форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка

Вариант для распечатки		Пред. тема | След. тема
Форум Информационная безопасность (VPN, IPSec / Linux)
Изначальное сообщение		[ Отслеживать ]

"Openswan IPSEC на Centos 6.6 в KVM и Zywall"	+/–
Сообщение от suharik71 (ok) on 01-Фев-15, 21:47
Доброе время суток уважаемые коллеги! Столкнулся я с такой, для себя, не тривиальной проблемой. Есть VDS у FIRSTVDS(не для рекламы) работающий в KVM. В контейнере крутится Centos. Стоит задача к этому Centos по IPSEC прикрутить ряд географически разнесенных офисов. В офисах стоят Zywall'ы. Из этого и вытекает что надо использовать IPSEC, так как эти чудные железки ни чего больше не умеют. Уже почти неделю бьюсь над этой задачей. Перепробовал кучу рецептов и примеров настройки. Но чует мое сердце что оплот зла кроется в другом. Openswan был выбран случайно, так как Centos именно его пропагандирует, убран из своих репозиториев racoon входящий в состав ipsec-tools. Приступим: Процедуры по редактированию  /etc/sysctl.conf были произведены net.ipv4.ip_forward = 1 # разрешить пересылку пакетов между интерфейсами net.ipv4.conf.all.send_redirects = 0 # отключаем icmp redirect net.ipv4.conf.all.accept_redirects = 0 # отключаем icmp redirect net.ipv4.conf.default.send_redirects = 0 # отключаем icmp redirect net.ipv4.conf.default.accept_redirects = 0 # отключаем icmp redirect В фаерволе порты открыты iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPT На Centos'e ни каких виртуальных интерфейсов нет, поэтому в настойках ipsec.conf left=1.1.1.1 # Указываем внешний ip адрес leftsubnet=1.1.1.1/32 # указываем внутреннюю подсеть У второй стороны все как подобает right=2.2.2.2 rightsubnet=10.1.1.0/24 Авторизация по паролю /etc/ipsec.secrets 2.2.2.2  1.1.1.1: PSK "pre_shared_key" esp=des-sha1 ike=des-sha1-modp1024 В общем все достаточно стандартно, но туннель не поднимается. А самое интересное что при настройки туннели перестают возможными пинги со второй стороны. Как только удаляешь настройки туннеля, пинги снова идут. Помогите разобраться с данным вопросом. Есть подозрения что моя концепция по решению данного вопроса не верна и есть более верный и простой способ
Ответить | Правка | Cообщить модератору

Сообщения по теме

[Сортировка по времени | RSS]

1. "Openswan IPSEC на Centos 6.6 в KVM и Zywall"	+/–
Сообщение от Exploit (ok) on 01-Фев-15, 22:00
не спец в этом вопросе, но вроде там в опенсване был баг, насколько помню, непофикшеный. может, знатоки поправят, если я ошибаюсь http://bugs.centos.org/view.php?id=5832
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Openswan IPSEC на Centos 6.6 в KVM и Zywall"	+1 +/–
Сообщение от Loly on 02-Фев-15, 00:19
Доброе! Уже давно есть LibreSwan, также есть StrongSwan. Вы бы лучше реальный конфиг показали (IP и там можно сменить), и логи! 1. https://github.com/xelerance/Openswan/wiki 2. https://libreswan.org/wiki/Configuration_examples 3. https://wiki.strongswan.org/projects/strongswan/wiki/UserDoc...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	5. "Openswan IPSEC на Centos 6.6 в KVM и Zywall"	+/–
	Сообщение от suharik71 (ok) on 02-Фев-15, 06:34
	> Доброе! > Уже давно есть LibreSwan, также есть StrongSwan. > Вы бы лучше реальный конфиг показали (IP и там можно сменить), и > логи! > 1. https://github.com/xelerance/Openswan/wiki > 2. https://libreswan.org/wiki/Configuration_examples > 3. https://wiki.strongswan.org/projects/strongswan/wiki/UserDoc... Ок. Я понял что сего зверя мне не победить. Во всяком случаи пока что. Оставим его на лабораторные испытания. Подскажите тогда на чем можно поднять IPSEC. Из последних трабл - не хочет генерировать RSA длиной 1024 bit. Подозреваю что и работать с меньшим не захочет. Минимум сколько делает это 2192. А Zywall максимум 2048 переваривает.
	Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

3. "Openswan IPSEC на Centos 6.6 в KVM и Zywall"	+/–
Сообщение от shadow_alone (ok) on 02-Фев-15, 02:57
> В фаерволе порты открыты > iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT > iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT > iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPT При чем тут udp порт 50? Вы вообще понимаете что делаете: protocol 50 if you use ESP encryption and/or authentication (the typical case) protocol 51 if you use AH packet-level authentication не порт 50 udp надо открыть, а протокол 50. iptables -A INPUT  -p 50 -j ACCEPT Куда этот мир катится...
Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

	4. "Openswan IPSEC на Centos 6.6 в KVM и Zywall"	+/–
	Сообщение от suharik71 (ok) on 02-Фев-15, 05:41
	>[оверквотинг удален] >> iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT >> iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT >> iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPT > При чем тут udp порт 50? > Вы вообще понимаете что делаете: > protocol 50 if you use ESP encryption and/or authentication (the typical case) > protocol 51 if you use AH packet-level authentication > не порт 50 udp надо открыть, а протокол 50. > iptables -A INPUT  -p 50 -j ACCEPT > Куда этот мир катится... Конечно же нет.
	Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

	6. "Openswan IPSEC на Centos 6.6 в KVM и Zywall"	+/–
	Сообщение от suharik71 (ok) on 02-Фев-15, 14:37
	Тогда давайте по другому. Чем можно связать zyxell zywall 300, 50 и 2 по VPN c Centos??? Мое мнение касательно этих железок крайне негативное. Более менее разобравшись с openswan я уперся в не поддержку des на openswan и отсутствие альтернатив на данных железках. Люди, выручайте.
	Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

	7. "Openswan IPSEC на Centos 6.6 в KVM и Zywall"	+/–
	Сообщение от Serge (??) on 02-Фев-15, 21:46
	> > я уперся в не поддержку des на openswan и отсутствие альтернатив это не так. У меня бежит не одня сотня туннелей на сване (strongswan) и среди них куча старых железок. Часть из них на 3des. Скорее всего это просто неправильные конфиги.
	Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

	8. "Openswan IPSEC на Centos 6.6 в KVM и Zywall"	–1 +/–
	Сообщение от suharik71 (ok) on 03-Фев-15, 06:36
	>> > я уперся в не поддержку des на openswan и отсутствие альтернатив > это не так. У меня бежит не одня сотня туннелей на сване > (strongswan) и среди них куча старых железок. Часть из них на > 3des. > Скорее всего это просто неправильные конфиги. Конфиг правильный. Просто на Zywall отключена поддержка 3des и всего остального. На офф сайте есть по этому вопросу комменты. Но на мое счастье нашел другую статью(вернее носом добрые люди ткнули)  http://zyxel.ru/kb/2224  где нашлось решение всех моих проблем. Так что всем спасибо! Вопрос можно снимать с повестки дня.
	Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

	9. "Openswan IPSEC на Centos 6.6 в KVM и Zywall"	+/–
	Сообщение от timur_m (ok) on 09-Апр-15, 12:33
	>>> > я уперся в не поддержку des на openswan и отсутствие альтернатив >> это не так. У меня бежит не одня сотня туннелей на сване >> (strongswan) и среди них куча старых железок. Часть из них на >> 3des. >> Скорее всего это просто неправильные конфиги. > Конфиг правильный. Просто на Zywall отключена поддержка 3des и всего остального. На > офф сайте есть по этому вопросу комменты. Но на мое счастье > нашел другую статью(вернее носом добрые люди ткнули)  http://zyxel.ru/kb/2224  где > нашлось решение всех моих проблем. > Так что всем спасибо! Вопрос можно снимать с повестки дня. К сожалению страница не открылась (404). Поделитесь информацией, как решили задачу, предстоит аналогичная.
	Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

	10. "Openswan IPSEC на Centos 6.6 в KVM и Zywall"	+/–
	Сообщение от suharik71 (ok) on 10-Апр-15, 06:21
	> К сожалению страница не открылась (404). Странно, у меня открывается http://zyxel.ru/kb/2224   можно в правильном поисковике набрать zywall usg 3 des Ну или вот так оно делается через CLI Username: admin Password: Router> configure terminal Router(config)# crypto algorithm-hide disable % The setting has been changed. You should reboot device to apply setting. Router(config)# write Router(config)# reboot > Поделитесь информацией, как решили задачу, предстоит аналогичная. А задачу решил заменой оборудования. Так то получилось кое-что высасать из ентой конструкции. В туннельном он роутил подсети, но мне нужно было другое. Поднять IPSEC в транспортном режиме между zywall и openswan не получилось. По каким-то странным обстоятельсвам не получилось на концах туннеля поставить ип адреса и как-то маршрутизировать через туннель. Так как ни чего кроме подсети на в туннеле больше ни чего в нее не инкапсулировалось. И еще много много разных НО. Выклянчил mikrotik во все офисы - и буквально за пол дня все перенастроил и оттестировал. Теперь между офисами IPSEC в транспортном режиме. В нем GRE. Через GRE гоняю трафик и OSPF. Жизнь нет нет, а наладилась!
	Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема