The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

форумы  помощь  поиск  регистрация  вход/выход  слежка  RSS
"Странность с Raccon"
Вариант для распечатки  
Пред. тема | След. тема 
Форум Открытые системы на сервере (VPN / Linux)
Изначальное сообщение [ Отслеживать ]

"Странность с Raccon"  +/
Сообщение от Doc email(ok) on 07-Июл-16, 10:01 
Приветствию, есть поднятый и рабий тоннель IPSEC на raccon с одной подесткой (192.10.2.0/24)
теперь потребовалось добавить ещё одну подсесть в тоннель  (192.10.10.0/24)
Но получаю такой глюк новая подсесть начинает работать через тоннель, а старая перестает
тоннель при обращении к обеим подсетям НЕ падает, а остается в рабочем состоянии

может  я как-то не так прописываю правило в setkey
spdadd 192.10.2.0/24 192.0.0.16/14 any -P out ipsec esp/tunnel/10.141.43.2-10.136.104.126/require;
spdadd 192.0.0.0/14 192.10.2.0/24 any -P in ipsec esp/tunnel/10.136.104.126-10.141.43.2/require;
spdadd 192.10.10.0/24 192.0.0.16/14 any -P out ipsec esp/tunnel/10.141.43.2-10.136.104.126/require;
spdadd 192.0.0.0/14 192.10.10.0/24 any -P in ipsec esp/tunnel/10.136.104.126-10.141.43.2/require;

Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Странность с Raccon"  +/
Сообщение от Roman (??) on 08-Июл-16, 01:41 
зачем мучится? настрой gre over ipsec и будет тебе счастье. (вместо gre можно и ipip)


Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Странность с Raccon"  +/
Сообщение от Doc (ok) on 08-Июл-16, 07:25 
> зачем мучится? настрой gre over ipsec и будет тебе счастье. (вместо gre
> можно и ipip)
> зачем мучится? настрой gre over ipsec и будет тебе счастье. (вместо gre
> можно и ipip)

дело в том что с другой стороны циска (банка) которой я не рулю , а у них все очень строго - шаг вправо шаг в лева - попытка к бегству - расстрел на месте

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Странность с Raccon"  +/
Сообщение от Roman (??) on 08-Июл-16, 12:24 
тогда дело усложняется.
может скинешь что выдает setkey -DPp
Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Странность с Raccon"  +/
Сообщение от Doc email(ok) on 08-Июл-16, 12:27 
> тогда дело усложняется.
> может скинешь что выдает setkey -DPp

router:/etc/racoon # setkey -DPp
(per-socket policy)
        Policy:[Invalid direciton]
        created: Jul  8 10:09:03 2016  lastused: Jul  8 12:50:55 2016
        lifetime: 0(s) validtime: 0(s)
        spid=1180 seq=1 pid=8900
        refcnt=1
(per-socket policy)
        Policy:[Invalid direciton]
        created: Jul  8 10:09:03 2016  lastused: Jul  8 12:52:17 2016
        lifetime: 0(s) validtime: 0(s)
        spid=1171 seq=2 pid=8900
        refcnt=1
192.0.0.0/14[any] 192.10.2.0/24[any] any
        fwd prio def ipsec
        esp/tunnel/10.136.104.126[0]-10.141.43.2[0]/require
        created: Jul  8 10:09:02 2016  lastused: Jul  8 13:13:50 2016
        lifetime: 0(s) validtime: 0(s)
        spid=1162 seq=3 pid=8900
        refcnt=3
192.0.0.0/14[any] 192.10.2.0/24[any] any
        in prio def ipsec
        esp/tunnel/10.136.104.126[0]-10.141.43.2[0]/require
        created: Jul  8 10:09:02 2016  lastused: Jul  8 13:13:39 2016
        lifetime: 0(s) validtime: 0(s)
        spid=1152 seq=4 pid=8900
        refcnt=3
192.10.2.0/24[any] 192.0.0.16/14[any] any
        out prio def ipsec
        esp/tunnel/10.141.43.2[0]-10.136.104.126[0]/require
        created: Jul  8 10:09:02 2016  lastused: Jul  8 13:13:39 2016
        lifetime: 0(s) validtime: 0(s)
        spid=1145 seq=5 pid=8900
        refcnt=8
192.0.0.0/14[any] 192.10.10.0/24[any] any
        fwd prio def ipsec
        esp/tunnel/10.136.104.126[0]-10.141.43.2[0]/require
        created: Jul  8 10:09:02 2016  lastused:
        lifetime: 0(s) validtime: 0(s)
        spid=1138 seq=6 pid=8900
        refcnt=1
192.0.0.0/14[any] 192.10.10.0/24[any] any
        in prio def ipsec
        esp/tunnel/10.136.104.126[0]-10.141.43.2[0]/require
        created: Jul  8 10:09:02 2016  lastused: Jul  8 13:13:36 2016
        lifetime: 0(s) validtime: 0(s)
        spid=1128 seq=7 pid=8900
        refcnt=2
192.10.10.0/24[any] 192.0.0.16/14[any] any
        out prio def ipsec
        esp/tunnel/10.141.43.2[0]-10.136.104.126[0]/require
        created: Jul  8 10:09:02 2016  lastused: Jul  8 13:13:36 2016
        lifetime: 0(s) validtime: 0(s)
        spid=1121 seq=0 pid=8900
        refcnt=2


Причем это точно косяк с sуеkey так как я поменял местами правила для 10 и 2 посети и теперь 2 работает а 10 нет :), тесть работает только так которая последняя прописана
p.s. задумываюсь поднять два тоннеля :)

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "Странность с Raccon"  –1 +/
Сообщение от Roman (??) on 08-Июл-16, 13:42 
как понимать вот такую  сеть 192.0.0.16/14 или хост ???
Ответить | Правка | ^ к родителю #4 | Наверх | Cообщить модератору

6. "Странность с Raccon"  +/
Сообщение от Doc email(ok) on 08-Июл-16, 15:27 
> как понимать вот такую  сеть 192.0.0.16/14 или хост ???

как сеть - , и опечатку

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "Странность с Raccon"  +/
Сообщение от Roman (??) on 08-Июл-16, 19:09 
а если без опечаток? и что в racoon.conf ?

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "Странность с Raccon"  +/
Сообщение от Doc (ok) on 08-Июл-16, 22:19 
> а если без опечаток? и что в racoon.conf ?

setkey.conf
flush;
spdflush;
spdadd 192.10.10.0/24 192.0.0.0/14 any -P out ipsec esp/tunnel/10.141.43.2-10.136.104.126/require;
spdadd 192.0.0.0/14 192.10.10.0/24 any -P in ipsec esp/tunnel/10.136.104.126-10.141.43.2/require;
spdadd 192.10.2.0/24 192.0.0.0/14 any -P out ipsec esp/tunnel/10.141.43.2-10.136.104.126/require;
spdadd 192.0.0.0/14 192.10.2.0/24 any -P in ipsec esp/tunnel/10.136.104.126-10.141.43.2/require;

racoon.conf
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
log debug;
log notify;
padding
{
maximum_length 20;# maximum padding length.
randomize off;# enable randomize length.
strict_check off;# enable strict check.
exclusive_tail off;# extract last one octet.
}

listen
{
#isakmp ::1 [7000];
isakmp 10.141.43.2 [500];

#admin [7002];# administrative port for racoonctl.
#strict_address; # requires that all addresses must be bound.
}

# Specify various default timers.
timer
{
# These value can be changed per remote node.
counter 5;# maximum trying count to send.
interval 20 sec;# maximum interval to resend.
persend 1;# the number of packets per send.

# maximum time to wait for completing each phase.
phase1 20 sec;
phase2 20 sec;
}

#remote 10.136.104.126
remote anonymous
{
exchange_mode aggressive,main;
doi ipsec_doi;
my_identifier address 10.141.43.2;
peers_identifier address 10.136.104.126;
initial_contact off;
lifetime time 8 hour;
passive off;
proposal_check obey;
generate_policy off;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
lifetime time 28800 sec;
}
}


sainfo anonymous
{
pfs_group 2;
lifetime time 3600 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "Странность с Raccon"  +/
Сообщение от Doc email(ok) on 09-Июл-16, 13:26 
пока ответа не нашел -поднял второй тоннель с саб интерфейса
но так и не могу объяснить причину почем не работает а в рамках одного тоннеля
Ответить | Правка | ^ к родителю #8 | Наверх | Cообщить модератору

10. "Странность с Raccon"  +/
Сообщение от Doc email(ok) on 09-Июл-16, 13:26 
> пока ответа не нашел:) поднял второй тоннель с саб интерфейса , все заработало
> но так и не могу объяснить причину почем не работает в
> рамках одного тоннеля
Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

11. "Странность с Raccon"  +/
Сообщение от PavelR (??) on 10-Июл-16, 08:06 
>> пока ответа не нашел:) поднял второй тоннель с саб интерфейса , все заработало
>> но так и не могу объяснить причину почем не работает в
>> рамках одного тоннеля

Ответ в том, что у вас слишком много опечаток.
Это показатель вашей внимательности.

Ответить | Правка | ^ к родителю #10 | Наверх | Cообщить модератору

12. "Странность с Raccon"  +/
Сообщение от Doc (ok) on 11-Июл-16, 19:01 
>>> пока ответа не нашел:) поднял второй тоннель с саб интерфейса , все заработало
>>> но так и не могу объяснить причину почем не работает в
>>> рамках одного тоннеля
> Ответ в том, что у вас слишком много опечаток.
> Это показатель вашей внимательности.

если приглядитесь то данные опечатки ни на что в данном случаи не влияют , тоже доказывает и тот факт что при их исправлении все равно также не работает

Ответить | Правка | ^ к родителю #11 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема




Партнёры:
PostgresPro
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру