The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

форумы  помощь  поиск  регистрация  майллист  вход/выход  слежка  RSS
"Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"
Вариант для распечатки  
Пред. тема | След. тема 
Форумы Маршрутизаторы CISCO и др. оборудование. (Public)
Изначальное сообщение [ Отслеживать ]

"Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 22-Июл-09, 18:12 
Добрый день. Нужно поднять VPN IPSec tunnel между CISCO 2821 и Linux чтобы пробросит сетку удаленную 192.168.0.0/24 и 10.0.1.0/24

Первая фаза проходит успешно, а вот на втором этапе циска предлагает

Jul 22 16:13:44 10.1.1.1 135367:     local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
Jul 22 16:13:44 10.1.1.1 135368:     remote_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),

то есть вместо нужных адресов сетей подставляет 0.0.0.0, на что ракун с другой стороны соответственно ругается, потому что с стороны ракуна описаны правила на определенные сети.

Jul 22 16:12:37 mon racoon: ERROR: no policy found: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
Jul 22 16:12:37 mon racoon: ERROR: failed to get proposal for responder.
Jul 22 16:12:37 mon racoon: ERROR: failed to pre-process packet.

Конфиг циски (на ней параллельно живут и работают ВПН для виндовых клиентов):
X.X.X.X - внешний адрес Linux
Y.Y.Y.Y - внешний адрес Cisco
выкладываю часть, которая относится к ВПНам.

vpdn enable
vpdn logging
!
vpdn-group VPDN-L2TP
! Default L2TP VPDN group
accept-dialin
  protocol l2tp
  virtual-template 1
lcp renegotiation on-mismatch
no l2tp tunnel authentication
!
vpdn-group VPDN-PPTP
! Default PPTP VPDN group
accept-dialin
  protocol pptp
  virtual-template 2
pptp tunnel echo 10
ip pmtu
ip mtu adjust
!

crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp policy 20
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 30
encr 3des
hash md5
authentication pre-share
group 2

crypto isakmp key SECRETKEY address X.X.X.X
crypto isakmp key SECRETKEY address 0.0.0.0 0.0.0.0

crypto ipsec transform-set L2TP esp-3des esp-md5-hmac
mode transport
crypto ipsec transform-set L2TP_V ah-sha-hmac esp-3des esp-sha-hmac
mode transport
crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac
!
crypto ipsec profile SITE_TO_SITE
set transform-set SITE_TO_SITE
set pfs group2
!
!
crypto dynamic-map L2TP_D 10
set transform-set L2TP L2TP_V
!
crypto dynamic-map SITE_TO_SITE 20
set peer X.X.X.X
set pfs group2
match address CRYPTO_ACL_IPSec
!
!
crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
crypto map L2TP 30 ipsec-isakmp dynamic SITE_TO_SITE
!
crypto map S_T_S 1 ipsec-isakmp dynamic SITE_TO_SITE

!
!
interface Tunnel0
description VPN tunnel - not work(((
bandwidth 128
ip address 10.0.1.1 255.255.255.0
ip access-group sdm_tunnel0_in in
ip mtu 1476
shutdown
tunnel source GigabitEthernet0/0
tunnel destination X.X.X.X
tunnel mode ipsec ipv4
tunnel path-mtu-discovery
tunnel protection ipsec profile SITE_TO_SITE
!
interface Loopback0
description Virtual interface for remote Windows VPN connect
ip address 10.1.5.1 255.255.255.0
ip access-group sdm_loopback0_in in
ip inspect SDM_LOW in
!
interface GigabitEthernet0/0
description $ETH-SW-LAUNCH$$INTF-INFO-GE 0/0$$ES_WAN$$FW_OUTSIDE$$ETH-WAN$
ip address Y.Y.Y.Y 255.255.255.240
ip access-group 101 in
ip verify unicast reverse-path
no ip redirects
no ip unreachables
no ip proxy-arp
ip inspect DEFAULT100 out
ip nat outside
ip virtual-reassembly
ip route-cache flow
duplex auto
speed auto
no mop enabled
crypto map L2TP
!
!
interface Virtual-Template1
ip unnumbered Loopback0
ip access-group VPN_L2TP in
peer default ip address pool vpnpool2
ppp mtu adaptive
ppp authentication ms-chap-v2
ppp ipcp dns 10.1.1.10
!
interface Virtual-Template2
description $FW_OUTSIDE$
ip unnumbered Loopback0
ip access-group VPN_PPTP in
autodetect encapsulation ppp
peer default ip address pool vpnpool2
ppp encrypt mppe auto
ppp authentication ms-chap-v2
ppp ipcp dns 10.1.1.10
!
ip nat inside source route-map SDM_RMAP_2 interface GigabitEthernet0/0 overload


Конфиг Линукса

[root@mon]~# cat /etc/setkey.conf
#!/sbin/setkey -f

flush;
spdflush;

#out
spdadd 192.168.0.0/24[any] 10.0.1.0/24[any] any -P out ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/require;
spdadd 10.0.1.0/24[any] 192.168.0.0/24[any] any -P in  ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X/require;

remote Y.Y.Y.Y
{
        exchange_mode main, aggressive;
        doi ipsec_doi;
        situation identity_only;
        my_identifier address X.X.X.X;
        nonce_size 16;
        initial_contact off;
        proposal_check obey;
        support_proxy on;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm md5;
                authentication_method pre_shared_key;
                dh_group 2;
        }
}

sainfo address 192.168.0.0/24 any address 10.0.1.0/24 any {
        pfs_group modp1024; # pfs_group modp768;
        encryption_algorithm 3des, des;
        authentication_algorithm hmac_md5, hmac_sha1;
        compression_algorithm deflate;
        }


Лог ракуна

Jul 22 16:52:18 mon racoon: INFO: respond new phase 1 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
Jul 22 16:52:18 mon racoon: INFO: begin Identity Protection mode.
Jul 22 16:52:18 mon racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-07
Jul 22 16:52:18 mon racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
Jul 22 16:52:18 mon racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Jul 22 16:52:18 mon racoon: INFO: received Vendor ID: CISCO-UNITY
Jul 22 16:52:18 mon racoon: INFO: received Vendor ID: DPD
Jul 22 16:52:18 mon racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Jul 22 16:52:18 mon racoon: WARNING: ignore INITIAL-CONTACT notification, because it is only accepted after phase1.
Jul 22 16:52:18 mon racoon: INFO: ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:1f36d2df755b22ad:4d20d3f57f82697a
Jul 22 16:52:18 mon racoon: INFO: respond new phase 2 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
Jul 22 16:52:18 mon racoon: ERROR: no policy found: 0.0.0.0/0[0] 0.0.0.0/0[0] proto=any dir=in
Jul 22 16:52:18 mon racoon: ERROR: failed to get proposal for responder.
Jul 22 16:52:18 mon racoon: ERROR: failed to pre-process packet.


Лог циски

Jul 22 16:52:09 10.1.1.1 138156: 093970: Jul 22 15:52:09.764 PCTime: CRYPTO_SS(TUNNEL SEC): Application started listening
Jul 22 16:52:09 10.1.1.1 138157: 093971: Jul 22 15:52:09.764 PCTime: insert of map into mapdb AVL failed, map + ace pair already exists on the mapd
b
Jul 22 16:52:09 10.1.1.1 138158: 093972: Jul 22 15:52:09.768 PCTime: is_up: 0 state: 4 sub state: 1 line: 0 has_route: False
Jul 22 16:52:09 10.1.1.1 138159: 093973: Jul 22 15:52:09.768 PCTime: CRYPTO_SS(TUNNEL SEC): Active open, socket info: local Y.Y.Y.Y 0.0.0.0/
0.0.0.0/0, remote X.X.X.X 0.0.0.0/0.0.0.0/0,  prot 0, ifc Tu0
Jul 22 16:52:09 10.1.1.1 138160: 093974: Jul 22 15:52:09.768 PCTime: IPSEC(sa_request): ,
Jul 22 16:52:09 10.1.1.1 138161:   (key eng. msg.) OUTBOUND
Jul 22 16:52:09 10.1.1.1 138162: local= Y.Y.Y.Y, remote= X.X.X.X,
Jul 22 16:52:09 10.1.1.1 138163:     local_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
Jul 22 16:52:09 10.1.1.1 138164:     remote_proxy= 0.0.0.0/0.0.0.0/0/0 (type=4),
Jul 22 16:52:09 10.1.1.1 138165:     protocol= ESP, transform= esp-3des esp-md5-hmac  (Tunnel),
Jul 22 16:52:09 10.1.1.1 138166:     lifedur= 3600s and 4608000kb,
Jul 22 16:52:09 10.1.1.1 138167:     spi= 0xA67AC3A6(2793063334), conn_id= 0, keysize= 0, flags= 0x400B
Jul 22 16:52:09 10.1.1.1 138168: 093975: Jul 22 15:52:09.768 PCTime: ISAKMP: received ke message (1/1)
Jul 22 16:52:09 10.1.1.1 138169: 093976: Jul 22 15:52:09.768 PCTime: ISAKMP:(0:0:N/A:0): SA request profile is (NULL)
Jul 22 16:52:09 10.1.1.1 138170: 093977: Jul 22 15:52:09.768 PCTime: ISAKMP: Created a peer struct for X.X.X.X, peer port 500
Jul 22 16:52:09 10.1.1.1 138171: 093978: Jul 22 15:52:09.768 PCTime: ISAKMP: New peer created peer = 0x44571EB4 peer_handle = 0x800003B2
Jul 22 16:52:09 10.1.1.1 138172: 093979: Jul 22 15:52:09.768 PCTime: ISAKMP: Locking peer struct 0x44571EB4, IKE refcount 1 for isakmp_initiator
Jul 22 16:52:10 10.1.1.1 138173: 093980: Jul 22 15:52:09.768 PCTime: ISAKMP: local port 500, remote port 500
Jul 22 16:52:10 10.1.1.1 138174: 093981: Jul 22 15:52:09.768 PCTime: ISAKMP: set new node 0 to QM_IDLE
Jul 22 16:52:10 10.1.1.1 138175: 093982: Jul 22 15:52:09.768 PCTime: ISAKMP: Find a dup sa in the avl tree during calling isadb_insert sa = 4474CDB
0
Jul 22 16:52:10 10.1.1.1 138176: 093983: Jul 22 15:52:09.768 PCTime: ISAKMP:(0:0:N/A:0):Can not start Aggressive mode, trying Main mode.
Jul 22 16:52:10 10.1.1.1 138177: 093984: Jul 22 15:52:09.768 PCTime: ISAKMP:(0:0:N/A:0):Looking for a matching key for X.X.X.X in default
Jul 22 16:52:10 10.1.1.1 138178: 093985: Jul 22 15:52:09.768 PCTime: ISAKMP:(0:0:N/A:0): : success
Jul 22 16:52:10 10.1.1.1 138179: 093986: Jul 22 15:52:09.768 PCTime: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching X.X.X.X
Jul 22 16:52:10 10.1.1.1 138180: 093987: Jul 22 15:52:09.772 PCTime: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-07 ID
Jul 22 16:52:10 10.1.1.1 138181: 093988: Jul 22 15:52:09.772 PCTime: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-03 ID
Jul 22 16:52:10 10.1.1.1 138182: 093989: Jul 22 15:52:09.772 PCTime: ISAKMP:(0:0:N/A:0): constructed NAT-T vendor-02 ID
Jul 22 16:52:10 10.1.1.1 138183: 093990: Jul 22 15:52:09.772 PCTime: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_IPSEC, IKE_SA_REQ_MM
Jul 22 16:52:10 10.1.1.1 138184: 093991: Jul 22 15:52:09.772 PCTime: ISAKMP:(0:0:N/A:0):Old State = IKE_READY  New State = IKE_I_MM1
Jul 22 16:52:10 10.1.1.1 138185:
Jul 22 16:52:10 10.1.1.1 138186: 093992: Jul 22 15:52:09.772 PCTime: ISAKMP:(0:0:N/A:0): beginning Main Mode exchange
Jul 22 16:52:10 10.1.1.1 138187: 093993: Jul 22 15:52:09.772 PCTime: ISAKMP:(0:0:N/A:0): sending packet to X.X.X.X my_port 500 peer_port 500
(I) MM_NO_STATE
Jul 22 16:52:10 10.1.1.1 138188: 093994: Jul 22 15:52:09.832 PCTime: ISAKMP (0:0): received packet from X.X.X.X dport 500 sport 500 Global (
I) MM_NO_STATE
Jul 22 16:52:10 10.1.1.1 138189: 093995: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jul 22 16:52:10 10.1.1.1 138190: 093996: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0):Old State = IKE_I_MM1  New State = IKE_I_MM2
Jul 22 16:52:10 10.1.1.1 138191:
Jul 22 16:52:10 10.1.1.1 138192: 093997: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0): processing SA payload. message ID = 0
Jul 22 16:52:10 10.1.1.1 138193: 093998: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0): processing vendor id payload
Jul 22 16:52:10 10.1.1.1 138194: 093999: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0): vendor ID is DPD
Jul 22 16:52:10 10.1.1.1 138195: 094000: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0):Looking for a matching key for X.X.X.X in default
Jul 22 16:52:10 10.1.1.1 138196: 094001: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0): : success
Jul 22 16:52:10 10.1.1.1 138197: 094002: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0):found peer pre-shared key matching X.X.X.X
Jul 22 16:52:10 10.1.1.1 138198: 094003: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0): local preshared key found
Jul 22 16:52:10 10.1.1.1 138199: 094004: Jul 22 15:52:09.832 PCTime: ISAKMP : Scanning profiles for xauth ... S_T_S
Jul 22 16:52:10 10.1.1.1 138200: 094005: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0):Checking ISAKMP transform 1 against priority 10 policy
Jul 22 16:52:10 10.1.1.1 138201: 094006: Jul 22 15:52:09.832 PCTime: ISAKMP:      encryption 3DES-CBC
Jul 22 16:52:10 10.1.1.1 138202: 094007: Jul 22 15:52:09.832 PCTime: ISAKMP:      hash MD5
Jul 22 16:52:10 10.1.1.1 138203: 094008: Jul 22 15:52:09.832 PCTime: ISAKMP:      default group 2
Jul 22 16:52:10 10.1.1.1 138204: 094009: Jul 22 15:52:09.832 PCTime: ISAKMP:      auth pre-share
Jul 22 16:52:10 10.1.1.1 138205: 094010: Jul 22 15:52:09.832 PCTime: ISAKMP:      life type in seconds
Jul 22 16:52:10 10.1.1.1 138206: 094011: Jul 22 15:52:09.832 PCTime: ISAKMP:      life duration (VPI) of  0x0 0x1 0x51 0x80
Jul 22 16:52:10 10.1.1.1 138207: 094012: Jul 22 15:52:09.832 PCTime: ISAKMP:(0:0:N/A:0):atts are acceptable. Next payload is 0
Jul 22 16:52:10 10.1.1.1 138208: 094013: Jul 22 15:52:09.832 PCTime: CryptoEngine0: generating alg parameter for connid 28
Jul 22 16:52:10 10.1.1.1 138209: 094014: Jul 22 15:52:09.860 PCTime: CRYPTO_ENGINE: Dh phase 1 status: 0
Jul 22 16:52:10 10.1.1.1 138210: 094015: Jul 22 15:52:09.860 PCTime: CRYPTO_ENGINE: Dh phase 1 status: OK
Jul 22 16:52:10 10.1.1.1 138211: 094016: Jul 22 15:52:09.860 PCTime: ISAKMP:(0:28:SW:1): processing vendor id payload
Jul 22 16:52:10 10.1.1.1 138212: 094017: Jul 22 15:52:09.860 PCTime: ISAKMP:(0:28:SW:1): vendor ID is DPD
Jul 22 16:52:10 10.1.1.1 138213: 094018: Jul 22 15:52:09.860 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jul 22 16:52:10 10.1.1.1 138214: 094019: Jul 22 15:52:09.860 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_I_MM2  New State = IKE_I_MM2
Jul 22 16:52:10 10.1.1.1 138215:
Jul 22 16:52:10 10.1.1.1 138216: 094020: Jul 22 15:52:09.860 PCTime: ISAKMP:(0:28:SW:1): sending packet to X.X.X.X my_port 500 peer_port 500
(I) MM_SA_SETUP
Jul 22 16:52:10 10.1.1.1 138217: 094021: Jul 22 15:52:09.860 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jul 22 16:52:10 10.1.1.1 138218: 094022: Jul 22 15:52:09.860 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_I_MM2  New State = IKE_I_MM3
Jul 22 16:52:10 10.1.1.1 138219:
Jul 22 16:52:10 10.1.1.1 138220: 094023: Jul 22 15:52:09.896 PCTime: ISAKMP (0:134217756): received packet from X.X.X.X dport 500 sport 500
Global (I) MM_SA_SETUP
Jul 22 16:52:10 10.1.1.1 138221: 094024: Jul 22 15:52:09.896 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jul 22 16:52:10 10.1.1.1 138222: 094025: Jul 22 15:52:09.896 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_I_MM3  New State = IKE_I_MM4
Jul 22 16:52:10 10.1.1.1 138223:
Jul 22 16:52:10 10.1.1.1 138224: 094026: Jul 22 15:52:09.896 PCTime: ISAKMP:(0:28:SW:1): processing KE payload. message ID = 0
Jul 22 16:52:10 10.1.1.1 138225: 094027: Jul 22 15:52:09.896 PCTime: CryptoEngine0: generating alg parameter for connid 0
Jul 22 16:52:10 10.1.1.1 138226: 094028: Jul 22 15:52:09.924 PCTime: ISAKMP:(0:28:SW:1): processing NONCE payload. message ID = 0
Jul 22 16:52:10 10.1.1.1 138227: 094029: Jul 22 15:52:09.924 PCTime: ISAKMP:(0:0:N/A:0):Looking for a matching key for X.X.X.X in default
Jul 22 16:52:10 10.1.1.1 138228: 094030: Jul 22 15:52:09.924 PCTime: ISAKMP:(0:0:N/A:0): : success
Jul 22 16:52:10 10.1.1.1 138229: 094031: Jul 22 15:52:09.924 PCTime: ISAKMP:(0:28:SW:1):found peer pre-shared key matching X.X.X.X
Jul 22 16:52:10 10.1.1.1 138230: 094032: Jul 22 15:52:09.924 PCTime: CryptoEngine0: create ISAKMP SKEYID for conn id 28
Jul 22 16:52:10 10.1.1.1 138231: 094033: Jul 22 15:52:09.924 PCTime: ISAKMP:(0:28:SW:1):SKEYID state generated
Jul 22 16:52:10 10.1.1.1 138232: 094034: Jul 22 15:52:09.924 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jul 22 16:52:10 10.1.1.1 138233: 094035: Jul 22 15:52:09.928 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_I_MM4  New State = IKE_I_MM4
Jul 22 16:52:10 10.1.1.1 138234:
Jul 22 16:52:10 10.1.1.1 138235: 094036: Jul 22 15:52:09.928 PCTime: ISAKMP:(0:28:SW:1):Send initial contact
Jul 22 16:52:10 10.1.1.1 138236: 094037: Jul 22 15:52:09.928 PCTime: ISAKMP:(0:28:SW:1):SA is doing pre-shared key authentication using id type ID_
IPV4_ADDR
Jul 22 16:52:10 10.1.1.1 138237: 094038: Jul 22 15:52:09.928 PCTime: ISAKMP (0:134217756): ID payload
Jul 22 16:52:10 10.1.1.1 138238:        next-payload : 8
Jul 22 16:52:10 10.1.1.1 138239:        type         : 1
Jul 22 16:52:10 10.1.1.1 138240:        address      : Y.Y.Y.Y
Jul 22 16:52:10 10.1.1.1 138241:        protocol     : 17
Jul 22 16:52:10 10.1.1.1 138242:        port         : 500
Jul 22 16:52:10 10.1.1.1 138243:        length       : 12
Jul 22 16:52:10 10.1.1.1 138244: 094039: Jul 22 15:52:09.928 PCTime: ISAKMP:(0:28:SW:1):Total payload length: 12
Jul 22 16:52:10 10.1.1.1 138245: 094040: Jul 22 15:52:09.928 PCTime: CryptoEngine0: generate hmac context for conn id 28
Jul 22 16:52:10 10.1.1.1 138246: 094041: Jul 22 15:52:09.928 PCTime: ISAKMP:(0:28:SW:1): sending packet to X.X.X.X my_port 500 peer_port 500
(I) MM_KEY_EXCH
Jul 22 16:52:10 10.1.1.1 138247: 094042: Jul 22 15:52:09.928 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jul 22 16:52:10 10.1.1.1 138248: 094043: Jul 22 15:52:09.928 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_I_MM4  New State = IKE_I_MM5
Jul 22 16:52:10 10.1.1.1 138249:
Jul 22 16:52:10 10.1.1.1 138250: 094044: Jul 22 15:52:09.940 PCTime: ISAKMP (0:134217756): received packet from X.X.X.X dport 500 sport 500
Global (I) MM_KEY_EXCH
Jul 22 16:52:10 10.1.1.1 138251: 094045: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1): processing ID payload. message ID = 0
Jul 22 16:52:10 10.1.1.1 138252: 094046: Jul 22 15:52:09.940 PCTime: ISAKMP (0:134217756): ID payload
Jul 22 16:52:11 10.1.1.1 138253:        next-payload : 8
Jul 22 16:52:11 10.1.1.1 138254:        type         : 1
Jul 22 16:52:11 10.1.1.1 138255:
Jul 22 16:52:11 10.1.1.1 138256:        address      : X.X.X.X
Jul 22 16:52:11 10.1.1.1 138257:        protocol     : 17
Jul 22 16:52:11 10.1.1.1 138258:        port         : 500
Jul 22 16:52:11 10.1.1.1 138259:        length       : 12
Jul 22 16:52:11 10.1.1.1 138260: 094047: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1):: peer matches *none* of the profiles
Jul 22 16:52:11 10.1.1.1 138261: 094048: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1): processing HASH payload. message ID = 0
Jul 22 16:52:11 10.1.1.1 138262: 094049: Jul 22 15:52:09.940 PCTime: CryptoEngine0: generate hmac context for conn id 28
Jul 22 16:52:11 10.1.1.1 138263: 094050: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1):SA authentication status:
Jul 22 16:52:11 10.1.1.1 138264:        authenticated
Jul 22 16:52:11 10.1.1.1 138265: 094051: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1):SA has been authenticated with X.X.X.X
Jul 22 16:52:11 10.1.1.1 138266: 094052: Jul 22 15:52:09.940 PCTime: ISAKMP: Trying to insert a peer Y.Y.Y.Y/X.X.X.X/500/,
Jul 22 16:52:11 10.1.1.1 138267:  and inserted successfully 44571EB4.
Jul 22 16:52:11 10.1.1.1 138268: 094053: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jul 22 16:52:11 10.1.1.1 138269: 094054: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_I_MM5  New State = IKE_I_MM6
Jul 22 16:52:11 10.1.1.1 138270:
Jul 22 16:52:11 10.1.1.1 138271: 094055: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jul 22 16:52:11 10.1.1.1 138272: 094056: Jul 22 15:52:09.940 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_I_MM6  New State = IKE_I_MM6
Jul 22 16:52:11 10.1.1.1 138273:
Jul 22 16:52:11 10.1.1.1 138274: 094057: Jul 22 15:52:09.944 PCTime: CryptoEngine0: clear dh number for conn id 19
Jul 22 16:52:11 10.1.1.1 138275: 094058: Jul 22 15:52:09.944 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jul 22 16:52:11 10.1.1.1 138276: 094059: Jul 22 15:52:09.944 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_I_MM6  New State = IKE_P1_COMPLETE
Jul 22 16:52:11 10.1.1.1 138277:
Jul 22 16:52:11 10.1.1.1 138278: 094060: Jul 22 15:52:09.944 PCTime: ISAKMP:(0:28:SW:1):beginning Quick Mode exchange, M-ID of -625100548
Jul 22 16:52:11 10.1.1.1 138279: 094061: Jul 22 15:52:09.944 PCTime: CryptoEngine0: generating alg parameter for connid 28
Jul 22 16:52:11 10.1.1.1 138280: 094062: Jul 22 15:52:09.968 PCTime: CRYPTO_ENGINE: Dh phase 1 status: 0
Jul 22 16:52:11 10.1.1.1 138281: 094063: Jul 22 15:52:09.968 PCTime: CRYPTO_ENGINE: Dh phase 1 status: OK
Jul 22 16:52:11 10.1.1.1 138282: 094064: Jul 22 15:52:09.968 PCTime: CryptoEngine0: generate hmac context for conn id 28
Jul 22 16:52:11 10.1.1.1 138283: 094065: Jul 22 15:52:09.968 PCTime: ISAKMP:(0:28:SW:1): sending packet to X.X.X.X my_port 500 peer_port 500
(I) QM_IDLE
Jul 22 16:52:11 10.1.1.1 138284: 094066: Jul 22 15:52:09.968 PCTime: ISAKMP:(0:28:SW:1):Node -625100548, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
Jul 22 16:52:11 10.1.1.1 138285: 094067: Jul 22 15:52:09.968 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_QM_READY  New State = IKE_QM_I_QM1
Jul 22 16:52:11 10.1.1.1 138286: 094068: Jul 22 15:52:09.968 PCTime: ISAKMP:(0:28:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
Jul 22 16:52:11 10.1.1.1 138287: 094069: Jul 22 15:52:09.968 PCTime: ISAKMP:(0:28:SW:1):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
Jul 22 16:52:11 10.1.1.1 138288:
Jul 22 16:52:11 10.1.1.1 138289: 094070: Jul 22 15:52:11.764 PCTime: %LINK-3-UPDOWN: Interface Tunnel0, changed state to up
Jul 22 16:52:12 10.1.1.1 138290: 094071: Jul 22 15:52:11.764 PCTime: is_up: 0 state: 4 sub state: 1 line: 0 has_route: False

Высказать мнение | Ответить | Правка | Cообщить модератору

 Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от shadow_alone (ok) on 22-Июл-09, 19:24 
видимо проблема здесь:

crypto isakmp key SECRETKEY address X.X.X.X
crypto isakmp key SECRETKEY address 0.0.0.0 0.0.0.0

наверняка key одинаковые, поменяй кей для 0.0.0.0
если нет, то хотяб пиши SECRETKEY1, SECRETKEY2 и в местах с IP тож, хотяб конечную цифру оставляй.... а то мля, путаница.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

2. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 22-Июл-09, 19:32 
>видимо проблема здесь:
>
 
>crypto isakmp key SECRETKEY address X.X.X.X
>crypto isakmp key SECRETKEY address 0.0.0.0 0.0.0.0
>

>наверняка key одинаковые, поменяй кей для 0.0.0.0
>если нет, то хотяб пиши SECRETKEY1, SECRETKEY2 и в местах с IP
>тож, хотяб конечную цифру оставляй.... а то мля, путаница.

Извиняюсь. Забыл при переименовывание указать что они разные. Ключи там разные, и ключ берется правильный, фаза 1 проходит успешно.

второй ключ для address 0.0.0.0 0.0.0.0 - это для виндовых машин, которые с разных IP подключаются.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

3. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от shadow_alone (ok) on 22-Июл-09, 19:43 
пробывал менять?
crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
crypto map L2TP 30 ipsec-isakmp dynamic SITE_TO_SITE
20 - 30
из 30 сделать 10 скажем.

а это зачем?
crypto map S_T_S 1 ipsec-isakmp dynamic SITE_TO_SITE


и где
CRYPTO_ACL_IPSec

меня смущает все-таки твоя динамика для 0.0.0.0
попробуй без неё, или пробывал уже.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

4. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 22-Июл-09, 20:00 
>пробывал менять?
>crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
>crypto map L2TP 30 ipsec-isakmp dynamic SITE_TO_SITE
>20 - 30
>из 30 сделать 10 скажем.

Ето не поможет и в данном примере оно вообще не используется

Скажем так. Пробывал просто 2 способами:
1) Без интерфейса Тунель0, а на внешнем интерфейсе с помощью crypto map. Но так как как 1 интерфейсе только 1 crypto map, поетому на существующем L2TP (мап для виндовых) создал сиквенс (или как там его - с большим номером) для того, чтобы паралельно поднят ВПН между сетками. Но такой способ даже этих успехов не давал. поэтому и создал туннель

2) Как в данном примере отдельным интерфейсом туннелем. А конфиге тунеля напрямую указывается какой профиль использовать tunnel protection ipsec profile SITE_TO_SITE . И как я понимаю до динамики и не доходит.
>
>а это зачем?
>crypto map S_T_S 1 ipsec-isakmp dynamic SITE_TO_SITE

Ето для тест аделалса отделный map и вешался на интерфесе interface Tunnel0 crypto map S_T_S. Но тоде не помогло - затык в таком же месте

>
>
>и где
>CRYPTO_ACL_IPSec

ip access-list extended CRYPTO_ACL_IPSec
remark SDM_ACL Category=20
permit ip 10.0.1.0 0.0.0.255 192.168.0.0 0.0.0.255
permit icmp 10.0.1.0 0.0.0.255 192.168.0.0 0.0.0.255


>
>меня смущает все-таки твоя динамика для 0.0.0.0
>попробуй без неё, или пробывал уже.

А что значит динамика для 0.0.0.0? Причем динамика мап"ов к 0.0.0.0
Динамика мне нужна, потому что у меня виндовые клиенты с разными настройками (Виста и ХР имеют разные алгоритмы.)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

5. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от shadow_alone (ok) on 22-Июл-09, 20:06 
убери ка

crypto dynamic-map SITE_TO_SITE 20
set peer X.X.X.X
set pfs group2
match address CRYPTO_ACL_IPSec

crypto map L2TP 30 ipsec-isakmp dynamic SITE_TO_SITE

crypto ipsec profile SITE_TO_SITE
set transform-set SITE_TO_SITE
set pfs group2


и поставь

crypto map SITE_TO_SITE 1 ipsec-isakmp
set peer X.X.X.X
set transform-set SITE_TO_SITE  
match address CRYPTO_ACL_IPSec


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

6. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 22-Июл-09, 20:11 
>[оверквотинг удален]
>set pfs group2
>
>и поставь
>
 
>crypto map SITE_TO_SITE 1 ipsec-isakmp
> set peer X.X.X.X
> set transform-set SITE_TO_SITE
> match address CRYPTO_ACL_IPSec
>
>

Так так не покатить. Если так, то тогда нада в настройках тунеля убрать использовать tunnel protection ipsec profile SITE_TO_SITE

И соотвественно поставить использоват crypto map SITE_TO_SITE

Попробую.....

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

8. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 22-Июл-09, 20:18 
>[оверквотинг удален]
>> match address CRYPTO_ACL_IPSec
>>
>>
>
>Так так не покатить. Если так, то тогда нада в настройках тунеля
>убрать использовать tunnel protection ipsec profile SITE_TO_SITE
>
>И соотвественно поставить использоват crypto map SITE_TO_SITE
>
>Попробую.....

Поставил на тунель crypto map SITE_TO_SITE - не помогло, все те же симптомы.
убрал tunnel protection ipsec profile SITE_TO_SITE - вообще даже нету попыткиподнять тунель. Даже не пробует приконектится к линуксу.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

7. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от shadow_alone (ok) on 22-Июл-09, 20:13 
тебя не поймешь, у тя в конфиге, вообще-то твоя туннель была в shutdown
если создаешь GRE-туннель, то тогда надо и маршруты прописывать
но всё должно прекрасно работать и без туннеля.
криптомап вешай на одном интерфейсе - исходящем.

не надо туннели вообще.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

9. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 22-Июл-09, 20:23 
>тебя не поймешь, у тя в конфиге, вообще-то твоя туннель была в
>shutdown

На моент списывания конфигов туенль был выключен. Что ж тут не понятного. Я его включаю, смотрю в логах почему не поднимается тунель, пытаюсь исправить и снова включаю... что не так?)))

>если создаешь GRE-туннель, то тогда надо и маршруты прописывать

А вот тут поподробнее. Сто где прописывать? Насколько я понимаю я создаю тунель таки IPSec что четко написанов строках
tunnel source GigabitEthernet0/0
tunnel destination X.X.X.X
tunnel mode ipsec ipv4
tunnel path-mtu-discovery
tunnel protection ipsec profile SITE_TO_SITE

>но всё должно прекрасно работать и без туннеля.
>криптомап вешай на одном интерфейсе - исходящем.
>
>не надо туннели вообще.

Так пробывал. На исходящем интерфесе висит крипт мап L2TP.
Я на крипт мап L2TP в сивкенсах дописал настройку для моего случая, но как я понимаю что Циску что Линукс ожидали конекта одновременно, поетому ничего и не просиходило.


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

10. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от shadow_alone (ok) on 22-Июл-09, 20:24 
вот тебе 100% рабочий пример на твой лад:

crypto isakmp policy 2
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600

crypto isakmp key MyKey address X.X.X.X

crypto ipsec transform-set SITE_TO_SITE-set esp-3des esp-md5-hmac
mode transport

crypto map SITE_TO_SITE-map 2 ipsec-isakmp
set peer X.X.X.X
set transform-set SITE_TO_SITE-set
match address CRYPTO_ACL_IPSec

ip access-list extended CRYPTO_ACL_IPSec
permit ip 192.168.0.0  0.0.0.255 10.0.1.0 0.0.0.255
permit icmp 192.168.0.0  0.0.0.255 10.0.1.0 0.0.0.255
permit ip 10.0.1.0 0.0.0.255 192.168.0.0  0.0.0.255
permit icmp 10.0.1.0 0.0.0.255 192.168.0.0  0.0.0.255


Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

11. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от shadow_alone (ok) on 22-Июл-09, 20:27 
если хочешь с GRE-тунелью, то читай это - http://wiki.dodex.org/?p=431
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

13. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 22-Июл-09, 20:30 
>если хочешь с GRE-тунелью, то читай это - http://wiki.dodex.org/?p=431

Не хочу и не могу, требуется только IPSec tunnel

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

12. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 22-Июл-09, 20:29 
>вот тебе 100% рабочий пример на твой лад:

Ну вопервых у меня есть виндовые клиенты, котроые ка кработали так и долждны продолжать рабоать!! И конфиг для них я не могу сносить.

>[оверквотинг удален]
> encr 3des
> hash md5
> authentication pre-share
> group 2
> lifetime 3600
>
>crypto isakmp key MyKey address X.X.X.X
>
>crypto ipsec transform-set SITE_TO_SITE-set esp-3des esp-md5-hmac
> mode transport

А почему трансопрт? ведь мы тунель то строим в режиме тунеля а не транспорта? Ето даже со стороны Линукса прописано!
>[оверквотинг удален]
>crypto map SITE_TO_SITE-map 2 ipsec-isakmp
> set peer X.X.X.X
> set transform-set SITE_TO_SITE-set
> match address CRYPTO_ACL_IPSec
>
>ip access-list extended CRYPTO_ACL_IPSec
> permit ip 192.168.0.0  0.0.0.255 10.0.1.0 0.0.0.255
> permit icmp 192.168.0.0  0.0.0.255 10.0.1.0 0.0.0.255
> permit ip 10.0.1.0 0.0.0.255 192.168.0.0  0.0.0.255
> permit icmp 10.0.1.0 0.0.0.255 192.168.0.0  0.0.0.255

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

14. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от shadow_alone (ok) on 22-Июл-09, 20:33 
в том то и дело что мы туннель не строим.... поэтому и транспорт
тебе нужна всего-лишь шифрация траффика между сетями, без туннеля.
никто и не говорит о сносе настроек для виндовых клиентов, пусть себе работают.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

15. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 22-Июл-09, 20:37 
>в том то и дело что мы туннель не строим.... поэтому и
>транспорт

окончательно запутался.. а что же мы тогда строим? Нужен именно тунель, что ВЕСЬ локальный пакетик который бежитиз одной сети в другую, полностю "завернулся", прошол через тунель в завернутом виде, и развернулса с другой стороны.. или я тчо-то не понимаю?

>тебе нужна всего-лишь шифрация траффика между сетями, без туннеля.

Ито как?

и какие тогда натсройки с Линуксовой стороны?
там же вроде чьотоко описано тунель
spdadd 192.168.0.0/24[any] 10.0.1.0/24[any] any -P out ipsec esp/tunnel/X.X.X.X-Y.Y.Y.Y/require;
spdadd 10.0.1.0/24[any] 192.168.0.0/24[any] any -P in  ipsec esp/tunnel/Y.Y.Y.Y-X.X.X.X/require;


и даже такой интерфес поднимаю
/etc/sysconfig/network-scripts/ifcfg-ipsec0
TYPE=IPSEC
ONBOOT=no
IKE_METHOD=PSK
SRCGW=192.168.0.12
DSTGW=10.0.1.1
SRCNET=192.168.0.0/24
DSTNET=10.0.1.0/24
DST=Y.Y.Y.Y

>никто и не говорит о сносе настроек для виндовых клиентов, пусть себе
>работают.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

16. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от shadow_alone (ok) on 22-Июл-09, 20:44 
Не обижайся, но ты помоему действительно не понимаешь как всё должно работать.

если это туннель, то тогда на линуксе тебе надо поднять интерфейс tun0 (скажем)
ip tunn add etc.
и такой же на циске, сделать маршрутизацию между сетями и завернуть всё это в ipsec

в данном же случае, на линуксе нет ничего - просто транспорт
соответственно и на циске интерфейс не нужен.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

17. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 22-Июл-09, 20:51 
>Не обижайся, но ты помоему действительно не понимаешь как всё должно работать.

Ну я не отрицаю того, что я не до конца понимаю)) Для этого я тут и спрашиваю))
>
>
>если это туннель, то тогда на линуксе тебе надо поднять интерфейс tun0
>(скажем)
>ip tunn add etc.
>и такой же на циске, сделать маршрутизацию между сетями и завернуть всё
>это в ipsec
>
>в данном же случае, на линуксе нет ничего - просто транспорт
>соответственно и на циске интерфейс не нужен.

Угу. Смотри . Сначала так и пробывал:

Создал на внешнем интерфесйе криптомап, он один что для виндовых что для сетка-сетка(ибо 2 мапа нельна повесить на 1 интерыейс). Настроил так чтобы для сетка-сетка были свои ипсек настрйки. Ето кстате видно в конфиге что я кидал

crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac
!
crypto dynamic-map L2TP_D 10
set transform-set L2TP L2TP_V
!
crypto dynamic-map SITE_TO_SITE 20
set peer X.X.X.X
set pfs group2
match address CRYPTO_ACL_IPSec
!
!
crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
crypto map L2TP 30 ipsec-isakmp dynamic SITE_TO_SITE

Но как я понял никто не выступал инициатором соеденения. В логах циски и линукса было 0. Как я понимаю, оба сервера сидели и ждали конектов. Как заставить тогда линукс\ракун выступить инициатором соеденения? Или как при таком варианте заставить циску быть инициатором соеденения?

И есть есче один момент, которые мены заставил сделат отделный интерфес: етот канал должен бытьограниченной пропускной способностю. А ограничевать весь внешний интерфесь, через корый за натом офис сидит - нелогично!

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

18. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от shadow_alone (ok) on 22-Июл-09, 20:53 
вот тебе еще одна ссылочка, почитай, особенно внизу
http://wiki.dodex.org/?p=546
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

19. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 22-Июл-09, 20:56 
>вот тебе еще одна ссылочка, почитай, особенно внизу
>http://wiki.dodex.org/?p=546

А что там такого, что я не сделал?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

21. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от shadow_alone (ok) on 22-Июл-09, 20:59 
>>вот тебе еще одна ссылочка, почитай, особенно внизу
>>http://wiki.dodex.org/?p=546
>
>А что там такого, что я не сделал?

там внятно объясняется разница между туннелью и транспортом. а ты пытаешься с одной стороны сделать одно, а с другой другое.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

20. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от shadow_alone (ok) on 22-Июл-09, 20:57 
>вот тебе еще одна ссылочка, почитай, особенно внизу
>http://wiki.dodex.org/?p=546

по поводу ограничения, кто тебе мешает включить шейпинг на IP обратной стороны?
соединение будет инициированной, если скажем ты пошлешь пинг с одной сети в другую.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

22. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 22-Июл-09, 21:13 
>>вот тебе еще одна ссылочка, почитай, особенно внизу
>>http://wiki.dodex.org/?p=546
>
>по поводу ограничения, кто тебе мешает включить шейпинг на IP обратной стороны?

А как ето сделать?
>
>соединение будет инициированной, если скажем ты пошлешь пинг с одной сети в
>другую.

Вот я идиот. Я все делал, но не пинговал, то есть не создавал трафик, и ничего не получалось. Щас вроде что то пропинговуется. Все убираю нафиг тунель. Делаю через внешний интерфейс. Покамесь не выходит, но дело сдвинулось . Если что. то я сдесь отпишусь. Надеюсь на помощь. Огромное спасибо)))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

23. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 22-Июл-09, 21:17 
>[оверквотинг удален]
>А как ето сделать?
>>
>>соединение будет инициированной, если скажем ты пошлешь пинг с одной сети в
>>другую.
>
>Вот я идиот. Я все делал, но не пинговал, то есть не
>создавал трафик, и ничего не получалось. Щас вроде что то пропинговуется.
>Все убираю нафиг тунель. Делаю через внешний интерфейс. Покамесь не выходит,
>но дело сдвинулось . Если что. то я сдесь отпишусь. Надеюсь
>на помощь. Огромное спасибо)))

ТакПокаместь на таком моменте остановилса


Jul 22 20:14:24 10.1.1.1 143461: 098050: Jul 22 19:14:24.422 PCTime: ISAKMP:(0:20:SW:1):atts are acceptable.
Jul 22 20:14:24 10.1.1.1 143462: 098051: Jul 22 19:14:24.422 PCTime: IPSEC(validate_proposal_request): proposal part #1
Jul 22 20:14:24 10.1.1.1 143463: ,
Jul 22 20:14:24 10.1.1.1 143464:   (key eng. msg.) INBOUND local= Y.Y.Y.Y, remote= X.X.X.X,
Jul 22 20:14:24 10.1.1.1 143465:     local_proxy= 10.1.1.0/255.255.255.0/0/0 (type=4),
Jul 22 20:14:24 10.1.1.1 143466:     remote_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4),
Jul 22 20:14:24 10.1.1.1 143467:     protocol= ESP, transform= esp-3des esp-md5-hmac  (Tunnel),
Jul 22 20:14:24 10.1.1.1 143468:     lifedur= 0s and 0kb,
Jul 22 20:14:24 10.1.1.1 143469:     spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x22
Jul 22 20:14:24 10.1.1.1 143470: 098052: Jul 22 19:14:24.422 PCTime: CryptoEngine0: validate proposal request
Jul 22 20:14:24 10.1.1.1 143471: 098053: Jul 22 19:14:24.422 PCTime: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local addres
s Y.Y.Y.Y
Jul 22 20:14:24 10.1.1.1 143472: 098054: Jul 22 19:14:24.422 PCTime: ISAKMP:(0:20:SW:1): IPSec policy invalidated proposal
Jul 22 20:14:24 10.1.1.1 143473: 098055: Jul 22 19:14:24.422 PCTime: ISAKMP:(0:20:SW:1): phase 2 SA policy not acceptable! (local Y.Y.Y.Y re
mote X.X.X.X)

конфиг такой

crypto ipsec transform-set L2TP esp-3des esp-md5-hmac
mode transport
crypto ipsec transform-set L2TP_V ah-sha-hmac esp-3des esp-sha-hmac
mode transport
crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac

!
crypto dynamic-map L2TP_D 10
set transform-set L2TP L2TP_V
crypto dynamic-map L2TP_D 20
set peer X.X.X.X
set transform-set SITE_TO_SITE
match address CRYPTO_ACL_IPSec
!
!
!
crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

24. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от shadow_alone (ok) on 22-Июл-09, 21:30 
а почему опять dynamic-map?
я ж дал пример.
Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

26. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 22-Июл-09, 21:43 
>а почему опять dynamic-map?
>я ж дал пример.

А как я туда впихну своих виндовых? Там пример без них. А они то все на одном внешнем интерфейсе живут.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

27. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от shadow_alone (ok) on 22-Июл-09, 21:48 
>>а почему опять dynamic-map?
>>я ж дал пример.
>
>А как я туда впихну своих виндовых? Там пример без них. А
>они то все на одном внешнем интерфейсе живут.

ну что ты за странный человек....
ты хоть попробовал, один и тот же мап, с разными приоритетами, но второй без dynamic
ты хоть пробуй чтоль.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

28. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 22-Июл-09, 21:56 
>>>а почему опять dynamic-map?
>>>я ж дал пример.
>>
>>А как я туда впихну своих виндовых? Там пример без них. А
>>они то все на одном внешнем интерфейсе живут.
>
>ну что ты за странный человек....
>ты хоть попробовал, один и тот же мап, с разными приоритетами, но
>второй без dynamic
>ты хоть пробуй чтоль.

Башка ужо не варит, завтра попробую на свежую голову и отпишусь. Главное чтобы ты завтра был сдесь)) Весьма тебе благодарен за все))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

29. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от GolDi (??) on 23-Июл-09, 09:15 
>>>а почему опять dynamic-map?
>>>я ж дал пример.
>>
>>А как я туда впихну своих виндовых? Там пример без них. А
>>они то все на одном внешнем интерфейсе живут.
>
>ну что ты за странный человек....
>ты хоть попробовал, один и тот же мап, с разными приоритетами, но
>второй без dynamic
>ты хоть пробуй чтоль.

Кроме того, dinamic map должен быть последним в списке.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

30. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 23-Июл-09, 11:28 
>>>а почему опять dynamic-map?
>>>я ж дал пример.
>>
>>А как я туда впихну своих виндовых? Там пример без них. А
>>они то все на одном внешнем интерфейсе живут.
>
>ну что ты за странный человек....
>ты хоть попробовал, один и тот же мап, с разными приоритетами, но
>второй без dynamic
>ты хоть пробуй чтоль.

Попробовал.
Не работает. Описую все симптомы.

Конфиг циски:
crypto isakmp policy 10
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
!
crypto isakmp policy 20
encr 3des
authentication pre-share
group 2
!
crypto isakmp policy 30
encr 3des
hash md5
authentication pre-share
group 2
!
crypto isakmp key SECRETKEY1 address X.X.X.X
crypto isakmp key SECRETKEY2 address 0.0.0.0 0.0.0.0
!
!
crypto ipsec transform-set L2TP esp-3des esp-md5-hmac
mode transport
crypto ipsec transform-set L2TP_V ah-sha-hmac esp-3des esp-sha-hmac
mode transport
crypto ipsec transform-set SITE_TO_SITE esp-3des esp-md5-hmac
mode transport
!
crypto dynamic-map L2TP_D 10
set transform-set L2TP L2TP_V
!
!
!
crypto map L2TP 1 ipsec-isakmp
set peer X.X.X.X
set transform-set SITE_TO_SITE
set pfs group2
match address CRYPTO_ACL_IPSec
crypto map L2TP 20 ipsec-isakmp dynamic L2TP_D
!
ip access-list extended CRYPTO_ACL_IPSec
remark SDM_ACL Category=20
permit ip 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255
permit icmp 10.1.1.0 0.0.0.255 192.168.0.0 0.0.0.255
permit ip 192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255
permit icmp 192.168.0.0 0.0.0.255 10.1.1.0 0.0.0.255

router_2800#sh crypto ipsec sa interface GigabitEthernet0/0
protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
   current_peer X.X.X.X port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: Y.Y.Y.Y, remote crypto endpt.: X.X.X.X
     path mtu 1480, ip mtu 1480
     current outbound spi: 0x0(0)

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:

    protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/0/0)
   remote ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/0/0)
   current_peer X.X.X.X port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 12, #recv errors 0

     local crypto endpt.: Y.Y.Y.Y, remote crypto endpt.: X.X.X.X
     path mtu 1480, ip mtu 1480
     current outbound spi: 0x0(0)

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:
  protected vrf: (none)
   local  ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/1/0)
   remote ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/1/0)
   current_peer X.X.X.X port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: Y.Y.Y.Y, remote crypto endpt.: X.X.X.X
     path mtu 1480, ip mtu 1480
     current outbound spi: 0x0(0)

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:
   protected vrf: (none)
   local  ident (addr/mask/prot/port): (10.1.1.0/255.255.255.0/1/0)
   remote ident (addr/mask/prot/port): (192.168.0.0/255.255.255.0/1/0)
   current_peer X.X.X.X port 500
     PERMIT, flags={origin_is_acl,}
    #pkts encaps: 0, #pkts encrypt: 0, #pkts digest: 0
    #pkts decaps: 0, #pkts decrypt: 0, #pkts verify: 0
    #pkts compressed: 0, #pkts decompressed: 0
    #pkts not compressed: 0, #pkts compr. failed: 0
    #pkts not decompressed: 0, #pkts decompress failed: 0
    #send errors 0, #recv errors 0

     local crypto endpt.: Y.Y.Y.Y, remote crypto endpt.: X.X.X.X
     path mtu 1480, ip mtu 1480
     current outbound spi: 0x0(0)

     inbound esp sas:

     inbound ah sas:

     inbound pcp sas:

     outbound esp sas:

     outbound ah sas:

     outbound pcp sas:


конфиг линукса
remote Y.Y.Y.Y
{
        exchange_mode main, aggressive;
        doi ipsec_doi;
        situation identity_only;
        my_identifier address X.X.X.X;
        initial_contact on;
        proposal_check obey;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm md5;
                authentication_method pre_shared_key;
                dh_group 2;
        }
}

sainfo address 192.168.0.0/24 any address 10.0.1.0/24 any {
                pfs_group 2; # pfs_group modp768;
                encryption_algorithm 3des;
                authentication_algorithm hmac_md5;
                compression_algorithm deflate;
        }

[root@mon]~# setkey -DP
10.1.1.0/24[any] 192.168.0.0/24[any] any
        in prio def ipsec
        esp/tunnel/Y.Y.Y.Y-X.X.X.X/require
        ah/tunnel/Y.Y.Y.Y-X.X.X.X/require
        created: Jul 23 10:12:44 2009  lastused:
        lifetime: 0(s) validtime: 0(s)
        spid=5512 seq=4 pid=5302
        refcnt=1
192.168.0.0/24[any] 10.1.1.0/24[any] any
        out prio def ipsec
        esp/tunnel/X.X.X.X-Y.Y.Y.Y/require
        ah/tunnel/X.X.X.X-Y.Y.Y.Y/require
        created: Jul 23 10:12:44 2009  lastused: Jul 23 10:12:53 2009
        lifetime: 0(s) validtime: 0(s)
        spid=5505 seq=3 pid=5302
        refcnt=2
10.1.1.0/24[any] 192.168.0.0/24[any] any
        fwd prio def ipsec
        esp/tunnel/Y.Y.Y.Y-X.X.X.X/require
        ah/tunnel/Y.Y.Y.Y-X.X.X.X/require
        created: Jul 23 10:12:44 2009  lastused:
        lifetime: 0(s) validtime: 0(s)
        spid=5522 seq=2 pid=5302
        refcnt=1
(per-socket policy)
        in none
        created: Jul 23 10:12:44 2009  lastused: Jul 23 10:12:53 2009
        lifetime: 0(s) validtime: 0(s)
        spid=5531 seq=1 pid=5302
        refcnt=1
(per-socket policy)
        out none
        created: Jul 23 10:12:44 2009  lastused: Jul 23 10:12:53 2009
        lifetime: 0(s) validtime: 0(s)
        spid=5540 seq=0 pid=5302
        refcnt=1

    При пинег со стороны циски
    Jul 23 10:22:39 mon racoon: INFO: respond new phase 1 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
Jul 23 10:22:39 mon racoon: INFO: begin Identity Protection mode.
Jul 23 10:22:39 mon racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-07
Jul 23 10:22:39 mon racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
Jul 23 10:22:39 mon racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Jul 23 10:22:39 mon racoon: INFO: received Vendor ID: CISCO-UNITY
Jul 23 10:22:39 mon racoon: INFO: received Vendor ID: DPD
Jul 23 10:22:39 mon racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Jul 23 10:22:39 mon racoon: WARNING: ignore INITIAL-CONTACT notification, because it is only accepted after phase1.
Jul 23 10:22:39 mon racoon: INFO: ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:1f36d2df0946dd2f:3ede2786fed9cd
2e
Jul 23 10:22:39 mon racoon: INFO: respond new phase 2 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
Jul 23 10:22:39 mon racoon: ERROR: not matched
Jul 23 10:22:39 mon racoon: ERROR: no suitable policy found.
Jul 23 10:22:39 mon racoon: ERROR: failed to pre-process packet.
Jul 23 10:22:39 mon racoon: INFO: purging ISAKMP-SA spi=1f36d2df0946dd2f:3ede2786fed9cd2e.
Jul 23 10:22:39 mon racoon: INFO: purged ISAKMP-SA spi=1f36d2df0946dd2f:3ede2786fed9cd2e.
Jul 23 10:22:40 mon racoon: INFO: ISAKMP-SA deleted X.X.X.X[500]-Y.Y.Y.Y[500] spi:1f36d2df0946dd2f:3ede2786fed9cd2e

Jul 23 10:24:49 10.1.1.1 157159: 108854: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):: peer matches *none* of the profiles
Jul 23 10:24:49 10.1.1.1 157160: 108855: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1): processing HASH payload. message ID = 0
Jul 23 10:24:49 10.1.1.1 157161: 108856: Jul 23 09:24:48.239 PCTime: CryptoEngine0: generate hmac context for conn id 10
Jul 23 10:24:49 10.1.1.1 157162: 108857: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):SA authentication status:
Jul 23 10:24:49 10.1.1.1 157163:        authenticated
Jul 23 10:24:49 10.1.1.1 157164: 108858: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):SA has been authenticated with X.X.X.X
Jul 23 10:24:49 10.1.1.1 157165: 108859: Jul 23 09:24:48.239 PCTime: ISAKMP: Trying to insert a peer Y.Y.Y.Y/X.X.X.X/500/,  and inser
ted successfully 4468F960.
Jul 23 10:24:49 10.1.1.1 157166: 108860: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jul 23 10:24:49 10.1.1.1 157167: 108861: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):Old State = IKE_I_MM5  New State = IKE_I_MM6
Jul 23 10:24:49 10.1.1.1 157168:
Jul 23 10:24:49 10.1.1.1 157169: 108862: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_MAIN_MODE
Jul 23 10:24:49 10.1.1.1 157170: 108863: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):Old State = IKE_I_MM6  New State = IKE_I_MM6
Jul 23 10:24:49 10.1.1.1 157171:
Jul 23 10:24:49 10.1.1.1 157172: 108864: Jul 23 09:24:48.239 PCTime: CryptoEngine0: clear dh number for conn id 3
Jul 23 10:24:49 10.1.1.1 157173: 108865: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):Input = IKE_MESG_INTERNAL, IKE_PROCESS_COMPLETE
Jul 23 10:24:49 10.1.1.1 157174: 108866: Jul 23 09:24:48.239 PCTime: ISAKMP:(0:10:SW:1):Old State = IKE_I_MM6  New State = IKE_P1_COMPLETE
Jul 23 10:24:49 10.1.1.1 157175:
Jul 23 10:24:49 10.1.1.1 157176: 108867: Jul 23 09:24:48.243 PCTime: ISAKMP:(0:10:SW:1):beginning Quick Mode exchange, M-ID of -818982025
Jul 23 10:24:49 10.1.1.1 157177: 108868: Jul 23 09:24:48.243 PCTime: CryptoEngine0: generating alg parameter for connid 10
Jul 23 10:24:49 10.1.1.1 157178: 108869: Jul 23 09:24:48.263 PCTime: CRYPTO_ENGINE: Dh phase 1 status: 0
Jul 23 10:24:49 10.1.1.1 157179: 108870: Jul 23 09:24:48.263 PCTime: CRYPTO_ENGINE: Dh phase 1 status: OK
Jul 23 10:24:49 10.1.1.1 157180: 108871: Jul 23 09:24:48.267 PCTime: CryptoEngine0: generate hmac context for conn id 10
Jul 23 10:24:49 10.1.1.1 157181: 108872: Jul 23 09:24:48.267 PCTime: ISAKMP:(0:10:SW:1): sending packet to X.X.X.X my_port 500 peer_port 500
(I) QM_IDLE
Jul 23 10:24:49 10.1.1.1 157182: 108873: Jul 23 09:24:48.267 PCTime: ISAKMP:(0:10:SW:1):Node -818982025, Input = IKE_MESG_INTERNAL, IKE_INIT_QM
Jul 23 10:24:49 10.1.1.1 157183: 108874: Jul 23 09:24:48.267 PCTime: ISAKMP:(0:10:SW:1):Old State = IKE_QM_READY  New State = IKE_QM_I_QM1
Jul 23 10:24:49 10.1.1.1 157184: 108875: Jul 23 09:24:48.267 PCTime: ISAKMP:(0:10:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_COMPLETE
Jul 23 10:24:49 10.1.1.1 157185: 108876: Jul 23 09:24:48.267 PCTime: ISAKMP:(0:10:SW:1):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
Jul 23 10:24:49 10.1.1.1 157186:
Jul 23 10:24:49 10.1.1.1 157187: 108877: Jul 23 09:24:48.315 PCTime: ISAKMP (0:134217738): received packet from X.X.X.X dport 500 sport 500
Global (I) QM_IDLE
Jul 23 10:24:49 10.1.1.1 157188: 108878: Jul 23 09:24:48.315 PCTime: ISAKMP: set new node -587284616 to QM_IDLE
Jul 23 10:24:49 10.1.1.1 157189: 108879: Jul 23 09:24:48.315 PCTime: CryptoEngine0: generate hmac context for conn id 10
Jul 23 10:24:49 10.1.1.1 157190: 108880: Jul 23 09:24:48.315 PCTime: ISAKMP:(0:10:SW:1): processing HASH payload. message ID = -587284616
Jul 23 10:24:49 10.1.1.1 157191: 108881: Jul 23 09:24:48.315 PCTime: ISAKMP:(0:10:SW:1): processing NOTIFY PROPOSAL_NOT_CHOSEN protocol 1
Jul 23 10:24:49 10.1.1.1 157192:        spi 0, message ID = -587284616, sa = 4463B944
Jul 23 10:24:49 10.1.1.1 157193: 108882: Jul 23 09:24:48.315 PCTime: ISAKMP:(0:10:SW:1):peer does not do paranoid keepalives.
Jul 23 10:24:49 10.1.1.1 157194:
Jul 23 10:24:49 10.1.1.1 157195: 108883: Jul 23 09:24:48.315 PCTime: ISAKMP:(0:10:SW:1):deleting SA reason "Recevied fatal informational" state (I)
QM_IDLE       (peer X.X.X.X)
Jul 23 10:24:49 10.1.1.1 157196: 108884: Jul 23 09:24:48.315 PCTime: ISAKMP:(0:10:SW:1):deleting node -587284616 error FALSE reason "Informational
(in) state 1"
Jul 23 10:24:49 10.1.1.1 157197: 108885: Jul 23 09:24:48.315 PCTime: ISAKMP:(0:10:SW:1):Input = IKE_MESG_FROM_PEER, IKE_INFO_NOTIFY
Jul 23 10:24:49 10.1.1.1 157198: 108886: Jul 23 09:24:48.315 PCTime: ISAKMP:(0:10:SW:1):Old State = IKE_P1_COMPLETE  New State = IKE_P1_COMPLETE
Jul 23 10:24:49 10.1.1.1 157199:
Jul 23 10:24:49 10.1.1.1 157200: 108887: Jul 23 09:24:48.315 PCTime: ISAKMP: set new node -1051703389 to QM_IDLE
Jul 23 10:24:49 10.1.1.1 157201: 108888: Jul 23 09:24:48.315 PCTime: CryptoEngine0: generate hmac context for conn id 10
Jul 23 10:24:49 10.1.1.1 157202: 108889: Jul 23 09:24:48.315 PCTime: ISAKMP:(0:10:SW:1): sending packet to X.X.X.X my_port 500 peer_port 500
(I) QM_IDLE
Jul 23 10:24:49 10.1.1.1 157203: 108890: Jul 23 09:24:48.319 PCTime: ISAKMP:(0:10:SW:1):purging node -1051703389
Jul 23 10:24:49 10.1.1.1 157204: 108891: Jul 23 09:24:48.319 PCTime: ISAKMP:(0:10:SW:1):Input = IKE_MESG_INTERNAL, IKE_PHASE1_DEL
Jul 23 10:24:49 10.1.1.1 157205: 108892: Jul 23 09:24:48.319 PCTime: ISAKMP:(0:10:SW:1):Old State = IKE_P1_COMPLETE  New State = IKE_DEST_SA
Jul 23 10:24:49 10.1.1.1 157206:
Jul 23 10:24:49 10.1.1.1 157207: 108893: Jul 23 09:24:48.319 PCTime: ISAKMP:(0:10:SW:1):deleting SA reason "No reason" state (I) QM_IDLE       (pee
r X.X.X.X)
Jul 23 10:24:49 10.1.1.1 157208: 108894: Jul 23 09:24:48.319 PCTime: ISAKMP: Unlocking IKE struct 0x4468F960 for isadb_mark_sa_deleted(), count 0
Jul 23 10:24:49 10.1.1.1 157209: 108895: Jul 23 09:24:48.319 PCTime: ISAKMP: Deleting peer node by peer_reap for X.X.X.X: 4468F960
Jul 23 10:24:49 10.1.1.1 157210: 108896: Jul 23 09:24:48.319 PCTime: ISAKMP:(0:10:SW:1):deleting node -818982025 error FALSE reason "IKE deleted"
Jul 23 10:24:49 10.1.1.1 157211: 108897: Jul 23 09:24:48.319 PCTime: ISAKMP:(0:10:SW:1):deleting node -587284616 error FALSE reason "IKE deleted"
Jul 23 10:24:49 10.1.1.1 157212: 108898: Jul 23 09:24:48.319 PCTime: ISAKMP:(0:10:SW:1):Input = IKE_MESG_FROM_PEER, IKE_MM_EXCH
Jul 23 10:24:49 10.1.1.1 157213: 108899: Jul 23 09:24:48.319 PCTime: ISAKMP:(0:10:SW:1):Old State = IKE_DEST_SA  New State = IKE_DEST_SA
Jul 23 10:24:49 10.1.1.1 157214:
Jul 23 10:24:49 10.1.1.1 157215: 108900: Jul 23 09:24:48.319 PCTime: IPSEC(key_engine): got a queue event with 1 kei messages


при пинга со стороний линукса
лог циско
Jul 23 10:26:51 10.1.1.1 157796: 109341: Jul 23 09:26:50.817 PCTime: ISAKMP:(0:13:SW:1):Checking IPSec proposal 1
Jul 23 10:26:51 10.1.1.1 157797: 109342: Jul 23 09:26:50.817 PCTime: ISAKMP: transform 1, ESP_3DES
Jul 23 10:26:51 10.1.1.1 157798: 109343: Jul 23 09:26:50.817 PCTime: ISAKMP:   attributes in transform:
Jul 23 10:26:51 10.1.1.1 157799: 109344: Jul 23 09:26:50.817 PCTime: ISAKMP:      SA life type in seconds
Jul 23 10:26:51 10.1.1.1 157800: 109345: Jul 23 09:26:50.817 PCTime: ISAKMP:      SA life duration (basic) of 28800
Jul 23 10:26:51 10.1.1.1 157801: 109346: Jul 23 09:26:50.817 PCTime: ISAKMP:      encaps is 1 (Tunnel)
Jul 23 10:26:51 10.1.1.1 157802: 109347: Jul 23 09:26:50.817 PCTime: ISAKMP:      authenticator is HMAC-MD5
Jul 23 10:26:51 10.1.1.1 157803: 109348: Jul 23 09:26:50.817 PCTime: ISAKMP:      group is 2
Jul 23 10:26:51 10.1.1.1 157804: 109349: Jul 23 09:26:50.817 PCTime: CryptoEngine0: validate proposal
Jul 23 10:26:51 10.1.1.1 157805: 109350: Jul 23 09:26:50.817 PCTime: ISAKMP:(0:13:SW:1):atts are acceptable.
Jul 23 10:26:51 10.1.1.1 157806: 109351: Jul 23 09:26:50.817 PCTime: IPSEC(validate_proposal_request): proposal part #1,
Jul 23 10:26:51 10.1.1.1 157807:   (key eng. msg.) INBOUND local= Y.Y.Y.Y, remote= X.X.X.X,
Jul 23 10:26:51 10.1.1.1 157808:     local_proxy= 10.1.1.0/255.255.255.0/0/0 (type=4),
Jul 23 10:26:51 10.1.1.1 157809:     remote_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4),
Jul 23 10:26:51 10.1.1.1 157810:     protocol= AH, transform= ah-md5-hmac  (Tunnel),
Jul 23 10:26:51 10.1.1.1 157811:     lifedur= 0s and 0kb,
Jul 23 10:26:51 10.1.1.1 157812:     spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x22
Jul 23 10:26:51 10.1.1.1 157813: 109352: Jul 23 09:26:50.817 PCTime: IPSEC(validate_proposal_request): proposal part #2,
Jul 23 10:26:51 10.1.1.1 157814:   (key eng. msg.) INBOUND local= Y.Y.Y.Y, remote= X.X.X.X,
Jul 23 10:26:51 10.1.1.1 157815:     local_proxy= 10.1.1.0/255.255.255.0/0/0 (type=4),
Jul 23 10:26:51 10.1.1.1 157816:     remote_proxy= 192.168.0.0/255.255.255.0/0/0 (type=4)
Jul 23 10:26:51 10.1.1.1 157817: ,
Jul 23 10:26:51 10.1.1.1 157818:     protocol= ESP, transform= esp-3des esp-md5-hmac  (Tunnel),
Jul 23 10:26:51 10.1.1.1 157819:     lifedur= 0s and 0kb,
Jul 23 10:26:51 10.1.1.1 157820:     spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x22
Jul 23 10:26:51 10.1.1.1 157821: 109353: Jul 23 09:26:50.817 PCTime: CryptoEngine0: validate proposal request
Jul 23 10:26:51 10.1.1.1 157822: 109354: Jul 23 09:26:50.817 PCTime: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local addres
s Y.Y.Y.Y
Jul 23 10:26:51 10.1.1.1 157823: 109355: Jul 23 09:26:50.817 PCTime: ISAKMP:(0:13:SW:1): IPSec policy invalidated proposal
Jul 23 10:26:51 10.1.1.1 157824: 109356: Jul 23 09:26:50.817 PCTime: ISAKMP:(0:13:SW:1): phase 2 SA policy not acceptable! (local Y.Y.Y.Y re
mote X.X.X.X)
Jul 23 10:26:51 10.1.1.1 157825: 109357: Jul 23 09:26:50.817 PCTime: ISAKMP: set new node -1192811471 to QM_IDLE
Jul 23 10:26:51 10.1.1.1 157826: 109358: Jul 23 09:26:50.817 PCTime: CryptoEngine0: generate hmac context for conn id 13
Jul 23 10:26:52 10.1.1.1 157827: 109359: Jul 23 09:26:50.821 PCTime: ISAKMP:(0:13:SW:1):Sending NOTIFY PROPOSAL_NOT_CHOSEN protocol 2
Jul 23 10:26:52 10.1.1.1 157828:        spi 1142015312, message ID = -1192811471
Jul 23 10:26:52 10.1.1.1 157829: 109360: Jul 23 09:26:50.821 PCTime: ISAKMP:(0:13:SW:1): sending packet to X.X.X.X my_port 500 peer_port 500
(R) QM_IDLE
Jul 23 10:26:52 10.1.1.1 157830: 109361: Jul 23 09:26:50.821 PCTime: ISAKMP:(0:13:SW:1):purging node -1192811471
Jul 23 10:26:52 10.1.1.1 157831: 109362: Jul 23 09:26:50.821 PCTime: ISAKMP:(0:13:SW:1):deleting node -1410154997 error TRUE reason "QM rejected"
Jul 23 10:26:52 10.1.1.1 157832: 109363: Jul 23 09:26:50.821 PCTime: ISAKMP (0:134217741): Unknown Input IKE_MESG_FROM_PEER, IKE_QM_EXCH:
Jul 23 10:26:52 10.1.1.1 157833:  for node -1410154997: state = IKE_QM_READY
Jul 23 10:26:52 10.1.1.1 157834: 109364: Jul 23 09:26:50.821 PCTime: ISAKMP:(0:13:SW:1):Node -1410154997, Input = IKE_MESG_FROM_PEER, IKE_QM_EXCH
Jul 23 10:26:52 10.1.1.1 157835: 109365: Jul 23 09:26:50.821 PCTime: ISAKMP:(0:13:SW:1):Old State = IKE_QM_READY  New State = IKE_QM_READY

лог ракуна
Jul 23 10:25:42 mon racoon: INFO: IPsec-SA request for Y.Y.Y.Y queued due to no phase1 found.
Jul 23 10:25:42 mon racoon: INFO: initiate new phase 1 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
Jul 23 10:25:42 mon racoon: INFO: begin Identity Protection mode.
Jul 23 10:25:42 mon racoon: INFO: received Vendor ID: CISCO-UNITY
Jul 23 10:25:42 mon racoon: INFO: received Vendor ID: DPD
Jul 23 10:25:42 mon racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
Jul 23 10:25:42 mon racoon: INFO: ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:e7ccebec074add40:66341efea9e314
0a
Jul 23 10:25:42 mon racoon: ERROR: unknown Informational exchange received.
Jul 23 10:25:43 mon racoon: INFO: initiate new phase 2 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
Jul 23 10:25:43 mon racoon: ERROR: unknown notify message, no phase2 handle found.
Jul 23 10:25:58 mon racoon: ERROR: Y.Y.Y.Y give up to get IPsec-SA due to time up to wait.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

31. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от GolDi (??) on 23-Июл-09, 11:44 
>[оверквотинг удален]
>Jul 23 10:25:42 mon racoon: INFO: received Vendor ID: DPD
>Jul 23 10:25:42 mon racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt
>Jul 23 10:25:42 mon racoon: INFO: ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:e7ccebec074add40:66341efea9e314
>0a
>Jul 23 10:25:42 mon racoon: ERROR: unknown Informational exchange received.
>Jul 23 10:25:43 mon racoon: INFO: initiate new phase 2 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
>Jul 23 10:25:43 mon racoon: ERROR: unknown notify message, no phase2 handle
>found.
>Jul 23 10:25:58 mon racoon: ERROR: Y.Y.Y.Y give up to get IPsec-SA
>due to time up to wait.

Может дело в Linux-е, попробуйте может openswan заработает?

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

32. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 23-Июл-09, 11:49 
>[оверквотинг удален]
>>Jul 23 10:25:42 mon racoon: INFO: ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:e7ccebec074add40:66341efea9e314
>>0a
>>Jul 23 10:25:42 mon racoon: ERROR: unknown Informational exchange received.
>>Jul 23 10:25:43 mon racoon: INFO: initiate new phase 2 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
>>Jul 23 10:25:43 mon racoon: ERROR: unknown notify message, no phase2 handle
>>found.
>>Jul 23 10:25:58 mon racoon: ERROR: Y.Y.Y.Y give up to get IPsec-SA
>>due to time up to wait.
>
> Может дело в Linux-е, попробуйте может openswan заработает?

Вторая машина не моя. Я просто у себя поднял тестовый линукс и пробую завязать. А реальная машина с которой я буду завязывать работает на Линукс + Ракун + ИПСекТулс и никто там не будет менять нечего, только пропишут необходимые настройки.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

33. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 23-Июл-09, 12:39 
>[оверквотинг удален]
>>>found.
>>>Jul 23 10:25:58 mon racoon: ERROR: Y.Y.Y.Y give up to get IPsec-SA
>>>due to time up to wait.
>>
>> Может дело в Linux-е, попробуйте может openswan заработает?
>
>Вторая машина не моя. Я просто у себя поднял тестовый линукс и
>пробую завязать. А реальная машина с которой я буду завязывать работает
>на Линукс + Ракун + ИПСекТулс и никто там не будет
>менять нечего, только пропишут необходимые настройки.

Что то у меня подрозрение на то, что CISCO router 2800 не поддерживают сжатие compression_algorithm deflate;

А Ракун только с ним и может работать. Отключить в ракуне не можна. А циске либо никакого сжатия, либо IP_COMPRESSION (COMP-LZS)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

34. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 23-Июл-09, 12:53 
>[оверквотинг удален]
>>Вторая машина не моя. Я просто у себя поднял тестовый линукс и
>>пробую завязать. А реальная машина с которой я буду завязывать работает
>>на Линукс + Ракун + ИПСекТулс и никто там не будет
>>менять нечего, только пропишут необходимые настройки.
>
>Что то у меня подрозрение на то, что CISCO router 2800 не
>поддерживают сжатие compression_algorithm deflate;
>
>А Ракун только с ним и может работать. Отключить в ракуне не
>можна. А циске либо никакого сжатия, либо IP_COMPRESSION (COMP-LZS)

Таки нет.То что он описан в ракун не означает что он используеться.
Использование описывается в setkey
Вот пример когда включена компресия
spdadd 172.16.2.0/24 172.16.1.0/24 any -P out ipsec
    ipcomp/transport//use
    esp/tunnel/1.2.3.5-1.2.3.4/require;

В моем случае ее нету.

Помогите разобраться почему не работает((((

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

35. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 23-Июл-09, 16:44 
>[оверквотинг удален]
>
>Использование описывается в setkey
>Вот пример когда включена компресия
>spdadd 172.16.2.0/24 172.16.1.0/24 any -P out ipsec
> ipcomp/transport//use
> esp/tunnel/1.2.3.5-1.2.3.4/require;
>
>В моем случае ее нету.
>
>Помогите разобраться почему не работает((((

В общем со стороны линукса пингуется(и приходять ответы). а от с стороны линукса не пингуется

Jul 23 15:41:30 10.1.1.1 174239: 122293: Jul 23 14:41:29.881 PCTime: CryptoEngine0: validate proposal request
Jul 23 15:41:30 10.1.1.1 174240: 122294: Jul 23 14:41:29.881 PCTime: IPSEC(validate_transform_proposal): no IPSEC cryptomap exists for local addres
s Y.Y.Y.Y
Jul 23 15:41:30 10.1.1.1 174241: 122295: Jul 23 14:41:29.881 PCTime: ISAKMP:(0:7:SW:1): IPSec policy invalidated proposal
Jul 23 15:41:30 10.1.1.1 174242: 122296: Jul 23 14:41:29.881 PCTime: ISAKMP:(0:7:SW:1): phase 2 SA policy not acceptable! (local Y.Y.Y.Y rem
ote X.X.X.X)

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

36. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 23-Июл-09, 17:46 
>[оверквотинг удален]
>Jul 23 15:41:30 10.1.1.1 174239: 122293: Jul 23 14:41:29.881 PCTime: CryptoEngine0: validate
>proposal request
>Jul 23 15:41:30 10.1.1.1 174240: 122294: Jul 23 14:41:29.881 PCTime: IPSEC(validate_transform_proposal): no
>IPSEC cryptomap exists for local addres
>s Y.Y.Y.Y
>Jul 23 15:41:30 10.1.1.1 174241: 122295: Jul 23 14:41:29.881 PCTime: ISAKMP:(0:7:SW:1): IPSec
>policy invalidated proposal
>Jul 23 15:41:30 10.1.1.1 174242: 122296: Jul 23 14:41:29.881 PCTime: ISAKMP:(0:7:SW:1): phase
>2 SA policy not acceptable! (local Y.Y.Y.Y rem
>ote X.X.X.X)

ПАБЕДА!!

В общем у меня оставались два инетрефейса тенль0 и тунель1 . Они были выключены, но по ходу как то путались криптомапы. В первомт енль0 тоже было прописано destinaton X.X.X.X , вот оно и путалось. Удалил два виртуальных интерфейса - и все заработало)))

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

37. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 23-Июл-09, 17:59 
>[оверквотинг удален]
>>Jul 23 15:41:30 10.1.1.1 174242: 122296: Jul 23 14:41:29.881 PCTime: ISAKMP:(0:7:SW:1): phase
>>2 SA policy not acceptable! (local Y.Y.Y.Y rem
>>ote X.X.X.X)
>
>ПАБЕДА!!
>
>В общем у меня оставались два инетрефейса тенль0 и тунель1 . Они
>были выключены, но по ходу как то путались криптомапы. В первомт
>енль0 тоже было прописано destinaton X.X.X.X , вот оно и путалось.
>Удалил два виртуальных интерфейса - и все заработало)))

ТАКИ не победа. Меня ужо глючит. После сноса интерфейса при попытке пингонуть с линукса
[root@mon]~# ping 10.1.1.1
PING 10.1.1.1 (10.1.1.1) 56(84) bytes of data.
64 bytes from X.X.X.X: icmp_seq=1 ttl=255 time=1.21 ms
64 bytes from X.X.X.X: icmp_seq=2 ttl=255 time=0.897 ms
64 bytes from X.X.X.X: icmp_seq=3 ttl=255 time=0.899 ms
64 bytes from X.X.X.X: icmp_seq=4 ttl=255 time=0.853 ms
64 bytes from X.X.X.X: icmp_seq=5 ttl=255 time=0.859 ms
64 bytes from X.X.X.X: icmp_seq=6 ttl=255 time=0.965 ms
64 bytes from X.X.X.X: icmp_seq=7 ttl=255 time=0.868 ms
64 bytes from X.X.X.X: icmp_seq=8 ttl=255 time=0.821 ms
64 bytes from X.X.X.X: icmp_seq=9 ttl=255 time=0.926 ms

тоесть отвечает внешний интерфейс а не тот адрес который я пингую

Я на линуксе ввобще выключил ракун, но циска пингует этот адрес - у меня уже крыша едет...

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

38. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от lesha4ever email(ok) on 23-Июл-09, 18:44 
>[оверквотинг удален]
>64 bytes from X.X.X.X: icmp_seq=5 ttl=255 time=0.859 ms
>64 bytes from X.X.X.X: icmp_seq=6 ttl=255 time=0.965 ms
>64 bytes from X.X.X.X: icmp_seq=7 ttl=255 time=0.868 ms
>64 bytes from X.X.X.X: icmp_seq=8 ttl=255 time=0.821 ms
>64 bytes from X.X.X.X: icmp_seq=9 ttl=255 time=0.926 ms
>
>тоесть отвечает внешний интерфейс а не тот адрес который я пингую
>
>Я на линуксе ввобще выключил ракун, но циска пингует этот адрес -
>у меня уже крыша едет...

Подправил файрволи и аксес листы - все заработало))). То есть основной момент был таки в тех тунелях... отак вот...

Долго гуглил и нашел похожую ситуацию
amkbailey:
AT&T finally got the DSL up and running. Turns out the problem was caused by another tunnel's ACL that I added before this one. That tunnel wasn't needed anymore so I deleted the tunnel and applicable ACL's for it and the new tunnel started working.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

25. "Не могу поднять VPN IPSec tunnel между CISCO 2821 и Linux"  +/
Сообщение от shadow_alone (ok) on 22-Июл-09, 21:34 

>>по поводу ограничения, кто тебе мешает включить шейпинг на IP обратной стороны?
>
>А как ето сделать?

создаешь ACL
потом вешаешь его на интерфейс
traffic-shape group ACL etc.

Высказать мнение | Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема




Спонсоры:
Inferno Solutions
Hosting by Hoster.ru
Хостинг:

Закладки на сайте
Проследить за страницей
Created 1996-2020 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру