https://www.opennet.ru/openforum/vsluhforumID6/23503.html Добрый день!<br><br>Есть Cisco ASA (сервер) и OpenSWAN (клиент), между которыми устанавливается IPSec соединение. Туннель успешно поднимается, со стороны Cisco нас пингуют, а вот мы (со стороны OpenSWAN) их пингать не можем.<br><br>Меня интересует возможная проблема, чисто теоретически. Администратор со стороны Cisco настаивает на том, что это из-за того, что в конфигурации ASA стоит set pfs, в то время как у нас в конфиге OpenSWAN pfs=no (т.к. с pfs=yes туннель не поднимается). Могут ли быть проблемы с доступностью удаленной стороны из-за несоответствия этой настройки? Или, если бы это было так, просто не поднимался бы туннель?<br><br>Насколько я понял из документации к Cisco IOS, сама по себе команда set pfs ни к чему не обязывает клиентскую сторону. Т.е. она запрашивает PFS, а дальше уже дело клиента, работать с этим или нет. А вот для того чтобы энфорсить использованием PFS клиентом, в конфигурации ASA должно быть что-то вроде pfs group 2.<br><br>Заранее благодарю за ответ.<br> https://www.opennet.ru/openforum/vsluhforumID6/23503.html#6 Thu, 09 Feb 2012 16:31:40 GMT <br>&gt; Ну и возвращаясь к основному вопросу - может ли игнорирование запросов на <br>&gt; PFS при создании туннеля как-то влиять на доступность хостов за VPN-маршрутизатором. <br>&gt; Или же это влияет только на возможность создания собственно туннеля?<br><br>Выяснилось, что проблема была на стороне ASA. Там были сделаны какие-то манипуляции и пинг на хосты за туннелем начал ходить. С pfs=yes тоже заработало. Проблема решена, всем спасибо.<br> https://www.opennet.ru/openforum/vsluhforumID6/23503.html#5 Tue, 07 Feb 2012 15:43:56 GMT &gt;&gt; предлагаю дописать в ipsec.conf <br>&gt;&gt; auth=esp <br>&gt;&gt; esp=3DES-SHA1 <br>&gt;&gt; ike=3DES-SHA-modp1024 (могу ошибаться с modp и соответствием на АСА) <br>&gt;&gt; и где-то еще время lifetime надо бы прописать но не помню уже <br>&gt;&gt; где конкретно <br>&gt; Я добавил приведенные вами три строки + ikelifetime=1h.<br>&gt; К сожалению, проблемы с доступностью хостов за циской это не решило, равно <br>&gt; как <br>&gt; не помогло поднять туннель с pfs=yes.<br><br>Ну и возвращаясь к основному вопросу - может ли игнорирование запросов на PFS при создании туннеля как-то влиять на доступность хостов за VPN-маршрутизатором. Или же это влияет только на возможность создания собственно туннеля?<br><br> https://www.opennet.ru/openforum/vsluhforumID6/23503.html#4 Tue, 07 Feb 2012 15:41:41 GMT &gt; предлагаю дописать в ipsec.conf <br>&gt; auth=esp <br>&gt; esp=3DES-SHA1 <br>&gt; ike=3DES-SHA-modp1024 (могу ошибаться с modp и соответствием на АСА) <br>&gt; и где-то еще время lifetime надо бы прописать но не помню уже <br>&gt; где конкретно <br><br>Я добавил приведенные вами три строки + ikelifetime=1h.<br>К сожалению, проблемы с доступностью хостов за циской это не решило, равно как <br>не помогло поднять туннель с pfs=yes.<br><br>Кстати при попытке создания туннеля с включенным PFS заканчивается все так:<br><br>000 #8: "vpn":500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 20s; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate<br>000 #6: "vpn":500 STATE_QUICK_I1 (sent QI1, expecting QR1); EVENT_RETRANSMIT in 15s; lastdpd=-1s(seq in:0 out:0); idle; import:admin initiate<br> https://www.opennet.ru/openforum/vsluhforumID6/23503.html#3 Tue, 07 Feb 2012 10:40:59 GMT Давно дело было :) с этим OpenSWAN<br><br>То что я вижу из конфига<br>conn vpn<br> forceencaps=yes<br> type=tunnel<br> authby=secret<br> pfs=no<br> ike=3des-md5<br> leftid=8.8.8.8<br> left=8.8.8.8<br> leftsubnet=8.8.8.0/24<br> leftnexthop=%defaultroute<br> right=9.9.9.9<br> rightsubnet=9.9.9.0/24<br> rightnexthop=%defaultroute<br> auto=start<br><br>На юниксе IKE<br>1 3DES-MD5 какой lifetime неизвестно. <br>IPSEC<br>1 Ничего не известно<br><br>В то время на ASA есть 3 профиля IKE:<br>1. 3DES-SHA1 DH2 3600<br>2. 3DES-SHA1 DH2 86400<br>3. 3DES-MD5 DH2 28800<br>IPSEC<br>1. ESP-3DES <br>2. esp-sha-hmac<br><br>Рекомендую посбрасывать lifetime по умолчанию и после поднятия тунеля усложнять.<br><br>предлагаю дописать в ipsec.conf<br>auth=esp<br>esp=3DES-SHA1<br>ike=3DES-SHA-modp1024 (могу ошибаться с modp и соответствием на АСА)<br><br>и где-то еще время lifetime надо бы прописать но не помню уже где конкретно<br> https://www.opennet.ru/openforum/vsluhforumID6/23503.html#2 Tue, 07 Feb 2012 08:23:12 GMT &gt; Вы бы файл ipsec.conf выложили что ли?<br><br>Николай, вот здесь ipsec.conf (обезличенный):<br>http://pastebin.com/esMkqw2d<br>Вот здесь конфигурация cisco asa (обезличенная):<br>http://pastebin.com/Gj9ZT3JH<br><br>Вкратце диспозиция следующая:<br><br>8.8.8.8 - клиент openswan<br>9.9.9.9 - cisco asa<br><br>9.9.9.13 и 9.9.9.14 - хосты за туннелем, к которым я пытаюсь получить доступ с 8.8.8.8.<br>Пинг с 9.9.9.9 на 8.8.8.8 по туннелю проходит, а пинг с 8.8.8.8 на 9.9.9.13 и 9.9.9.14 - нет. Точнее со стороны ASA видны наши echo request в туннеле, но echo reply на них по какой-то причине не отправляется. <br><br>Туннель поднят:<br>&gt; ipsec auto --status<br><br>000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,0,0} trans={0,0,0} attrs={0,0,0} <br>000 <br>000 "vpn": 8.8.8.0/24===8.8.8.8&lt;8.8.8.8&gt;[+S=C]---OURISPGATEWAY...OURISPGATEWAY---9.9.9.9&lt;9.9.9.9&gt;[+S=C]===9.9.9.0/24; erouted; eroute owner: #2<br>000 "vpn": myip=unset; hisip=unset;<br>000 "vpn": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0<br>000 " https://www.opennet.ru/openforum/vsluhforumID6/23503.html#1 Tue, 07 Feb 2012 07:31:58 GMT &gt;[оверквотинг удален]<br>&gt; настаивает на том, что это из-за того, что в конфигурации ASA <br>&gt; стоит set pfs, в то время как у нас в конфиге <br>&gt; OpenSWAN pfs=no (т.к. с pfs=yes туннель не поднимается). Могут ли быть <br>&gt; проблемы с доступностью удаленной стороны из-за несоответствия этой настройки? Или, если <br>&gt; бы это было так, просто не поднимался бы туннель?<br>&gt; Насколько я понял из документации к Cisco IOS, сама по себе команда <br>&gt; set pfs ни к чему не обязывает клиентскую сторону. Т.е. она <br>&gt; запрашивает PFS, а дальше уже дело клиента, работать с этим или <br>&gt; нет. А вот для того чтобы энфорсить использованием PFS клиентом, в <br>&gt; конфигурации ASA должно быть что-то вроде pfs group 2.<br><br>Вы бы файл ipsec.conf выложили что ли?<br>&gt; Заранее благодарю за ответ.