Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Linux и FreeBSD » Программное обеспечение Linux и FreeBSD » IPSec Помогите разобраться в чем ошибка :-(

< Предыдущая 1 2 3 Следующая >
Ответить
Настройки темы
IPSec Помогите разобраться в чем ошибка :-(

Новый участник


Сообщения: 23
Благодарности: 0

Профиль | Отправить PM | Цитировать

Здравствуйте...есть задача связать 2 сети..чтоб безопасно было и свободно можно было получить доступ с любой машины одной сети на любую машину другой.
Я выбрал для этого IPSec пакет.
Делал по инструкции http://www.opennet.ru/base/net/ipsec...howto.txt.html Вячеслава Худакова.
На обеих маршрутизаторах поставил ядра 2.6.х.х всё пропатчилось..хорошо скомпилилось и стало на свои места
Но при попытке запустить ipsec, відаётся такая вот ошибка
ipsec_setup: (/etc/ipsec.conf, line 19) parameter is not within a section -- `--start' aborted

Файл конфигурации такой:
# /etc/ipsec.conf - Openswan IPsec configuration file
# RCSID $Id: ipsec.conf.in,v 1.15.2.6 2006/10/19 03:49:46 paul Exp $
# This file: /usr/local/share/doc/openswan/ipsec.conf-sample
# Manual: ipsec.conf.5

version 2.0 # conforms to second version of ipsec.conf specification

# basic configuration
config setup
forwardcontrol=yes
klipsdebug=none
nat_traversal=yes
plutodebug=none
nhelpers=0

# Add connections here
conn antey-network
# left side of network
left=реал ip шлюза 1
leftid=@grandgw.grand.loc
leftsubnet=192.168.1.0/24
leftrsasigkey=....ключи сгенерились нормально
leftnexthop=чfaultroute
# right side of network
right=реал ip шлюза 2
rightid=@anteygw.antey.net
rightsubnet=192.168.0.0/24
rightrsasigkey=
rightnexthop=чfaultroute
auto=add
#Disable Opportunistic Encryption
#include /etc/ipsec.d/examples/no_oe.conf

разделение - табуляцией

команда ipsec verify выдаёт такие результаты
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan cvs2002Mar11_15:19:03 (klips)
Checking for IPsec support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [FAILED]
whack: Pluto is not running (no "/var/run/pluto/pluto.ctl")
Two or more interfaces found, checking IP forwarding [FAILED]
whack: Pluto is not running (no "/var/run/pluto/pluto.ctl")
Checking NAT and MASQUERADEing
Checking for 'ip' command [OK]
Checking for 'iptables' command [OK]

Opportunistic Encryption DNS checks:
Looking for TXT in forward dns zone: grandgw [MISSING]
Does the machine have at least one non-private address? [OK]
Looking for TXT in reverse dns zone: 182.94.138.195.in-addr.arpa. [MISSING]

Если подставить тестовый конфиг include /etc/ipsec.d/examples/no_oe.conf
то "Pluto" запускается нормально и создаётся интерфейс ipsec0, т.е. как бы всё впорядке


в чём может быть трабл ??
всё до буквы проверил в конфиге..всё как по описанию...

Спасиб..

Отправлено: 23:44, 22-03-2007

 

Новый участник


Сообщения: 23
Благодарности: 0

Профиль | Отправить PM | Цитировать

must die Перекопал весь Firewall, не пашет :-(
Я уже не знаю чё делать.....не знаешь ? Есть какие то другие пакеты для создания шифрованных туннелей такого же типа.... ?

Отправлено: 19:56, 24-03-2007 | #11



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Аватара для must die

Ветеран


Сообщения: 715
Благодарности: 77

Профиль | Отправить PM | Цитировать

Цитата:
must die Перекопал весь Firewall, не пашет :-(
То есть файрвол правильно сконфигурирован?
Если так тогда tcpdump или iptraf в руки и смотреть что там и куда ходит.

-------
Вопреки популярному мнению, Unix - дружелюбная ОС.
Просто так случилось, что она очень избирательна в выборе друзей.

Отправлено: 15:41, 25-03-2007 | #12


Новый участник


Сообщения: 23
Благодарности: 0

Профиль | Отправить PM | Цитировать

must die Я таки добился хождения пакетов из одной сетки в другую..
Но ошибка осталась :-(

root@grandgw:~# ipsec verify
Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan cvs2002Mar11_15:19:03 (klips)
Checking for IPsec support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADEing
Checking tun0x1002@89.209.82.10 from 192.168.1.0/24 to 192.168.0.0/24 [FAILED]
MASQUERADE from 192.168.1.0/24 to 0.0.0.0/0 kills tunnel 192.168.1.0/24 -> 192
.168.0.0/24
Checking for 'ip' command [OK]
Checking for 'iptables' command [OK]

Opportunistic Encryption DNS checks:
Looking for TXT in forward dns zone: grandgw [MISSING]
Does the machine have at least one non-private address? [OK]
Looking for TXT in reverse dns zone: 182.94.138.195.in-addr.arpa. [MISSING
]

И насколько я понял по пингу...пакеты не шифруются :-((

root@anteygw:~# tcpdump -i ipsec0
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ipsec0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
21:01:30.871088 IP 192.168.1.1 > 192.168.0.191: ICMP echo request, id 512, seq 37480, length 40
21:01:30.871406 IP 192.168.0.191 > 192.168.1.1: ICMP echo reply, id 512, seq 37480, length 40
21:01:31.865940 IP 192.168.1.1 > 192.168.0.191: ICMP echo request, id 512, seq 37992, length 40
21:01:31.866327 IP 192.168.0.191 > 192.168.1.1: ICMP echo reply, id 512, seq 37992, length 40

root@anteygw:~# tcpdump -i ipsec0 -vv
tcpdump: listening on ipsec0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
20:59:33.655635 IP (tos 0x0, ttl 127, id 4592, offset 0, flags [none], proto: ICMP (1), length: 60) 192.168.1.1 > 192.168.0.191: ICMP echo request, id 512, seq 36967, length 40
20:59:33.656023 IP (tos 0x0, ttl 127, id 9017, offset 0, flags [none], proto: ICMP (1), length: 60) 192.168.0.191 > 192.168.1.1: ICMP echo reply, id 512, seq 36967, length 40

Есть у тебя какие то еще соображения по этому поводу ? Если тебе моя проблема еще не надоела.... :-/

Спасиб... :-)

Отправлено: 20:02, 25-03-2007 | #13


Аватара для must die

Ветеран


Сообщения: 715
Благодарности: 77

Профиль | Отправить PM | Цитировать

Цитата:
must die Я таки добился хождения пакетов из одной сетки в другую..
Но ошибка осталась :-(
А как добился то?

-------
Вопреки популярному мнению, Unix - дружелюбная ОС.
Просто так случилось, что она очень избирательна в выборе друзей.

Отправлено: 10:03, 26-03-2007 | #14


Новый участник


Сообщения: 23
Благодарности: 0

Профиль | Отправить PM | Цитировать

must die Честно, звучит глупо..но не знаю :-(
Просто заработало и работает до сих пор....
Таке не могу понять почему появляется ошибка Маскарадинга, ведь я исключил сеть получателя из Маскарад-листа...
Ошибка полностью пропадает если
из правил iptables убрать строку iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -d! 192.168.0.0/24 -j MASQUERADE, тогда ошибка пропадает..
пакеты ходят также само - нешифроваными :-( Ну и, соответственно пропадает инет на машинах.....
Просканил порты..пакеты не ходят 500ый портТочнее ходят..но только в момент соединения и проверки ключей.
Читал разные Траблшутинги в доках по Openswan, мои ошибки там не описаны... :-(

Последний раз редактировалось System admin, 26-03-2007 в 19:26.

Отправлено: 19:18, 26-03-2007 | #15


Новый участник


Сообщения: 23
Благодарности: 0

Профиль | Отправить PM | Цитировать

must die Вот еще что заметил только недавно...при загрузке ядра...в логах почитал такие сообщения :
Mar 26 02:21:23 anteygw kernel: klips_info:ipsec_init: KLIPS startup, Openswan KLIPS IPsec stack version: cvs2002Mar12_02:19:03
Mar 26 02:21:23 anteygw kernel: NET: Registered protocol family 15
Mar 26 02:21:23 anteygw kernel: klips_info:ipsec_alg_init: KLIPS alg v=0.8.1-0 (EALG_MAX=255, AALG_MAX=251)
Mar 26 02:21:23 anteygw kernel: klips_info:ipsec_alg_init: calling ipsec_alg_static_init()
Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=12 name=aes keyminbits=128 keymaxbits=256, found(0)
Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=253 name=twofish keyminbits=128 keymaxbits=256, found(0)
Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=252 name=serpent keyminbits=128 keymaxbits=256, found(0)
Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=6 name=cast5 keyminbits=128 keymaxbits=128, found(0)
Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=7 name=blowfish keyminbits=96 keymaxbits=448, found(0)
Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=3 name=des3_ede keyminbits=192 keymaxbits=192, found(0)
Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=2 name=des keyminbits=64 keymaxbits=64, found(0)
Mar 26 02:21:23 anteygw kernel: IPv4 over IPv4 tunneling driver
Mar 26 02:21:23 anteygw kernel: GRE over IPv4 tunneling driver
Mar 26 02:21:23 anteygw kernel: ip ah init: can't add protocol --------я так понимаю по этому может и не быть шифрования :-(-----------
Mar 26 02:21:23 anteygw kernel: ip esp init: can't add protocol ---------------------------------------------------------------------------------------------

Что может быть ?

Отправлено: 22:40, 26-03-2007 | #16


Аватара для must die

Ветеран


Сообщения: 715
Благодарности: 77

Профиль | Отправить PM | Цитировать

System admin

Может попробуешь использовать Netkey вместо KLIPS - это реализация ipsec встроенная в ядра 2.6.
Если осталось стандартное ядро, попробуй загрузиться в него и попробовать поднять тунель.

-------
Вопреки популярному мнению, Unix - дружелюбная ОС.
Просто так случилось, что она очень избирательна в выборе друзей.

Отправлено: 00:37, 27-03-2007 | #17


Новый участник


Сообщения: 23
Благодарности: 0

Профиль | Отправить PM | Цитировать

must die Нуууу стандартного ядра 2.6 небыло у меня никогда...а что надо сделать чтоб включить этот Netkey ?
Нужен ли для этого Openswan ? И есть ли у тебя какая то понятная ссылка на настройку через Netkey..а то я в этом деле новичок, но очень надо научиться это делать...

Спасиб :-)

Отправлено: 01:47, 27-03-2007 | #18


Аватара для must die

Ветеран


Сообщения: 715
Благодарности: 77

Профиль | Отправить PM | Цитировать

System admin

Какая у тебя система и ядро?

-------
Вопреки популярному мнению, Unix - дружелюбная ОС.
Просто так случилось, что она очень избирательна в выборе друзей.

Отправлено: 09:37, 27-03-2007 | #19


Новый участник


Сообщения: 23
Благодарности: 0

Профиль | Отправить PM | Цитировать

must die Slackware 10.1 и 11.0 ядра скомпилировал из исходников v2.6.15.1
Openswan скачал последний...щас не припомню версию...

Отправлено: 11:22, 27-03-2007 | #20

< Предыдущая 1 2 3 Следующая >


Компьютерный форум OSzone.net » Linux и FreeBSD » Программное обеспечение Linux и FreeBSD » IPSec Помогите разобраться в чем ошибка :-(

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
Debian/Ubuntu - Помогите настроить IPSec J.Rico Общий по Linux 4 10-09-2013 16:51
Помогите разобраться - ошибка 21199 в ISA Server 2004 (VPN configuration) ANR ISA Server / Microsoft Forefront TMG 7 24-02-2009 02:53
MySQL - Помогите разобраться Red Virus Программирование и базы данных 1 04-03-2008 21:39
Ошибка памяти? или чтото другое. Помогите разобраться. USL Microsoft Windows NT/2000/2003 4 22-05-2006 22:07
Помогите разобраться sturmfogel Программирование и базы данных 1 27-01-2003 13:53


« Предыдущая тема | Следующая тема »


 
Переход