https://www.opennet.ru/openforum/vsluhforumID6/21343.html Пытаюсь связать Cisco Router 3845 и линукс машину по ipsec<br><br>!<br>interface Tunnel0<br> ip address 192.168.3.1 255.255.255.252<br> ip mtu 1460<br> tunnel source 10.10.0.92<br> tunnel destination 10.10.0.91<br> tunnel mode ipip<br> tunnel checksum<br> crypto map tunnel0<br>end<br><br>!<br>crypto map tunnel0 1 ipsec-isakmp<br> set peer 10.10.0.91<br> set security-association lifetime seconds 86400<br> set transform-set VPN<br> set pfs group2<br> match address 101<br>!<br><br>!<br>crypto ipsec transform-set VPN esp-3des esp-md5-hmac<br>!<br>crypto isakmp policy 1<br> encr 3des<br> hash md5<br> authentication pre-share<br> group 2<br>crypto isakmp key cisco address 10.10.0.91<br>!<br>access-list 101 permit ip any any<br><br><br>вот что связано с конфигом ipsec в циске.<br><br><br>А вот конфиг на линукс стороне: <br>racoon.conf<br><br>path include "/etc/racoon";<br>path pre_shared_key "/etc/racoon/psk.txt";<br>path certificate "/etc/cert";<br>log notify;<br><br>padding<br>{<br> maximum_length 20;<br> randomize off;<br> strict_check off;<br> exclusive_tail off;<br>}<br><br><br> listen<br> {<br> https://www.opennet.ru/openforum/vsluhforumID6/21343.html#10 Wed, 21 Jul 2010 10:19:00 GMT crypto keyring key_tunnel0 <br> pre-shared-key address 10.10.0.91 key cisco <br>! <br>crypto isakmp policy 1 <br> encr 3des <br> hash md5 https://www.opennet.ru/openforum/vsluhforumID6/21343.html#9 Tue, 20 Jul 2010 14:46:44 GMT &gt; В том и дело что мудрые товарищи говорят не юзать crypto map <br>&gt; на интерфейсе типа tunnel <br><br>Тут дело вот в чём. Тут ведь дело, как я уже говорил, в незнании матчасти.<br><br>IP Security в IPv4 умеет, как известно, работать в четырёх режимах.<br><br>Первый и второй режимы -- транспортные. Можно ничего не шифровать, только контрольные суммы криптографически считать, тогда получим AH Transport Mode (AH == Authentication Header). Можно и пошифровать, тогда получим ESP Transport Mode (ESP == Encapsulated Security Payload).<br><br>Третий и четвёртый режимы -- туннельные. AH Tunnel Mode и ESP Tunnel Mode соответственно.<br><br>Если посмотреть в конфиги, то видно из них буквально следующее: на Линуксе "по образцу из Интернета" сконфигурирован IPSec ESP Tunnel Mode. А в ответ ему на Циске сконфигурировано непонятно, что.<br><br>Если вам нужно затуннелить (то есть, пробросить поверх публичной сети пакеты с приватной адресацией) трафик, тогда зачем вам IP-IP? Почему бы просто не воспользоваться IPSec Tunnel Mode?<br><br>Если вы хотите таки https://www.opennet.ru/openforum/vsluhforumID6/21343.html#8 Tue, 20 Jul 2010 13:09:58 GMT В том и дело что мудрые товарищи говорят не юзать crypto map на интерфейсе типа tunnel<br><br> https://www.opennet.ru/openforum/vsluhforumID6/21343.html#7 Tue, 20 Jul 2010 11:13:04 GMT &gt;[оверквотинг удален]<br>&gt;Jul 20 17:53:33 vmlinux racoon: DEBUG: getsainfo params: loc='0.0.0.0/0', rmt='0.0.0.0/0', peer='10.10.0.92', id=0 <br>&gt;<br>&gt;Jul 20 17:53:33 vmlinux racoon: DEBUG: getsainfo pass #1 <br>&gt;Jul 20 17:53:33 vmlinux racoon: DEBUG: evaluating sainfo: loc='172.16.1.0/24', rmt='192.168.1.0/24', peer='ANY', id=0 <br>&gt;<br>&gt;Jul 20 17:53:33 vmlinux racoon: DEBUG: getsainfo pass #2 <br>&gt;Jul 20 17:53:33 vmlinux racoon: DEBUG: evaluating sainfo: loc='172.16.1.0/24', rmt='192.168.1.0/24', peer='ANY', id=0 <br>&gt;<br>&gt;Jul 20 17:53:33 vmlinux racoon: DEBUG: check and compare ids : value <br>&gt;mismatch (IPv4_subnet) <br><br>v crypto map ....<br>match address acl_name/number<br><br> https://www.opennet.ru/openforum/vsluhforumID6/21343.html#6 Tue, 20 Jul 2010 10:54:15 GMT создал полиси. только один вопрос остался: как привязать access-list к ipsec policy ?<br><br>а то теперь линукс не хочет состыковыватся и пишет такую бяку <br>Jul 20 17:53:33 vmlinux racoon: DEBUG: getsainfo params: loc='0.0.0.0/0', rmt='0.0.0.0/0', peer='10.10.0.92', id=0<br>Jul 20 17:53:33 vmlinux racoon: DEBUG: getsainfo pass #1<br>Jul 20 17:53:33 vmlinux racoon: DEBUG: evaluating sainfo: loc='172.16.1.0/24', rmt='192.168.1.0/24', peer='ANY', id=0<br>Jul 20 17:53:33 vmlinux racoon: DEBUG: getsainfo pass #2<br>Jul 20 17:53:33 vmlinux racoon: DEBUG: evaluating sainfo: loc='172.16.1.0/24', rmt='192.168.1.0/24', peer='ANY', id=0<br>Jul 20 17:53:33 vmlinux racoon: DEBUG: check and compare ids : value mismatch (IPv4_subnet)<br> https://www.opennet.ru/openforum/vsluhforumID6/21343.html#5 Tue, 20 Jul 2010 09:30:30 GMT у меня была задача создать ipip туннель между двумя площадками, по нему пустить трафик между сетями и зашифровать его. что собственно я и сделал. задача кстати решена. а шифровать весь трафик на физическоим интерфейсе мне не нужно.<br> https://www.opennet.ru/openforum/vsluhforumID6/21343.html#4 Tue, 20 Jul 2010 07:25:26 GMT &gt;Пытаюсь связать Cisco Router 3845 и линукс машину по ipsec <br><br>Что ж, дело хорошее... :)<br><br>&gt;interface Tunnel0 <br>&gt; tunnel mode ipip <br>&gt; tunnel checksum <br>&gt; crypto map tunnel0 <br><br>Мнда. :) Тяжко тебе будет, без знания матчасти-то... :)))<br><br>Во-первых, вы уж определитесь -- либо писать, либо трахаться.<br><br>Если, как и все, трахаться, то:<br><br>а) tunnel mode ipsec ipv4<br>b) никаких tunnel checksum -- оно глючное и кривое.<br>c) никаких crypto map -- tunnel protection ipsec profile &lt;имя профиля&gt;<br><br>Вместо crypto map создайте ipsec profile -- практически так же, как и crypto map, он будет устроен.<br><br>Если, как маленькие, только писать, то:<br><br>a) interface Tunnel0 _вообще не нужен_ -- IP Security работает и БЕЗ выделенного интерфейса (впрочем, из-за этого и появляется главный недостаток "чистого" IPSec -- через IPSec Tunnel Mode ходят ТОЛЬКО Юникасты).<br>b) crypto map вешается на ИСХОДЯЩИЙ ИНТЕРФЕЙС С ПУБЛИЧНЫМ IP-АДРЕСОМ: Fa0/Gi3/Se1/1/0/Di5/и так далее.<br><br>И вообще, книги надо читать ДО того, как что-то собираешься настр https://www.opennet.ru/openforum/vsluhforumID6/21343.html#3 Mon, 19 Jul 2010 16:44:52 GMT *Jul 19 16:43:05.225: ISAKMP: set new node 0 to QM_IDLE<br>*Jul 19 16:43:05.225: ISAKMP:(7043): sitting IDLE. Starting QM immediately (QM_IDLE )<br>*Jul 19 16:43:05.225: ISAKMP:(7043):beginning Quick Mode exchange, M-ID of -1061490714<br>*Jul 19 16:43:05.225: ISAKMP:(7043):QM Initiator gets spi<br>*Jul 19 16:43:05.225: ISAKMP:(7043): sending packet to 10.10.0.91 my_port 500 peer_port 500 (I) QM_IDLE<br>*Jul 19 16:43:05.225: ISAKMP:(7043):Node -1061490714, Input = IKE_MESG_INTERNAL, IKE_INIT_QM<br>*Jul 19 16:43:05.225: ISAKMP:(7043):Old State = IKE_QM_READY New State = IKE_QM_I_QM1<br>*Jul 19 16:43:05.269: ISAKMP:(7043): retransmitting phase 2 QM_IDLE 687866144 ...<br>*Jul 19 16:43:05.269: ISAKMP (0:7043): incrementing error counter on node, attempt 3 of 5: retransmit phase 2<br>*Jul 19 16:43:05.269: ISAKMP (0:7043): incrementing error counter on sa, attempt 3 of 5: retransmit phase 2<br>*Jul 19 16:43:05.269: ISAKMP:(7043): retransmitting phase 2 687866144 QM_IDLE<br>*Jul 19 16:43:05.269: ISAKMP:(7043): sending packet t https://www.opennet.ru/openforum/vsluhforumID6/21343.html#2 Mon, 19 Jul 2010 16:30:06 GMT &gt;в режиме дебага пишет: 2010-07-19 23:05:41: DEBUG: pfkey X_SPDDUMP failed: No such <br>&gt;file or directory <br><br>Ну, ощущение, что по первой фазе не договариваются...<br>В Униксах не спец, так что дайте debug crypto isakmp в момент коннекта....<br><br>P.S. Есть работающие тунели Cis - Unix....<br>Но, со стороны Cis, строил я, а со стороны *nix - Униксовый админ....<br>P.P.S. И мы строили GRE over IPSEC.<br>