph2begin_i(): initiate new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0]
2005-06-14 12:40:37: ERROR: isakmp_inf.c:776:isakmp_info_recv_n(): unknown notify message, no phase2 handle found.
2005-06-14 12:40:52: ERROR: pfkey.c:741:pfkey_timeover(): xxx.xxx.xxx.xxx give up to get IPsec-SA due to time up to wait.
2005-06-14 12:41:17: INFO: isakmp.c:942:isakmp_ph2begin_i(): initiate new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0]
2005-06-14 12:41:17: ERROR: isakmp_inf.c:776:isakmp_info_recv_n(): unknown notify message, no phase2 handle found.
2005-06-14 12:41:32: ERROR: pfkey.c:741:pfkey_timeover(): xxx.xxx.xxx.xxx give up to get IPsec-SA due to time up to wait.
2005-06-14 12:42:22: INFO: isakmp.c:942:isakmp_ph2begin_i(): initiate new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0]
2005-06-14 12:42:22: ERROR: isakmp_inf.c:776:isakmp_info_recv_n(): unknown notify message, no phase2 handle found.
И дальше понеслось... :(

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "IPSec, Racoon и FreeBSD"

Сообщение от Skif (ok) on 14-Июн-05, 14:56

Попробуй использовать tunnel в настройках ipsec

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 14-Июн-05, 14:58

>Попробуй использовать tunnel в настройках ipsec
Это который с gif-интерфейсом?
D-Link на той стороне поймет, что от него хотят?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "IPSec, Racoon и FreeBSD"

Сообщение от Skif (ok) on 14-Июн-05, 15:01

>>Попробуй использовать tunnel в настройках ipsec
>
>Это который с gif-интерфейсом?
>D-Link на той стороне поймет, что от него хотят?

Попробуй. Модель D-Link-а же держиться в секрете :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "IPSec, Racoon и FreeBSD"

Сообщение от Skif (ok) on 14-Июн-05, 15:19

Попробуй поменять ipsec.conf на такой
flush;
spdflush;
spdadd [realip.address.source.tunnel] [realip.address.destination.tunnel] any -P \
     out ipsec esp/transport/[realip.address.source.tunnel]-[realip.address.destination.tunnel]/require;
    spdadd [realip.address.destination.tunnel] [ralip.address.source.tunnel] any -P \
     in ipsec esp/transport/[realip.address.destination.tunnel]-[realip.address.source.tunnel]/require;

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 14-Июн-05, 16:37

> Модель D-Link-а же держиться в секрете :)
И не говори. У двоих спрашивал - молчат как партизаны. :)
>Попробуй поменять ipsec.conf на такой
Разделить строки? А смысл?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 14-Июн-05, 17:03

Заработало! Транспортом поставил tunnel и все поехало. :)
И ведь советовали... Э-ка меня переклинило. Всем спасибо! :)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "IPSec, Racoon и FreeBSD"

Сообщение от akocherov on 28-Авг-07, 04:36

>Заработало! Транспортом поставил tunnel и все поехало. :)
>И ведь советовали... Э-ка меня переклинило. Всем спасибо! :)
блин толи руки кривые толи... ну воопщем таже  фигня так что если не сложно конфиги хоть по почте хоть в студию...
ЗЫ: траблы с  freebsd 6.2 -> dlink dl-804hv

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "IPSec, Racoon и FreeBSD"

Сообщение от RaZOR (ok) on 28-Авг-07, 08:07

>блин толи руки кривые толи... ну воопщем таже  фигня так что
>если не сложно конфиги хоть по почте хоть в студию...
>
>ЗЫ: траблы с  freebsd 6.2 -> dlink dl-804hv
сорри, я там уже не работаю :(
конфиги тю-тю
перепроверь текстовку конфигов.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "IPSec, Racoon и FreeBSD"

Сообщение от J.Rico (ok) on 15-Янв-08, 14:20

Народ, а racoon (под Дебиан 4.0 r1) с Cisco PIX нормально дружит? А то тоже что-то не заводится. Транспортом туннель стоит

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "IPSec, Racoon и FreeBSD"
Сообщение от Azazelo (??) on 10-Июн-05, 10:56
>FreeBSD 5.2.1, Racoon 20030826a >Необходимо филиал подцепить к серверу центрального офиса по VPN IPSec. >Нечего не получается! Уже мозги сломал. > >Ситуация на текущий момент: >1. Сервер центрального офиса - вероятно Windows. >внешний адрес - xxx.xxx.xxx.xxx >внутренний адрес - 192.168.3.210 >внутренняя сеть - 192.168.3.0/24 >2. Сервер филиала - FreeBSD (я с траблами тут). >внешний адрес - yyy.yyy.yyy.yyy >внутренний адрес - 192.168.4.1 >внутренняя сеть - 192.168.4.0/24 > >/etc/rc.conf: >gif_interfaces="gif0" >gifconfig_gif0="yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx" >ifconfig_gif0="inet 192.168.4.1 192.168.3.210 netmask 255.255.255.0" >static_routes="vpn" >route_vpn="192.168.3.0/24 192.168.3.210" >export route_vpn >ipsec_enable="YES" >ipsec_file="/etc/ipsec.conf" > >/etc/ipsec.conf: >flush; >spdflush; >spdadd 192.168.4.0/24 192.168.3.0/24 any -P \ >out ipsec esp/transport/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/require; >spdadd 192.168.3.0/24 192.168.4.0/24 any -P \ >in ipsec esp/transport/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require; > >/usr/local/etc/racoon/racoon.conf: >path include "/usr/local/etc/racoon" ; >path pre_shared_key "/usr/local/etc/racoon/psk.txt" ; >#path certificate "/usr/local/etc/cert" ; >log debug; >padding >{ > maximum_length 20; # maximum >padding length. > randomize off; # enable >randomize length. > strict_check off; # enable >strict check. > exclusive_tail off; # extract >last one octet. >} > >listen >{ > #isakmp 192.168.3.210 [500]; >} > >timer >{ ># These value can be changed per remote node. > counter 5; # maximum >trying count to send. > interval 20 sec; # >maximum interval to resend > persend 1; # the >number of packets per a send. > ># timer for waiting to complete each phase. > phase1 30 sec; > phase2 15 sec; >} > >remote anonymous >{ > exchange_mode main; > doi ipsec_doi; > situation identity_only; > > my_identifier address; > nonce_size 16; > lifetime time 3600 sec; ># sec,min,hour > initial_contact on; > support_proxy on; > proposal_check obey; # obey, >strict or claim > >proposal { > encryption_algorithm 3des; > hash_algorithm md5; > authentication_method pre_shared_key; > dh_group 1 ; > } >} > >sainfo anonymous >{ > pfs_group 1; > lifetime time 3600 sec; > > encryption_algorithm 3des ; > authentication_algorithm hmac_md5; > compression_algorithm deflate ; >} > >/usr/local/etc/racoon/psk.txt: >xxx.xxx.xxx.xxx ************ а firewall ? не мешает ? у меня подобная конструкция работает в 5 разных офисах. делал по следуюшему мануалу http://www.opennet.ru/base/net/vpn_ipsec_racoon.txt.html
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	2. "IPSec, Racoon и FreeBSD"
	Сообщение от RaZOR (ok) on 10-Июн-05, 11:12
	>а firewall ? не мешает ? > >у меня подобная конструкция работает в 5 разных офисах. >делал по следуюшему мануалу >http://www.opennet.ru/base/net/vpn_ipsec_racoon.txt.html Не мешает. По дефолту все открыто, не закрывал. Читал его. Но что-то не хочет. :(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

3. "IPSec, Racoon и FreeBSD"
Сообщение от RaZOR (ok) on 10-Июн-05, 12:21
racoon в логах пишет следующее: 2005-06-10 13:17:43: DEBUG: pfkey.c:195:pfkey_handler(): get pfkey X_SPDDUMP message 2005-06-10 13:17:43: DEBUG: pfkey.c:210:pfkey_handler(): pfkey X_SPDDUMP failed: No such file or directory
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	4. "IPSec, Racoon и FreeBSD"
	Сообщение от .zZz. (??) on 10-Июн-05, 12:57
	>racoon в логах пишет следующее: > >2005-06-10 13:17:43: DEBUG: pfkey.c:195:pfkey_handler(): get pfkey X_SPDDUMP message >2005-06-10 13:17:43: DEBUG: pfkey.c:210:pfkey_handler(): pfkey X_SPDDUMP failed: No such file or directory > собственно, а /usr/local/etc/racoon/psk.txt есть с расшаренным ключом соответствующим ip внутри?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	5. "IPSec, Racoon и FreeBSD"
	Сообщение от .zZz. (??) on 10-Июн-05, 12:58
	>>racoon в логах пишет следующее: >> >>2005-06-10 13:17:43: DEBUG: pfkey.c:195:pfkey_handler(): get pfkey X_SPDDUMP message >>2005-06-10 13:17:43: DEBUG: pfkey.c:210:pfkey_handler(): pfkey X_SPDDUMP failed: No such file or directory >> > >собственно, а /usr/local/etc/racoon/psk.txt есть с расшаренным ключом соответствующим ip внутри? тьфу сорри... он ещё должен быть с правильными правами
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	6. "IPSec, Racoon и FreeBSD"
	Сообщение от RaZOR (ok) on 10-Июн-05, 13:06
	>тьфу сорри... >он ещё должен быть с правильными правами Чтение файла разрешено всем. Там внешний адрес сервера центрального офиса.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	7. "IPSec, Racoon и FreeBSD"
	Сообщение от .zZz. (??) on 10-Июн-05, 13:12
	>>тьфу сорри... >>он ещё должен быть с правильными правами > >Чтение файла разрешено всем. Там внешний адрес сервера центрального офиса. неееее... тут как раз и запара - этот файл ДОЛЖЕН быть с чмодом 600 - иначе ракун его отплёвывает ( как мне помницца )
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	8. "IPSec, Racoon и FreeBSD"
	Сообщение от RaZOR (ok) on 10-Июн-05, 13:29
	>неееее... тут как раз и запара - этот файл ДОЛЖЕН быть с >чмодом 600 - иначе ракун его отплёвывает ( как мне помницца не помогает :(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	9. "IPSec, Racoon и FreeBSD"
	Сообщение от Skif (ok) on 10-Июн-05, 13:55
	>>неееее... тут как раз и запара - этот файл ДОЛЖЕН быть с >>чмодом 600 - иначе ракун его отплёвывает ( как мне помницца > >не помогает :( ipfw add allow esp from any to any добавь. Этот тип не всегда отрабатывается при ip fom any to any
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	10. "IPSec, Racoon и FreeBSD"
	Сообщение от RaZOR (ok) on 10-Июн-05, 14:22
	>ipfw add allow esp from any to any > >добавь. Этот тип не всегда отрабатывается при ip fom any to any Добавил для своего файрвола. Тут смысл не в файрволе, как я думаю. По логам Racoon следует его запуск, потом строки: 2005-06-10 15:14:13: DEBUG: pfkey.c:195:pfkey_handler(): get pfkey X_SPDDUMP message 2005-06-10 15:14:13: DEBUG: pfkey.c:210:pfkey_handler(): pfkey X_SPDDUMP failed: No such file or directory Потом он начинает соединяться с каким-то посторонним адресом (!). Такие дела... С нужным из psk.txt даже и не думает. В конце валится с этими строками: 2005-06-10 15:14:38: ERROR: ipsec_doi.c:404:print_ph1mismatched(): rejected enctype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 3DES-CBC:7 2005-06-10 15:14:38: ERROR: ipsec_doi.c:428:print_ph1mismatched(): rejected hash type: DB(prop#1:trns#1):Peer(prop#0:trns#0) = MD5:SHA 2005-06-10 15:14:38: ERROR: ipsec_doi.c:440:print_ph1mismatched(): rejected dh_group: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 768-bit MODP group:1024-bit MODP group 2005-06-10 15:14:38: ERROR: ipsec_doi.c:243:get_ph1approval(): no suitable proposal found. 2005-06-10 15:14:38: ERROR: isakmp_ident.c:782:ident_r1recv(): failed to get valid proposal. 2005-06-10 15:14:38: ERROR: isakmp.c:913:isakmp_ph1begin_r(): failed to processpacket.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	11. "IPSec, Racoon и FreeBSD"
	Сообщение от Skif (ok) on 10-Июн-05, 14:33
	контрольный вопрос transport принципиально или может подойти tunnel ? просто меня грызут смутные сомнения по поводу ipsec еще. Но так как я большую часть времени использовал именно tunnel то могу ошмибаться
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	12. "IPSec, Racoon и FreeBSD"
	Сообщение от RaZOR (ok) on 10-Июн-05, 14:52
	>контрольный вопрос transport принципиально или может подойти tunnel ? >просто меня грызут смутные сомнения по поводу ipsec еще. Но так как >я большую часть времени использовал именно tunnel то могу ошмибаться Я админ филиала. Центральный офис из-за меня менять ничего не будет. Время идет... На повестке дня остались только непонятки с proposal :)
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	13. "IPSec, Racoon и FreeBSD"
	Сообщение от Azazelo (??) on 10-Июн-05, 15:05
	>>контрольный вопрос transport принципиально или может подойти tunnel ? >>просто меня грызут смутные сомнения по поводу ipsec еще. Но так как >>я большую часть времени использовал именно tunnel то могу ошмибаться > > >Я админ филиала. Центральный офис из-за меня менять ничего не будет. >Время идет... На повестке дня остались только непонятки с proposal :) я тоже использую tunnel. использовал вышеописанную статью .
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	14. "IPSec, Racoon и FreeBSD"
	Сообщение от RaZOR (ok) on 10-Июн-05, 15:14
	>>Я админ филиала. Центральный офис из-за меня менять ничего не будет. >>Время идет... На повестке дня остались только непонятки с proposal :) > >я тоже использую tunnel. использовал вышеописанную статью . Я рад :) Что с proposal делать-то?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	15. "IPSec, Racoon и FreeBSD"
	Сообщение от Skif (ok) on 10-Июн-05, 15:18
	Заглуши ракун. Очисть лог. Потом стартани и потерпи секунд 30. Все что вывалиться кинь сюда или же вывеси где нить на страничку. Охота глянуть. Да еще, DEBUG включал в ядре? для IPSEC?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	17. "IPSec, Racoon и FreeBSD"
	Сообщение от RaZOR (ok) on 10-Июн-05, 15:52
	Кто такой 195.58.28.165 - без понятия. В настройках нигде не фигурирует.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	18. "IPSec, Racoon и FreeBSD"
	Сообщение от Skif (ok) on 10-Июн-05, 16:12
	2005-06-10 16:42:37: ERROR: ipsec_doi.c:404:print_ph1mismatched(): rejected enctype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 3DES-CBC:7 2005-06-10 16:42:37: ERROR: ipsec_doi.c:428:print_ph1mismatched(): rejected hashtype: DB(prop#1:trns#1):Peer(prop#0:trns#0) = MD5:SHA 2005-06-10 16:42:37: ERROR: ipsec_doi.c:440:print_ph1mismatched(): rejected dh_group: DB(prop#1:trns#1):Peer(prop#0:trns#0) = 768-bit MODP group:1024-bit MODP group 2005-06-10 16:42:37: ERROR: ipsec_doi.c:243:get_ph1approval(): no suitable proposal found. 2005-06-10 16:42:37: ERROR: isakmp_ident.c:782:ident_r1recv(): failed to get valid proposal. 2005-06-10 16:42:37: ERROR: isakmp.c:913:isakmp_ph1begin_r(): failed to process packet. обрати внимание на этот текст. покажи ls -l /usr/local/etc/racoon/ Проверь, что бы содержимое psk.txt было: router1: 111.111.111.111 mypassword router2 222.222.222.222 mypassword где 111.111.111.111 ip второго роутера, а 222.222.222.222 первого. Он говорит, что отбрасывает тип хеша, что ты шлешь. Тобишь либо неправильные пароли, либо тип шифрования не идентичен на обоих концах. Может на том конце используется не racoon?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	19. "IPSec, Racoon и FreeBSD"
	Сообщение от Skif (ok) on 10-Июн-05, 16:15
	да, еще права на psk.txt должны быть тока у рута: chmod 600 psk.txt
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	20. "IPSec, Racoon и FreeBSD"
	Сообщение от RaZOR (ok) on 10-Июн-05, 16:52
	>обрати внимание на этот текст. >покажи >ls -l /usr/local/etc/racoon/ # ls -i /usr/local/etc/racoon/ 94230 psk.txt 94231 racoon.conf 969019 psk.txt.dist 969020 racoon.conf.dist >Проверь, что бы содержимое psk.txt было: >router1: >111.111.111.111 mypassword >router2 >222.222.222.222 mypassword > >где 111.111.111.111 ip второго роутера, а 222.222.222.222 первого. Откуда я возьму два роутера с ключами? Я к одному узлу подключаюсь. Соответственно один адрес и один ключ. С этим ключем подключался D-Link DFL-600. >Он говорит, что отбрасывает тип хеша, что ты шлешь. Тобишь либо неправильные >пароли, либо тип шифрования не идентичен на обоих концах. Может на >том конце используется не racoon? Там не racoon (вероятно что-то под виндой). Но racoon-ом туда конектились и работают из другого филиала. Но там народ молчаливый слишком - не колятся :(
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	21. "IPSec, Racoon и FreeBSD"
	Сообщение от Skif (ok) on 10-Июн-05, 17:03
	>>обрати внимание на этот текст. >>покажи >>ls -l /usr/local/etc/racoon/ > ># ls -i /usr/local/etc/racoon/ > 94230 psk.txt > 94231 racoon.conf >969019 psk.txt.dist 969020 racoon.conf.dist не ls -i , а ls -l (L маленькая) > >>Проверь, что бы содержимое psk.txt было: >>router1: на router1 psk.txt содержит: 111.111.111.111 mypassword на router2 psk.txt содержит: 222.222.222.222 mypassword >Откуда я возьму два роутера с ключами? Я к одному узлу подключаюсь. > >Соответственно один адрес и один ключ. С этим ключем подключался D-Link DFL-600. > > >>Он говорит, что отбрасывает тип хеша, что ты шлешь. Тобишь либо неправильные >>пароли, либо тип шифрования не идентичен на обоих концах. Может на >>том конце используется не racoon? > >Там не racoon (вероятно что-то под виндой). Но racoon-ом туда конектились и >работают из другого филиала. Но там народ молчаливый слишком - не >колятся :( Полистай это. Выяснить надо четко, что с той стороны, что бы потом не было мучительно больно за бесцельно потраченное время. http://www.opennet.ru/base/net/bsd_win_vpn.txt.html
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	22. "IPSec, Racoon и FreeBSD"
	Сообщение от RaZOR (ok) on 10-Июн-05, 17:24
	>не ls -i , а ls -l (L маленькая) router# ls -l /usr/local/etc/racoon/ total 10 -rw------- 1 bin bin 26 Jun 10 15:53 psk.txt -r--r--r-- 1 bin bin 610 Jun 8 16:09 psk.txt.dist -rw-r--r-- 1 bin bin 1442 Jun 10 15:57 racoon.conf -r--r--r-- 1 bin bin 3080 Jun 8 16:09 racoon.conf.dist >>>Проверь, что бы содержимое psk.txt было: >>>router1: > >на router1 psk.txt содержит: >111.111.111.111 mypassword > >на router2 psk.txt содержит: >222.222.222.222 mypassword Другой офис подключается с одним роутером и ключем в psk.txt Зачем два? >Полистай это. Выяснить надо четко, что с той стороны, что бы потом >не было мучительно больно за бесцельно потраченное время. >http://www.opennet.ru/base/net/bsd_win_vpn.txt.html У меня оказалось интереснее: на той стороне D-Link-овский шлюз, у меня FreeBSD.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	23. "IPSec, Racoon и FreeBSD"
	Сообщение от .zZz. (??) on 10-Июн-05, 18:54
	>>не ls -i , а ls -l (L маленькая) > >router# ls -l /usr/local/etc/racoon/ >total 10 >-rw------- 1 bin bin 26 Jun 10 >15:53 psk.txt chown root:wheel psk.txt попробуй ( у меня так и я помню - неспроста) >-r--r--r-- 1 bin bin 610 Jun 8 >16:09 psk.txt.dist >-rw-r--r-- 1 bin bin 1442 Jun 10 15:57 racoon.conf > >-r--r--r-- 1 bin bin 3080 Jun 8 16:09 >racoon.conf.dist > >>>>Проверь, что бы содержимое psk.txt было: >>>>router1: >> >>на router1 psk.txt содержит: >>111.111.111.111 mypassword >> >>на router2 psk.txt содержит: >>222.222.222.222 mypassword > >Другой офис подключается с одним роутером и ключем в psk.txt >Зачем два?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	24. "IPSec, Racoon и FreeBSD"
	Сообщение от anonymous (??) on 10-Июн-05, 21:53
	>>не ls -i , а ls -l (L маленькая) > >router# ls -l /usr/local/etc/racoon/ >total 10 >-rw------- 1 bin bin 26 Jun 10 >15:53 psk.txt >-r--r--r-- 1 bin bin 610 Jun 8 >16:09 psk.txt.dist >-rw-r--r-- 1 bin bin 1442 Jun 10 15:57 racoon.conf > >-r--r--r-- 1 bin bin 3080 Jun 8 16:09 >racoon.conf.dist > >>>>Проверь, что бы содержимое psk.txt было: >>>>router1: >> >>на router1 psk.txt содержит: >>111.111.111.111 mypassword >> >>на router2 psk.txt содержит: >>222.222.222.222 mypassword > >Другой офис подключается с одним роутером и ключем в psk.txt >Зачем два? > >>Полистай это. Выяснить надо четко, что с той стороны, что бы потом >>не было мучительно больно за бесцельно потраченное время. >>http://www.opennet.ru/base/net/bsd_win_vpn.txt.html > >У меня оказалось интереснее: на той стороне D-Link-овский шлюз, у меня FreeBSD. что значит D-Link-овский шлюз ? та сторона , что через нат работает? у ipsec проблемы с nat-om .
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	25. "IPSec, Racoon и FreeBSD"
	Сообщение от RomaNick (ok) on 11-Июн-05, 13:36
	У меня тоже были БОЛЬШИЕ проблемы с настройкой всего этого, делал всё по инструкции через rc.conf и вроде тоже всё должно было работать, но не работало, пока не нашел в одном из форумов (не помню где), что через rc.conf данная конструкци и НЕ работает, переделал - стало всё ОК!!!! То, что я перенёс из rc.conf в /usr/local/etc/rc.d/ipsec.sh ifconfig gif0 destroy ifconfig gif0 create gifconfig gif0 192.168.1.1 192.168.1.2 ifconfig gif0 inet 192.168.2.1 172.31.31.1 netmask 255.255.255.0 mtu 1460 route add 172.31.31.0/24 172.31.31.1 /usr/sbin/setkey -f /etc/ipsec.conf /usr/local/sbin/racoon -f /usr/local/etc/racoon/racoon.conf -l /var/log/racoon.log Была ещё одна проблемка, но это уже в настройке маршрутизируемого коммутатора, кот. надо было перенастроить под данную задачу. Вообщем копай в эти стороны и в помощ тебе tcpdump -i твой_интерфейс
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	26. "IPSec, Racoon и FreeBSD"
	Сообщение от gennady (??) on 13-Июн-05, 01:14
	>У меня тоже были БОЛЬШИЕ проблемы с настройкой всего этого, делал всё >по инструкции через rc.conf и вроде тоже всё должно было работать, >но не работало, пока не нашел в одном из форумов (не >помню где), что через rc.conf данная конструкци и НЕ работает, переделал >- стало всё ОК!!!! Ерунда. Все работает через /etc/rc.conf. Проверь настройки ядра. Там по-умолчанию ipsec выключен. Проверь права доступа к файлу с ключами, как уже советовали. И длина клюяа имеет значение. Для sha1 -128 бит, для md5 -160 вроде.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	27. "IPSec, Racoon и FreeBSD"
	Сообщение от Skif (ok) on 13-Июн-05, 12:25
	>router# ls -l /usr/local/etc/racoon/ >total 10 >-rw------- 1 bin bin 26 Jun 10 >15:53 psk.txt >-r--r--r-- 1 bin bin 610 Jun 8 >16:09 psk.txt.dist >-rw-r--r-- 1 bin bin 1442 Jun 10 15:57 racoon.conf > >-r--r--r-- 1 bin bin 3080 Jun 8 16:09 >racoon.conf.dist > Вот здесь первая ошибка. Тебе уже не раз говорили - права 600 владелец root >У меня оказалось интереснее: на той стороне D-Link-овский шлюз, у меня FreeBSD. > Модель шлюза приведи. Кстати, здесь (или это на другом видел, англицком), есть пример связки фри с D-Link шлюзом.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	28. "IPSec, Racoon и FreeBSD"
	Сообщение от RaZOR (ok) on 14-Июн-05, 14:23
	>Модель шлюза приведи. Кстати, здесь (или это на другом видел, англицком), есть >пример связки фри с D-Link шлюзом. На сайте Длинка есть. Особо не помогло.
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору

29. "IPSec, Racoon и FreeBSD"
Сообщение от RaZOR (ok) on 14-Июн-05, 14:31
Сделал файл psk.txt на root:wheel, chmod 600 Стало получше, но работать не хочет! :( Текущая ситуация: ========== rc.conf: static_routes="vpn" route_vpn="192.168.3.0/24 192.168.3.210" export route_vpn ipsec_enable="YES" ipsec_file="/etc/ipsec.conf" ike_enable="YES" ike_program="/usr/local/sbin/racoon" ========== Логи racoon (без debug): 2005-06-14 12:36:28: INFO: main.c:172:main(): @(#)package version freebsd-20030826a 2005-06-14 12:36:28: INFO: main.c:174:main(): @(#)internal version 20001216 sakane@kame.net 2005-06-14 12:36:28: INFO: main.c:175:main(): @(#)This product linked OpenSSL 0.9.7c 30 Sep 2003 (http://www.openssl.org/) 2005-06-14 12:36:28: WARNING: cftoken.l:514:yywarn(): /usr/local/etc/racoon/racoon.conf:46: "support_mip6" it is obsoleted. use "support_proxy". 2005-06-14 12:36:28: INFO: isakmp.c:1358:isakmp_open(): yyy.yyy.yyy.yyy[500] used as isakmp port (fd=5) 2005-06-14 12:38:35: INFO: isakmp.c:894:isakmp_ph1begin_r(): respond new phase 1 negotiation: yyy.yyy.yyy.yyy[500]<=>xxx.xxx.xxx.xxx[500] 2005-06-14 12:38:35: INFO: isakmp.c:899:isakmp_ph1begin_r(): begin Identity Protection mode. 2005-06-14 12:38:35: INFO: vendorid.c:128:check_vendorid(): received Vendor ID: KAME/racoon 2005-06-14 12:38:35: INFO: isakmp.c:2412:log_ph1established(): ISAKMP-SA established yyy.yyy.yyy.yyy[500]-xxx.xxx.xxx.xxx[500] spi:c7c26defb430c8dc:eef11288cc66b2c2 2005-06-14 12:38:35: INFO: isakmp.c:1049:isakmp_ph2begin_r(): respond new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0] 2005-06-14 12:38:35: ERROR: proposal.c:378:cmpsaprop_alloc(): encmode mismatched: my:Transport peer:Tunnel 2005-06-14 12:38:35: ERROR: ipsec_doi.c:1001:get_ph2approvalx(): not matched 2005-06-14 12:38:35: ERROR: ipsec_doi.c:966:get_ph2approval(): no suitable policy found. 2005-06-14 12:38:35: ERROR: isakmp.c:1063:isakmp_ph2begin_r(): failed to pre-process packet. 2005-06-14 12:38:45: INFO: isakmp.c:1049:isakmp_ph2begin_r(): respond new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0] 2005-06-14 12:38:45: ERROR: proposal.c:378:cmpsaprop_alloc(): encmode mismatched: my:Transport peer:Tunnel 2005-06-14 12:38:45: ERROR: ipsec_doi.c:1001:get_ph2approvalx(): not matched 2005-06-14 12:38:45: ERROR: ipsec_doi.c:966:get_ph2approval(): no suitable policy found. 2005-06-14 12:38:45: ERROR: isakmp.c:1063:isakmp_ph2begin_r(): failed to pre-process packet. 2005-06-14 12:38:55: INFO: isakmp.c:1049:isakmp_ph2begin_r(): respond new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0] 2005-06-14 12:38:55: ERROR: proposal.c:378:cmpsaprop_alloc(): encmode mismatched: my:Transport peer:Tunnel 2005-06-14 12:38:55: ERROR: ipsec_doi.c:1001:get_ph2approvalx(): not matched 2005-06-14 12:38:55: ERROR: ipsec_doi.c:966:get_ph2approval(): no suitable policy found. 2005-06-14 12:38:55: ERROR: isakmp.c:1063:isakmp_ph2begin_r(): failed to pre-process packet. 2005-06-14 12:40:37: INFO: isakmp.c:942:isakmp_ph2begin_i(): initiate new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0] 2005-06-14 12:40:37: ERROR: isakmp_inf.c:776:isakmp_info_recv_n(): unknown notify message, no phase2 handle found. 2005-06-14 12:40:52: ERROR: pfkey.c:741:pfkey_timeover(): xxx.xxx.xxx.xxx give up to get IPsec-SA due to time up to wait. 2005-06-14 12:41:17: INFO: isakmp.c:942:isakmp_ph2begin_i(): initiate new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0] 2005-06-14 12:41:17: ERROR: isakmp_inf.c:776:isakmp_info_recv_n(): unknown notify message, no phase2 handle found. 2005-06-14 12:41:32: ERROR: pfkey.c:741:pfkey_timeover(): xxx.xxx.xxx.xxx give up to get IPsec-SA due to time up to wait. 2005-06-14 12:42:22: INFO: isakmp.c:942:isakmp_ph2begin_i(): initiate new phase 2 negotiation: yyy.yyy.yyy.yyy[0]<=>xxx.xxx.xxx.xxx[0] 2005-06-14 12:42:22: ERROR: isakmp_inf.c:776:isakmp_info_recv_n(): unknown notify message, no phase2 handle found. И дальше понеслось... :(
Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	30. "IPSec, Racoon и FreeBSD"
	Сообщение от Skif (ok) on 14-Июн-05, 14:56
	Попробуй использовать tunnel в настройках ipsec
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору


	31. "IPSec, Racoon и FreeBSD"
	Сообщение от RaZOR (ok) on 14-Июн-05, 14:58
	>Попробуй использовать tunnel в настройках ipsec Это который с gif-интерфейсом? D-Link на той стороне поймет, что от него хотят?
	Высказать мнение \| Ответить \| Правка \| Наверх \| Cообщить модератору