f1rex
09-10-2012, 11:56
Добрый день всем.
Прошу помочь так как зашел в тупик.
Между сервером 1 и сервером 2 (ко второму доступа не имею) настроен IpSec тунель (с помощью racoon , setkey) с шифрованием. к сожалению это единственный возможный вариант так как на сервере 2 уже все настроено.
Вот конфиг файлы racoon.conf
path pre_shared_key "/etc/racoon/psk.txt";
log debug2;
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
remote anonymous {
passive off;
my_identifier address xxx.xxx.xxx.xxx;
verify_identifier off;
verify_cert off;
lifetime time 86400 sec;
peers_identifier address yyy.yyy.yyy.yyy;
exchange_mode main;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous {
pfs_group 2;
lifetime time 28800 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
setkey.conf
#!/sbin/setkey -f
flush;
spdflush;
spdadd 3.4.5.6/30 1.2.3.4/30 any -P in ipsec
esp/tunnel/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/require;
spdadd 1.2.3.4/30 3.4.5.6/30 any -P out ipsec
esp/tunnel/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require;
на выходе пишет что тунель установлен и пинги по команде
ping -I 1.2.3.4 3.4.5.6
идут, в дебаге видно что все ок
вот вывод setkey -D
yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx
esp mode=tunnel spi=130385751(0x07c58757) reqid=0(0x00000000)
E: 3des-cbc a0c9103b 516ff6d9 d29f159d 72f6e17e 3cca79ac 0b361fe2
A: hmac-sha1 b1a4b327 5c547c1f bcacbc0f e3b1e679 53d18fff
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Oct 9 10:50:24 2012 current: Oct 9 10:50:31 2012
diff: 7(s) hard: 28800(s) soft: 23040(s)
last: Oct 9 10:50:24 2012 hard: 0(s) soft: 0(s)
current: 420(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 5 hard: 0 soft: 0
sadb_seq=1 pid=18531 refcnt=0
xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
esp mode=tunnel spi=139177439(0x084baddf) reqid=0(0x00000000)
E: 3des-cbc 9ac51ccd 614bf216 c3a6f31a ea225908 41522301 44496d16
A: hmac-sha1 8a11a45f f110b78b bc124da6 b854ae5e 6000cb26
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Oct 9 10:50:24 2012 current: Oct 9 10:50:31 2012
diff: 7(s) hard: 28800(s) soft: 23040(s)
last: Oct 9 10:50:24 2012 hard: 0(s) soft: 0(s)
current: 420(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 5 hard: 0 soft: 0
sadb_seq=0 pid=18531 refcnt=0
задача была в следующем: соединится по туннелю с yyy.yyy.yyy.yyy чтобы иметь доступ к айпишнику 3.4.5.6, который находится за рамками подсетки 1.2.3.4/30 внутри этого туннеля.
По пингу видно что задача выполнена частично, так как если просто прописать ping 3.4.5.6 то ничего не происходит и логи туннеля racoon даже не дергаются.
Очень прошу помочь сделать так, чтобы соединения на данный ip проходили с обычных программ (в частности asterisk).
Я подозреваю что в setkey.conf в маршрутизацию нужно еще чтото указать но что бы не делал, ничего не помогает.
после поднятия туннеля никаких адаптеров (это бы сразу решило проблему простой командой route add) не создается.
Заранее спасибо всем кто поможет.
Прошу помочь так как зашел в тупик.
Между сервером 1 и сервером 2 (ко второму доступа не имею) настроен IpSec тунель (с помощью racoon , setkey) с шифрованием. к сожалению это единственный возможный вариант так как на сервере 2 уже все настроено.
Вот конфиг файлы racoon.conf
path pre_shared_key "/etc/racoon/psk.txt";
log debug2;
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
remote anonymous {
passive off;
my_identifier address xxx.xxx.xxx.xxx;
verify_identifier off;
verify_cert off;
lifetime time 86400 sec;
peers_identifier address yyy.yyy.yyy.yyy;
exchange_mode main;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group 2;
}
}
sainfo anonymous {
pfs_group 2;
lifetime time 28800 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}
setkey.conf
#!/sbin/setkey -f
flush;
spdflush;
spdadd 3.4.5.6/30 1.2.3.4/30 any -P in ipsec
esp/tunnel/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/require;
spdadd 1.2.3.4/30 3.4.5.6/30 any -P out ipsec
esp/tunnel/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require;
на выходе пишет что тунель установлен и пинги по команде
ping -I 1.2.3.4 3.4.5.6
идут, в дебаге видно что все ок
вот вывод setkey -D
yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx
esp mode=tunnel spi=130385751(0x07c58757) reqid=0(0x00000000)
E: 3des-cbc a0c9103b 516ff6d9 d29f159d 72f6e17e 3cca79ac 0b361fe2
A: hmac-sha1 b1a4b327 5c547c1f bcacbc0f e3b1e679 53d18fff
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Oct 9 10:50:24 2012 current: Oct 9 10:50:31 2012
diff: 7(s) hard: 28800(s) soft: 23040(s)
last: Oct 9 10:50:24 2012 hard: 0(s) soft: 0(s)
current: 420(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 5 hard: 0 soft: 0
sadb_seq=1 pid=18531 refcnt=0
xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
esp mode=tunnel spi=139177439(0x084baddf) reqid=0(0x00000000)
E: 3des-cbc 9ac51ccd 614bf216 c3a6f31a ea225908 41522301 44496d16
A: hmac-sha1 8a11a45f f110b78b bc124da6 b854ae5e 6000cb26
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Oct 9 10:50:24 2012 current: Oct 9 10:50:31 2012
diff: 7(s) hard: 28800(s) soft: 23040(s)
last: Oct 9 10:50:24 2012 hard: 0(s) soft: 0(s)
current: 420(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 5 hard: 0 soft: 0
sadb_seq=0 pid=18531 refcnt=0
задача была в следующем: соединится по туннелю с yyy.yyy.yyy.yyy чтобы иметь доступ к айпишнику 3.4.5.6, который находится за рамками подсетки 1.2.3.4/30 внутри этого туннеля.
По пингу видно что задача выполнена частично, так как если просто прописать ping 3.4.5.6 то ничего не происходит и логи туннеля racoon даже не дергаются.
Очень прошу помочь сделать так, чтобы соединения на данный ip проходили с обычных программ (в частности asterisk).
Я подозреваю что в setkey.conf в маршрутизацию нужно еще чтото указать но что бы не делал, ничего не помогает.
после поднятия туннеля никаких адаптеров (это бы сразу решило проблему простой командой route add) не создается.
Заранее спасибо всем кто поможет.