IPSec Помогите разобраться в чем ошибка :-(
 

Здравствуйте...есть задача связать 2 сети..чтоб безопасно было и свободно можно было получить доступ с любой машины одной сети на любую машину другой.
Я выбрал для этого IPSec пакет.
Делал по инструкции http://www.opennet.ru/base/net/ipsec...howto.txt.html Вячеслава Худакова.
На обеих маршрутизаторах поставил ядра 2.6.х.х всё пропатчилось..хорошо скомпилилось и стало на свои места
Но при попытке запустить ipsec, відаётся такая вот ошибка
ipsec_setup: (/etc/ipsec.conf, line 19) parameter is not within a section -- `--start' aborted

Файл конфигурации такой:
# /etc/ipsec.conf - Openswan IPsec configuration file
# RCSID $Id: ipsec.conf.in,v 1.15.2.6 2006/10/19 03:49:46 paul Exp $
# This file: /usr/local/share/doc/openswan/ipsec.conf-sample
# Manual: ipsec.conf.5

version 2.0 # conforms to second version of ipsec.conf specification

# basic configuration
config setup
forwardcontrol=yes
klipsdebug=none
nat_traversal=yes
plutodebug=none
nhelpers=0

# Add connections here
conn antey-network
# left side of network
left=реал ip шлюза 1
leftid=@grandgw.grand.loc
leftsubnet=192.168.1.0/24
leftrsasigkey=....ключи сгенерились нормально
leftnexthop=чfaultroute
# right side of network
right=реал ip шлюза 2
rightid=@anteygw.antey.net
rightsubnet=192.168.0.0/24
rightrsasigkey=
rightnexthop=чfaultroute
auto=add
#Disable Opportunistic Encryption
#include /etc/ipsec.d/examples/no_oe.conf

разделение - табуляцией

команда ipsec verify выдаёт такие результаты
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan cvs2002Mar11_15:19:03 (klips)
Checking for IPsec support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [FAILED]
whack: Pluto is not running (no "/var/run/pluto/pluto.ctl")
Two or more interfaces found, checking IP forwarding [FAILED]
whack: Pluto is not running (no "/var/run/pluto/pluto.ctl")
Checking NAT and MASQUERADEing
Checking for 'ip' command [OK]
Checking for 'iptables' command [OK]

Opportunistic Encryption DNS checks:
Looking for TXT in forward dns zone: grandgw [MISSING]
Does the machine have at least one non-private address? [OK]
Looking for TXT in reverse dns zone: 182.94.138.195.in-addr.arpa. [MISSING]

Если подставить тестовый конфиг include /etc/ipsec.d/examples/no_oe.conf
то "Pluto" запускается нормально и создаётся интерфейс ipsec0, т.е. как бы всё впорядке


в чём может быть трабл ??
всё до буквы проверил в конфиге..всё как по описанию...

Спасиб..

System admin

Удалите вообще строчку

conn antey-network
# left side of network
left=реал ip шлюза 1
leftid=@grandgw.grand.loc
leftsubnet=192.168.1.0/24
leftrsasigkey=....ключи сгенерились нормально
leftnexthop=чfaultroute

если я не ошибаюсь openswan ругается на строчку ниже, чем там где ошибка

must die Спасибо огромное, всё заработало...но появилась другая проблема...не ходят пакеты :(
Роутинг настроен, защищенное соединение между хостами устанавливается успешно..но пакеты не ходят :-(
Полдня просидел...так и не нашел причину....
Где можно посмотреть логи по этому поводу ?
Может поможешь ? Какие тебе файлы прислать для осмотра ?

Спасиб :-)

System admin

Ты главное пингуй не со шлюзов, т.к. с них ничего пинговаться не будет. Попробуй просто из машины в сети.

must die Да вот пробую щас..ничего не получается :-(
Странная фигня....уже и остальные цепочки в Файрволе отключил оставил только те что в описании и всё равно... :-(

А форвардинг пакетов включен?

must die
root@anteygw:~# ipsec setup --start
ipsec_setup: Starting Openswan IPsec cvs2002Mar12_02:19:03...
root@anteygw:~# ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan cvs2002Mar12_02:19:03 (klips)
Checking for IPsec support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADEing
Checking for 'ip' command [OK]
Checking for 'iptables' command [OK]

Opportunistic Encryption DNS checks:
Looking for TXT in forward dns zone: anteygw [MISSING]
Does the machine have at least one non-private address? [OK]
Looking for TXT in reverse dns zone: 254.3.130.213.in-addr.arpa. [MISSING]
Looking for TXT in reverse dns zone: 10.82.209.89.in-addr.arpa. [MISSING]

Правда у меня на одной из шлюзов 2 внешних интерфейса, один из них соединяется с нетом через pppoe, второй через SDSL, ну основной через pppop, на него defaultroute, вроде бы правильно определяется раз устанавливается защещенное соединение...пробовал тушить SDSL интерфейс..всё равно тож самое..может в pppoe какая то ошибка ?
И при старте соединения пишется такая фигня :
104 "antey" #1: STATE_MAIN_I1: initiate
003 "antey" #1: ignoring unknown Vendor ID payload [4f45536c4663417d606a4950]
003 "antey" #1: received Vendor ID payload [Dead Peer Detection]
003 "antey" #1: received Vendor ID payload [RFC 3947] method set to=110
106 "antey" #1: STATE_MAIN_I2: sent MI2, expecting MR2

003 "antey" #1: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): no NAT detected (Вот это меня смущает)

108 "antey" #1: STATE_MAIN_I3: sent MI3, expecting MR3
004 "antey" #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=oakley_3des_cbc_192 prf=oakley_md5 group=modp1536}
117 "antey" #2: STATE_QUICK_I1: initiate
004 "antey" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x06a6da6a <0xc8f947a3 xfrm=AES_0-HMAC_SHA1 NATD=none DPD=none}

А на другом шлюзе при запуске команды ipsec setup --start, подвисает внешний интерфейс секунд от 30..до минуты...
Но при запуске соединения после раздупления устанавливается защищенное соединение пишет:
117 "antey" #3: STATE_QUICK_I1: initiate
004 "antey" #3: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0xc8f947a4 <0x06a6da6b xfrm=AES_0-HMAC_SHA1 NATD=none DPD=none}

т.е. как бы всё ок...

System admin


Сделай с обоих сторон плиз /etc/init.d/ipsec restart
ipsec auto --up имя соединения

и кинь результаты сюда

must die
С обеих сторон одновременно запустил рестарт....Правда везде в инструкции описано что ipsec в init.d находится...у меня slackware, я там не нашел такой папки при установке.
Меня еще смутило что в папке /etc/ понаделывалось куча папок с мёртвыми ссылками rc.0.......rc.6 в них ссылки K7ipsec на файл /etc/init.d/ipsec....
root@grandgw:/# ipsec setup --restart
ipsec_setup: Stopping Openswan IPsec...
ipsec_setup: Starting Openswan IPsec cvs2002Mar11_15:19:03...
root@grandgw:/# ipsec auto --up antey
104 "antey" #3: STATE_MAIN_I1: initiate
010 "antey" #3: STATE_MAIN_I1: retransmission; will wait 20s for response
010 "antey" #3: STATE_MAIN_I1: retransmission; will wait 40s for response
003 "antey" #3: ignoring unknown Vendor ID payload [4f457140555b76786d617a54]
003 "antey" #3: received Vendor ID payload [Dead Peer Detection]
003 "antey" #3: received Vendor ID payload [RFC 3947] method set to=110
106 "antey" #3: STATE_MAIN_I2: sent MI2, expecting MR2
010 "antey" #3: STATE_MAIN_I2: retransmission; will wait 20s for response
003 "antey" #3: NAT-Traversal: Result using RFC 3947 (NAT-Traversal): no NAT detected
108 "antey" #3: STATE_MAIN_I3: sent MI3, expecting MR3
004 "antey" #3: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_RSA_SIG cipher=oakley_3des_cbc_192 prf=oakley_md5 group=modp1536}
117 "antey" #4: STATE_QUICK_I1: initiate
004 "antey" #4: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x01d98348 <0x9f7f5bf9 xfrm=AES_0-HMAC_SHA1 NATD=none DPD=none}

с другой стороны

root@anteygw:~# ipsec auto --up antey
117 "antey" #4: STATE_QUICK_I1: initiate
004 "antey" #4: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0x9f7f5bfa <0x01d98349 xfrm=AES_0-HMAC_SHA1 NATD=none DPD=none}

По интерфейсам :

root@grandgw:~# ifconfig

eth0 Link encap:Ethernet HWaddr 00:80:48:15:FF:6B
inet addr:192.168.1.100 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:5085747 errors:0 dropped:0 overruns:0 frame:0
TX packets:4578474 errors:0 dropped:0 overruns:2 carrier:0
collisions:0 txqueuelen:1000
RX bytes:382151673 (364.4 Mb) TX bytes:3192787355 (3044.8 Mb)
Interrupt:12 Base address:0xd000

eth1 Link encap:Ethernet HWaddr 00:80:48:16:0C:27
inet addr:195.138.94.182 Bcast:195.138.94.183 Mask:255.255.255.252
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:4662397 errors:0 dropped:0 overruns:0 frame:0
TX packets:5063854 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:3198166282 (3050.0 Mb) TX bytes:380934600 (363.2 Mb)
Interrupt:10 Base address:0xb800

ipsec0 Link encap:Ethernet HWaddr 00:80:48:16:0C:27
inet addr:195.138.94.182 Mask:255.255.255.252
UP RUNNING NOARP MTU:16260 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:1652382 errors:0 dropped:21538 overruns:0 carrier:0
collisions:0 txqueuelen:10
RX bytes:0 (0.0 b) TX bytes:120290800 (114.7 Mb)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:171547 errors:0 dropped:0 overruns:0 frame:0
TX packets:171547 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:16301260 (15.5 Mb) TX bytes:16301260 (15.5 Mb)

С этого узла все пакеты которые идут на внешку заворичивают на ipsec0

А с этого никакие не заворачивают на ipsec0, все идут в дроп..

root@anteygw:~# ifconfig

eth0 Link encap:Ethernet HWaddr 00:00:1C:D3:C2:E8
inet addr:192.168.0.100 Bcast:192.168.0.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:332031 errors:0 dropped:0 overruns:0 frame:0
TX packets:300119 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:71984635 (68.6 MiB) TX bytes:152263668 (145.2 MiB)
Interrupt:16 Base address:0xec00

eth1 Link encap:Ethernet HWaddr 00:00:1C:D3:BD:3B
inet addr:213.130.3.254 Bcast:213.130.3.255 Mask:255.255.255.192
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:117986 errors:0 dropped:0 overruns:0 frame:0
TX packets:56209 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:12151996 (11.5 MiB) TX bytes:15806042 (15.0 MiB)
Interrupt:17 Base address:0xe800

eth2 Link encap:Ethernet HWaddr 00:80:48:15:FE:D7
inet addr:192.168.2.100 Bcast:192.168.1.255 Mask:255.255.255.0
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:2343056 errors:2 dropped:14 overruns:2 frame:0
TX packets:223333 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:296427569 (282.6 MiB) TX bytes:52542254 (50.1 MiB)
Interrupt:18 Base address:0xe400

ipsec0 Link encap:Point-to-Point Protocol
inet addr:89.209.82.10 Mask:255.255.255.255
UP RUNNING NOARP MTU:16260 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:4 overruns:0 carrier:0
collisions:0 txqueuelen:10
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:401 errors:0 dropped:0 overruns:0 frame:0
TX packets:401 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:32998 (32.2 KiB) TX bytes:32998 (32.2 KiB)

ppp0 Link encap:Point-to-Point Protocol
inet addr:89.209.82.10 P-t-P:87.236.224.163 Mask:255.255.255.255
UP POINTOPOINT RUNNING NOARP MULTICAST MTU:1492 Metric:1
RX packets:229246 errors:0 dropped:0 overruns:0 frame:0
TX packets:215644 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:3
RX bytes:140138334 (133.6 MiB) TX bytes:47335185 (45.1 MiB)

По роутингу:

root@grandgw:/# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
m.root-servers. Grand-club-gw.T 255.255.255.255 UGH 0 0 0 ipsec0
b.root-servers. Grand-club-gw.T 255.255.255.255 UGH 0 0 0 ipsec0
a.root-servers. Grand-club-gw.T 255.255.255.255 UGH 0 0 0 ipsec0
k.root-servers. Grand-club-gw.T 255.255.255.255 UGH 0 0 0 ipsec0
f.root-servers. Grand-club-gw.T 255.255.255.255 UGH 0 0 0 ipsec0
d.root-servers. Grand-club-gw.T 255.255.255.255 UGH 0 0 0 ipsec0
G.ROOT-SERVERS. Grand-club-gw.T 255.255.255.255 UGH 0 0 0 ipsec0
E.ROOT-SERVERS. Grand-club-gw.T 255.255.255.255 UGH 0 0 0 ipsec0
j.root-servers. Grand-club-gw.T 255.255.255.255 UGH 0 0 0 ipsec0
h.root-servers. Grand-club-gw.T 255.255.255.255 UGH 0 0 0 ipsec0
i.root-servers. Grand-club-gw.T 255.255.255.255 UGH 0 0 0 ipsec0
AS-20144-has-no Grand-club-gw.T 255.255.255.255 UGH 0 0 0 ipsec0
c.root-servers. Grand-club-gw.T 255.255.255.255 UGH 0 0 0 ipsec0
195.138.94.180 * 255.255.255.252 U 0 0 0 eth1
195.138.94.180 * 255.255.255.252 U 0 0 0 ipsec0
192.168.1.0 * 255.255.255.0 U 0 0 0 eth0
192.168.0.0 Grand-club-gw.T 255.255.255.0 UG 0 0 0 ipsec0
loopback * 255.0.0.0 U 0 0 0 lo
default Grand-club-gw.T 128.0.0.0 UG 0 0 0 ipsec0
128.0.0.0 Grand-club-gw.T 128.0.0.0 UG 0 0 0 ipsec0
default Grand-club-gw.T 0.0.0.0 UG 0 0 0 eth1


root@anteygw:~# route
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
62-125-207-82.i bb-0-GE1-vlan15 255.255.255.255 UGH 0 0 0 eth1
bras-lo.comstar * 255.255.255.255 UH 0 0 0 ipsec0
bras-lo.comstar * 255.255.255.255 UH 0 0 0 ppp0
antey.farlep.ne bb-0-GE1-vlan15 255.255.255.255 UGH 0 0 0 eth1
antey-2.farlep. bb-0-GE1-vlan15 255.255.255.255 UGH 0 0 0 eth1
213.130.3.192 * 255.255.255.192 U 0 0 0 eth1
192.168.2.0 * 255.255.255.0 U 0 0 0 eth2
192.168.1.0 * 255.255.255.0 U 0 0 0 ipsec0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
loopback * 255.0.0.0 U 0 0 0 lo
default * 0.0.0.0 U 0 0 0 ppp0


и первый раз такая вот ошибка по
root@anteygw:~# ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan cvs2002Mar12_02:19:03 (klips)
Checking for IPsec support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADEing
Checking tun0x1004@195.138.94.182 from 192.168.0.0/24 to 192.168.1.0/24 [FAILED]
MASQUERADE from 192.168.0.70 to 0.0.0.0/0 kills tunnel 192.168.0.70 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.71 to 0.0.0.0/0 kills tunnel 192.168.0.71 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.72 to 0.0.0.0/0 kills tunnel 192.168.0.72 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.73 to 0.0.0.0/0 kills tunnel 192.168.0.73 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.74 to 0.0.0.0/0 kills tunnel 192.168.0.74 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.162 to 0.0.0.0/0 kills tunnel 192.168.0.162 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.161 to 0.0.0.0/0 kills tunnel 192.168.0.161 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.62 to 0.0.0.0/0 kills tunnel 192.168.0.62 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.99 to 0.0.0.0/0 kills tunnel 192.168.0.99 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.102 to 0.0.0.0/0 kills tunnel 192.168.0.102 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.24 to 0.0.0.0/0 kills tunnel 192.168.0.24 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.26 to 0.0.0.0/0 kills tunnel 192.168.0.26 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.29 to 0.0.0.0/0 kills tunnel 192.168.0.29 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.221 to 0.0.0.0/0 kills tunnel 192.168.0.221 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.222 to 0.0.0.0/0 kills tunnel 192.168.0.222 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.2 to 0.0.0.0/0 kills tunnel 192.168.0.2 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.19 to 0.0.0.0/0 kills tunnel 192.168.0.19 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.211 to 0.0.0.0/0 kills tunnel 192.168.0.211 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.5 to 0.0.0.0/0 kills tunnel 192.168.0.5 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.31 to 0.0.0.0/0 kills tunnel 192.168.0.31 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.41 to 0.0.0.0/0 kills tunnel 192.168.0.41 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.42 to 0.0.0.0/0 kills tunnel 192.168.0.42 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.43 to 0.0.0.0/0 kills tunnel 192.168.0.43 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.45 to 0.0.0.0/0 kills tunnel 192.168.0.45 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.115 to 0.0.0.0/0 kills tunnel 192.168.0.115 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.105 to 0.0.0.0/0 kills tunnel 192.168.0.105 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.199 to 0.0.0.0/0 kills tunnel 192.168.0.199 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.200 to 0.0.0.0/0 kills tunnel 192.168.0.200 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.201 to 0.0.0.0/0 kills tunnel 192.168.0.201 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.202 to 0.0.0.0/0 kills tunnel 192.168.0.202 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.51 to 0.0.0.0/0 kills tunnel 192.168.0.51 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.213 to 0.0.0.0/0 kills tunnel 192.168.0.213 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.52 to 0.0.0.0/0 kills tunnel 192.168.0.52 -> 192.168.1.0/24
[FAILED]
MASQUERADE from 192.168.0.173 to 0.0.0.0/0 kills tunnel 192.168.0.173 -> 192.168.1.0/24
[FAILED]
SNAT from 192.168.0.0/24 to 0.0.0.0/0 kills tunnel 192.168.0.0/24 -> 192.168.1.0/24
[FAILED]
SNAT from 195.138.94.182 to !192.168.1.0/24 kills tunnel 195.138.94.182 -> 192.168.1.0/24
Checking for 'ip' command [OK]
Checking for 'iptables' command [OK]

Opportunistic Encryption DNS checks:
Looking for TXT in forward dns zone: anteygw [MISSING]
Does the machine have at least one non-private address? [OK]
Looking for TXT in reverse dns zone: 254.3.130.213.in-addr.arpa. [MISSING]
Looking for TXT in reverse dns zone: 10.82.209.89.in-addr.arpa. [MISSING]


root@grandgw:/# ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan cvs2002Mar11_15:19:03 (klips)
Checking for IPsec support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADEing
Checking tun0x1006@89.209.82.10 from 192.168.1.0/24 to 192.168.0.0/24 [FAILED]
MASQUERADE from 192.168.1.0/24 to 0.0.0.0/0 kills tunnel 192.168.1.0/24 -> 192.168.0.0/24
[FAILED]
SNAT from 192.168.1.0/24 to 0.0.0.0/0 kills tunnel 192.168.1.0/24 -> 192.168.0.0/24
[FAILED]
SNAT from 89.209.82.10 to !192.168.0.0/24 kills tunnel 89.209.82.10 -> 192.168.0.0/24
Checking for 'ip' command [OK]
Checking for 'iptables' command [OK]

Opportunistic Encryption DNS checks:
Looking for TXT in forward dns zone: grandgw [MISSING]
Does the machine have at least one non-private address? [OK]
Looking for TXT in reverse dns zone: 182.94.138.195.in-addr.arpa. [MISSING]

Этих ошибок раньше небыло....
Вот первый раз появились :-(

System admin

Сдается мне ты не отключил максардинг для пакетов идущих в туннель.
Ссылка на wiki openswan.org

must die Перекопал весь Firewall, не пашет :-(
Я уже не знаю чё делать.....не знаешь ? Есть какие то другие пакеты для создания шифрованных туннелей такого же типа.... ?

То есть файрвол правильно сконфигурирован?
Если так тогда tcpdump или iptraf в руки и смотреть что там и куда ходит.

must die Я таки добился хождения пакетов из одной сетки в другую..
Но ошибка осталась :-(

root@grandgw:~# ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan cvs2002Mar11_15:19:03 (klips)
Checking for IPsec support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADEing
Checking tun0x1002@89.209.82.10 from 192.168.1.0/24 to 192.168.0.0/24 [FAILED]
MASQUERADE from 192.168.1.0/24 to 0.0.0.0/0 kills tunnel 192.168.1.0/24 -> 192
.168.0.0/24
Checking for 'ip' command [OK]
Checking for 'iptables' command [OK]

Opportunistic Encryption DNS checks:
Looking for TXT in forward dns zone: grandgw [MISSING]
Does the machine have at least one non-private address? [OK]
Looking for TXT in reverse dns zone: 182.94.138.195.in-addr.arpa. [MISSING
]

И насколько я понял по пингу...пакеты не шифруются :-((

root@anteygw:~# tcpdump -i ipsec0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ipsec0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
21:01:30.871088 IP 192.168.1.1 > 192.168.0.191: ICMP echo request, id 512, seq 37480, length 40
21:01:30.871406 IP 192.168.0.191 > 192.168.1.1: ICMP echo reply, id 512, seq 37480, length 40
21:01:31.865940 IP 192.168.1.1 > 192.168.0.191: ICMP echo request, id 512, seq 37992, length 40
21:01:31.866327 IP 192.168.0.191 > 192.168.1.1: ICMP echo reply, id 512, seq 37992, length 40

root@anteygw:~# tcpdump -i ipsec0 -vv
tcpdump: listening on ipsec0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
20:59:33.655635 IP (tos 0x0, ttl 127, id 4592, offset 0, flags [none], proto: ICMP (1), length: 60) 192.168.1.1 > 192.168.0.191: ICMP echo request, id 512, seq 36967, length 40
20:59:33.656023 IP (tos 0x0, ttl 127, id 9017, offset 0, flags [none], proto: ICMP (1), length: 60) 192.168.0.191 > 192.168.1.1: ICMP echo reply, id 512, seq 36967, length 40

Есть у тебя какие то еще соображения по этому поводу ? Если тебе моя проблема еще не надоела.... :-/

Спасиб... :-)

А как добился то?

must die Честно, звучит глупо..но не знаю :-(
Просто заработало и работает до сих пор....
Таке не могу понять почему появляется ошибка Маскарадинга, ведь я исключил сеть получателя из Маскарад-листа...
Ошибка полностью пропадает если
из правил iptables убрать строку iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -d! 192.168.0.0/24 -j MASQUERADE, тогда ошибка пропадает..
пакеты ходят также само - нешифроваными :-( Ну и, соответственно пропадает инет на машинах.....
Просканил порты..пакеты не ходят 500ый портТочнее ходят..но только в момент соединения и проверки ключей.
Читал разные Траблшутинги в доках по Openswan, мои ошибки там не описаны... :-(

must die Вот еще что заметил только недавно...при загрузке ядра...в логах почитал такие сообщения :
Mar 26 02:21:23 anteygw kernel: klips_info:ipsec_init: KLIPS startup, Openswan KLIPS IPsec stack version: cvs2002Mar12_02:19:03
Mar 26 02:21:23 anteygw kernel: NET: Registered protocol family 15
Mar 26 02:21:23 anteygw kernel: klips_info:ipsec_alg_init: KLIPS alg v=0.8.1-0 (EALG_MAX=255, AALG_MAX=251)
Mar 26 02:21:23 anteygw kernel: klips_info:ipsec_alg_init: calling ipsec_alg_static_init()
Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=12 name=aes keyminbits=128 keymaxbits=256, found(0)
Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=253 name=twofish keyminbits=128 keymaxbits=256, found(0)
Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=252 name=serpent keyminbits=128 keymaxbits=256, found(0)
Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=6 name=cast5 keyminbits=128 keymaxbits=128, found(0)
Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=7 name=blowfish keyminbits=96 keymaxbits=448, found(0)
Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=3 name=des3_ede keyminbits=192 keymaxbits=192, found(0)
Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=2 name=des keyminbits=64 keymaxbits=64, found(0)
Mar 26 02:21:23 anteygw kernel: IPv4 over IPv4 tunneling driver
Mar 26 02:21:23 anteygw kernel: GRE over IPv4 tunneling driver
Mar 26 02:21:23 anteygw kernel: ip ah init: can't add protocol --------я так понимаю по этому может и не быть шифрования :-(-----------
Mar 26 02:21:23 anteygw kernel: ip esp init: can't add protocol ---------------------------------------------------------------------------------------------

Что может быть ?

System admin

Может попробуешь использовать Netkey вместо KLIPS - это реализация ipsec встроенная в ядра 2.6.
Если осталось стандартное ядро, попробуй загрузиться в него и попробовать поднять тунель.

must die Нуууу стандартного ядра 2.6 небыло у меня никогда...а что надо сделать чтоб включить этот Netkey ?
Нужен ли для этого Openswan ? И есть ли у тебя какая то понятная ссылка на настройку через Netkey..а то я в этом деле новичок, но очень надо научиться это делать...

Спасиб :-)

System admin

Какая у тебя система и ядро?

must die Slackware 10.1 и 11.0 ядра скомпилировал из исходников v2.6.15.1
Openswan скачал последний...щас не припомню версию...

System admin

must die Это всё я сделал первым делом...собрал ядро с поддержкой всего что писалось....патчи на ядро стали нормально, появились доп. опции которые я и включил..ядро скомпилилось без ошибок и Openswan стал на место....уже не понимаю где копать ошибку.....может быть эти методы шифрования надо где то в ручную повключать в IPSec ?
Но я таких опций пока не нашел :-(

System admin

Собери ядро, но патчи не накладывай.

must die Ничего не выходит...те же ошибки...пока пришлось поднять простые нешифрованые GRE туннели.... :-( Ищу щас другой способ для шифрования..хотябы простого...
Спасиб за помощь и за терпение :-))