URL: https://www.opennet.ru/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 96607
[ Назад ]
Исходное сообщение
"Странность с Raccon"
Отправлено Doc , 07-Июл-16 10:01 
Приветствию, есть поднятый и рабий тоннель IPSEC на raccon с одной подесткой (192.10.2.0/24)
теперь потребовалось добавить ещё одну подсесть в тоннель  (192.10.10.0/24)
Но получаю такой глюк новая подсесть начинает работать через тоннель, а старая перестает
тоннель при обращении к обеим подсетям НЕ падает, а остается в рабочем состоянии

может  я как-то не так прописываю правило в setkey
spdadd 192.10.2.0/24 192.0.0.16/14 any -P out ipsec esp/tunnel/10.141.43.2-10.136.104.126/require;
spdadd 192.0.0.0/14 192.10.2.0/24 any -P in ipsec esp/tunnel/10.136.104.126-10.141.43.2/require;
spdadd 192.10.10.0/24 192.0.0.16/14 any -P out ipsec esp/tunnel/10.141.43.2-10.136.104.126/require;
spdadd 192.0.0.0/14 192.10.10.0/24 any -P in ipsec esp/tunnel/10.136.104.126-10.141.43.2/require;

Содержание
Сообщения в этом обсуждении
"Странность с Raccon"
Отправлено Roman , 08-Июл-16 01:41 
зачем мучится? настрой gre over ipsec и будет тебе счастье. (вместо gre можно и ipip)


"Странность с Raccon"
Отправлено Doc , 08-Июл-16 07:25 
> зачем мучится? настрой gre over ipsec и будет тебе счастье. (вместо gre
> можно и ipip)
> зачем мучится? настрой gre over ipsec и будет тебе счастье. (вместо gre
> можно и ipip)

дело в том что с другой стороны циска (банка) которой я не рулю , а у них все очень строго - шаг вправо шаг в лева - попытка к бегству - расстрел на месте

"Странность с Raccon"
Отправлено Roman , 08-Июл-16 12:24 
тогда дело усложняется.
может скинешь что выдает setkey -DPp
"Странность с Raccon"
Отправлено Doc , 08-Июл-16 12:27 
> тогда дело усложняется.
> может скинешь что выдает setkey -DPp

router:/etc/racoon # setkey -DPp
(per-socket policy)
        Policy:[Invalid direciton]
        created: Jul  8 10:09:03 2016  lastused: Jul  8 12:50:55 2016
        lifetime: 0(s) validtime: 0(s)
        spid=1180 seq=1 pid=8900
        refcnt=1
(per-socket policy)
        Policy:[Invalid direciton]
        created: Jul  8 10:09:03 2016  lastused: Jul  8 12:52:17 2016
        lifetime: 0(s) validtime: 0(s)
        spid=1171 seq=2 pid=8900
        refcnt=1
192.0.0.0/14[any] 192.10.2.0/24[any] any
        fwd prio def ipsec
        esp/tunnel/10.136.104.126[0]-10.141.43.2[0]/require
        created: Jul  8 10:09:02 2016  lastused: Jul  8 13:13:50 2016
        lifetime: 0(s) validtime: 0(s)
        spid=1162 seq=3 pid=8900
        refcnt=3
192.0.0.0/14[any] 192.10.2.0/24[any] any
        in prio def ipsec
        esp/tunnel/10.136.104.126[0]-10.141.43.2[0]/require
        created: Jul  8 10:09:02 2016  lastused: Jul  8 13:13:39 2016
        lifetime: 0(s) validtime: 0(s)
        spid=1152 seq=4 pid=8900
        refcnt=3
192.10.2.0/24[any] 192.0.0.16/14[any] any
        out prio def ipsec
        esp/tunnel/10.141.43.2[0]-10.136.104.126[0]/require
        created: Jul  8 10:09:02 2016  lastused: Jul  8 13:13:39 2016
        lifetime: 0(s) validtime: 0(s)
        spid=1145 seq=5 pid=8900
        refcnt=8
192.0.0.0/14[any] 192.10.10.0/24[any] any
        fwd prio def ipsec
        esp/tunnel/10.136.104.126[0]-10.141.43.2[0]/require
        created: Jul  8 10:09:02 2016  lastused:
        lifetime: 0(s) validtime: 0(s)
        spid=1138 seq=6 pid=8900
        refcnt=1
192.0.0.0/14[any] 192.10.10.0/24[any] any
        in prio def ipsec
        esp/tunnel/10.136.104.126[0]-10.141.43.2[0]/require
        created: Jul  8 10:09:02 2016  lastused: Jul  8 13:13:36 2016
        lifetime: 0(s) validtime: 0(s)
        spid=1128 seq=7 pid=8900
        refcnt=2
192.10.10.0/24[any] 192.0.0.16/14[any] any
        out prio def ipsec
        esp/tunnel/10.141.43.2[0]-10.136.104.126[0]/require
        created: Jul  8 10:09:02 2016  lastused: Jul  8 13:13:36 2016
        lifetime: 0(s) validtime: 0(s)
        spid=1121 seq=0 pid=8900
        refcnt=2


Причем это точно косяк с sуеkey так как я поменял местами правила для 10 и 2 посети и теперь 2 работает а 10 нет :), тесть работает только так которая последняя прописана
p.s. задумываюсь поднять два тоннеля :)

"Странность с Raccon"
Отправлено Roman , 08-Июл-16 13:42 
как понимать вот такую  сеть 192.0.0.16/14 или хост ???
"Странность с Raccon"
Отправлено Doc , 08-Июл-16 15:27 
> как понимать вот такую  сеть 192.0.0.16/14 или хост ???

как сеть - , и опечатку

"Странность с Raccon"
Отправлено Roman , 08-Июл-16 19:09 
а если без опечаток? и что в racoon.conf ?

"Странность с Raccon"
Отправлено Doc , 08-Июл-16 22:19 
> а если без опечаток? и что в racoon.conf ?

setkey.conf
flush;
spdflush;
spdadd 192.10.10.0/24 192.0.0.0/14 any -P out ipsec esp/tunnel/10.141.43.2-10.136.104.126/require;
spdadd 192.0.0.0/14 192.10.10.0/24 any -P in ipsec esp/tunnel/10.136.104.126-10.141.43.2/require;
spdadd 192.10.2.0/24 192.0.0.0/14 any -P out ipsec esp/tunnel/10.141.43.2-10.136.104.126/require;
spdadd 192.0.0.0/14 192.10.2.0/24 any -P in ipsec esp/tunnel/10.136.104.126-10.141.43.2/require;

racoon.conf
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
log debug;
log notify;
padding
{
maximum_length 20;# maximum padding length.
randomize off;# enable randomize length.
strict_check off;# enable strict check.
exclusive_tail off;# extract last one octet.
}

listen
{
#isakmp ::1 [7000];
isakmp 10.141.43.2 [500];

#admin [7002];# administrative port for racoonctl.
#strict_address; # requires that all addresses must be bound.
}

# Specify various default timers.
timer
{
# These value can be changed per remote node.
counter 5;# maximum trying count to send.
interval 20 sec;# maximum interval to resend.
persend 1;# the number of packets per send.

# maximum time to wait for completing each phase.
phase1 20 sec;
phase2 20 sec;
}

#remote 10.136.104.126
remote anonymous
{
exchange_mode aggressive,main;
doi ipsec_doi;
my_identifier address 10.141.43.2;
peers_identifier address 10.136.104.126;
initial_contact off;
lifetime time 8 hour;
passive off;
proposal_check obey;
generate_policy off;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
lifetime time 28800 sec;
}
}


sainfo anonymous
{
pfs_group 2;
lifetime time 3600 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}

"Странность с Raccon"
Отправлено Doc , 09-Июл-16 13:26 
пока ответа не нашел -поднял второй тоннель с саб интерфейса
но так и не могу объяснить причину почем не работает а в рамках одного тоннеля
"Странность с Raccon"
Отправлено Doc , 09-Июл-16 13:26 
> пока ответа не нашел:) поднял второй тоннель с саб интерфейса , все заработало
> но так и не могу объяснить причину почем не работает в
> рамках одного тоннеля
"Странность с Raccon"
Отправлено PavelR , 10-Июл-16 08:06 
>> пока ответа не нашел:) поднял второй тоннель с саб интерфейса , все заработало
>> но так и не могу объяснить причину почем не работает в
>> рамках одного тоннеля

Ответ в том, что у вас слишком много опечаток.
Это показатель вашей внимательности.

"Странность с Raccon"
Отправлено Doc , 11-Июл-16 19:01 
>>> пока ответа не нашел:) поднял второй тоннель с саб интерфейса , все заработало
>>> но так и не могу объяснить причину почем не работает в
>>> рамках одного тоннеля
> Ответ в том, что у вас слишком много опечаток.
> Это показатель вашей внимательности.

если приглядитесь то данные опечатки ни на что в данном случаи не влияют , тоже доказывает и тот факт что при их исправлении все равно также не работает