|
Компьютерный форум OSzone.net » Linux и FreeBSD » Программное обеспечение Linux и FreeBSD » IPSec Помогите разобраться в чем ошибка :-( |
|
IPSec Помогите разобраться в чем ошибка :-(
|
Новый участник Сообщения: 23 |
Профиль | Отправить PM | Цитировать Здравствуйте...есть задача связать 2 сети..чтоб безопасно было и свободно можно было получить доступ с любой машины одной сети на любую машину другой.
Я выбрал для этого IPSec пакет. Делал по инструкции http://www.opennet.ru/base/net/ipsec...howto.txt.html Вячеслава Худакова. На обеих маршрутизаторах поставил ядра 2.6.х.х всё пропатчилось..хорошо скомпилилось и стало на свои места Но при попытке запустить ipsec, відаётся такая вот ошибка ipsec_setup: (/etc/ipsec.conf, line 19) parameter is not within a section -- `--start' aborted Файл конфигурации такой: # /etc/ipsec.conf - Openswan IPsec configuration file # RCSID $Id: ipsec.conf.in,v 1.15.2.6 2006/10/19 03:49:46 paul Exp $ # This file: /usr/local/share/doc/openswan/ipsec.conf-sample # Manual: ipsec.conf.5 version 2.0 # conforms to second version of ipsec.conf specification # basic configuration config setup forwardcontrol=yes klipsdebug=none nat_traversal=yes plutodebug=none nhelpers=0 # Add connections here conn antey-network # left side of network left=реал ip шлюза 1 leftid=@grandgw.grand.loc leftsubnet=192.168.1.0/24 leftrsasigkey=....ключи сгенерились нормально leftnexthop=чfaultroute # right side of network right=реал ip шлюза 2 rightid=@anteygw.antey.net rightsubnet=192.168.0.0/24 rightrsasigkey= rightnexthop=чfaultroute auto=add #Disable Opportunistic Encryption #include /etc/ipsec.d/examples/no_oe.conf разделение - табуляцией команда ipsec verify выдаёт такие результаты Checking your system to see if IPsec got installed and started correctly: Version check and ipsec on-path [OK] Linux Openswan cvs2002Mar11_15:19:03 (klips) Checking for IPsec support in kernel [OK] Checking for RSA private key (/etc/ipsec.secrets) [OK] Checking that pluto is running [FAILED] whack: Pluto is not running (no "/var/run/pluto/pluto.ctl") Two or more interfaces found, checking IP forwarding [FAILED] whack: Pluto is not running (no "/var/run/pluto/pluto.ctl") Checking NAT and MASQUERADEing Checking for 'ip' command [OK] Checking for 'iptables' command [OK] Opportunistic Encryption DNS checks: Looking for TXT in forward dns zone: grandgw [MISSING] Does the machine have at least one non-private address? [OK] Looking for TXT in reverse dns zone: 182.94.138.195.in-addr.arpa. [MISSING] Если подставить тестовый конфиг include /etc/ipsec.d/examples/no_oe.conf то "Pluto" запускается нормально и создаётся интерфейс ipsec0, т.е. как бы всё впорядке в чём может быть трабл ?? всё до буквы проверил в конфиге..всё как по описанию... Спасиб.. |
|
Отправлено: 23:44, 22-03-2007 |
Новый участник Сообщения: 23
|
Профиль | Отправить PM | Цитировать must die Перекопал весь Firewall, не пашет :-(
Я уже не знаю чё делать.....не знаешь ? Есть какие то другие пакеты для создания шифрованных туннелей такого же типа.... ? |
Отправлено: 19:56, 24-03-2007 | #11 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 715
|
Профиль | Отправить PM | Цитировать Цитата:
Если так тогда tcpdump или iptraf в руки и смотреть что там и куда ходит. |
|
------- Отправлено: 15:41, 25-03-2007 | #12 |
Новый участник Сообщения: 23
|
Профиль | Отправить PM | Цитировать must die Я таки добился хождения пакетов из одной сетки в другую..
Но ошибка осталась :-( root@grandgw:~# ipsec verify Checking your system to see if IPsec got installed and started correctly: Version check and ipsec on-path [OK] Linux Openswan cvs2002Mar11_15:19:03 (klips) Checking for IPsec support in kernel [OK] Checking for RSA private key (/etc/ipsec.secrets) [OK] Checking that pluto is running [OK] Two or more interfaces found, checking IP forwarding [OK] Checking NAT and MASQUERADEing Checking tun0x1002@89.209.82.10 from 192.168.1.0/24 to 192.168.0.0/24 [FAILED] MASQUERADE from 192.168.1.0/24 to 0.0.0.0/0 kills tunnel 192.168.1.0/24 -> 192 .168.0.0/24 Checking for 'ip' command [OK] Checking for 'iptables' command [OK] Opportunistic Encryption DNS checks: Looking for TXT in forward dns zone: grandgw [MISSING] Does the machine have at least one non-private address? [OK] Looking for TXT in reverse dns zone: 182.94.138.195.in-addr.arpa. [MISSING ] И насколько я понял по пингу...пакеты не шифруются :-(( root@anteygw:~# tcpdump -i ipsec0 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on ipsec0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes 21:01:30.871088 IP 192.168.1.1 > 192.168.0.191: ICMP echo request, id 512, seq 37480, length 40 21:01:30.871406 IP 192.168.0.191 > 192.168.1.1: ICMP echo reply, id 512, seq 37480, length 40 21:01:31.865940 IP 192.168.1.1 > 192.168.0.191: ICMP echo request, id 512, seq 37992, length 40 21:01:31.866327 IP 192.168.0.191 > 192.168.1.1: ICMP echo reply, id 512, seq 37992, length 40 root@anteygw:~# tcpdump -i ipsec0 -vv tcpdump: listening on ipsec0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes 20:59:33.655635 IP (tos 0x0, ttl 127, id 4592, offset 0, flags [none], proto: ICMP (1), length: 60) 192.168.1.1 > 192.168.0.191: ICMP echo request, id 512, seq 36967, length 40 20:59:33.656023 IP (tos 0x0, ttl 127, id 9017, offset 0, flags [none], proto: ICMP (1), length: 60) 192.168.0.191 > 192.168.1.1: ICMP echo reply, id 512, seq 36967, length 40 Есть у тебя какие то еще соображения по этому поводу ? Если тебе моя проблема еще не надоела.... :-/ Спасиб... :-) |
Отправлено: 20:02, 25-03-2007 | #13 |
Ветеран Сообщения: 715
|
Профиль | Отправить PM | Цитировать Цитата:
|
|
------- Отправлено: 10:03, 26-03-2007 | #14 |
Новый участник Сообщения: 23
|
Профиль | Отправить PM | Цитировать must die Честно, звучит глупо..но не знаю :-(
Просто заработало и работает до сих пор.... Таке не могу понять почему появляется ошибка Маскарадинга, ведь я исключил сеть получателя из Маскарад-листа... Ошибка полностью пропадает если из правил iptables убрать строку iptables -A POSTROUTING -t nat -s 192.168.1.0/24 -d! 192.168.0.0/24 -j MASQUERADE, тогда ошибка пропадает.. пакеты ходят также само - нешифроваными :-( Ну и, соответственно пропадает инет на машинах..... Просканил порты..пакеты не ходят 500ый портТочнее ходят..но только в момент соединения и проверки ключей. Читал разные Траблшутинги в доках по Openswan, мои ошибки там не описаны... :-( |
Последний раз редактировалось System admin, 26-03-2007 в 19:26. Отправлено: 19:18, 26-03-2007 | #15 |
Новый участник Сообщения: 23
|
Профиль | Отправить PM | Цитировать must die Вот еще что заметил только недавно...при загрузке ядра...в логах почитал такие сообщения :
Mar 26 02:21:23 anteygw kernel: klips_info:ipsec_init: KLIPS startup, Openswan KLIPS IPsec stack version: cvs2002Mar12_02:19:03 Mar 26 02:21:23 anteygw kernel: NET: Registered protocol family 15 Mar 26 02:21:23 anteygw kernel: klips_info:ipsec_alg_init: KLIPS alg v=0.8.1-0 (EALG_MAX=255, AALG_MAX=251) Mar 26 02:21:23 anteygw kernel: klips_info:ipsec_alg_init: calling ipsec_alg_static_init() Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=12 name=aes keyminbits=128 keymaxbits=256, found(0) Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=253 name=twofish keyminbits=128 keymaxbits=256, found(0) Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=252 name=serpent keyminbits=128 keymaxbits=256, found(0) Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=6 name=cast5 keyminbits=128 keymaxbits=128, found(0) Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=7 name=blowfish keyminbits=96 keymaxbits=448, found(0) Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=3 name=des3_ede keyminbits=192 keymaxbits=192, found(0) Mar 26 02:21:23 anteygw kernel: KLIPS cryptoapi interface: alg_type=15 alg_id=2 name=des keyminbits=64 keymaxbits=64, found(0) Mar 26 02:21:23 anteygw kernel: IPv4 over IPv4 tunneling driver Mar 26 02:21:23 anteygw kernel: GRE over IPv4 tunneling driver Mar 26 02:21:23 anteygw kernel: ip ah init: can't add protocol --------я так понимаю по этому может и не быть шифрования :-(----------- Mar 26 02:21:23 anteygw kernel: ip esp init: can't add protocol --------------------------------------------------------------------------------------------- Что может быть ? |
Отправлено: 22:40, 26-03-2007 | #16 |
Ветеран Сообщения: 715
|
Профиль | Отправить PM | Цитировать System admin
Может попробуешь использовать Netkey вместо KLIPS - это реализация ipsec встроенная в ядра 2.6. Если осталось стандартное ядро, попробуй загрузиться в него и попробовать поднять тунель. |
------- Отправлено: 00:37, 27-03-2007 | #17 |
Новый участник Сообщения: 23
|
Профиль | Отправить PM | Цитировать must die Нуууу стандартного ядра 2.6 небыло у меня никогда...а что надо сделать чтоб включить этот Netkey ?
Нужен ли для этого Openswan ? И есть ли у тебя какая то понятная ссылка на настройку через Netkey..а то я в этом деле новичок, но очень надо научиться это делать... Спасиб :-) |
Отправлено: 01:47, 27-03-2007 | #18 |
Ветеран Сообщения: 715
|
Профиль | Отправить PM | Цитировать System admin
Какая у тебя система и ядро? |
------- Отправлено: 09:37, 27-03-2007 | #19 |
Новый участник Сообщения: 23
|
Профиль | Отправить PM | Цитировать must die Slackware 10.1 и 11.0 ядра скомпилировал из исходников v2.6.15.1
Openswan скачал последний...щас не припомню версию... |
Отправлено: 11:22, 27-03-2007 | #20 |
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
Debian/Ubuntu - Помогите настроить IPSec | J.Rico | Общий по Linux | 4 | 10-09-2013 16:51 | |
Помогите разобраться - ошибка 21199 в ISA Server 2004 (VPN configuration) | ANR | ISA Server / Microsoft Forefront TMG | 7 | 24-02-2009 02:53 | |
MySQL - Помогите разобраться | Red Virus | Программирование и базы данных | 1 | 04-03-2008 21:39 | |
Ошибка памяти? или чтото другое. Помогите разобраться. | USL | Microsoft Windows NT/2000/2003 | 4 | 22-05-2006 22:07 | |
Помогите разобраться | sturmfogel | Программирование и базы данных | 1 | 27-01-2003 13:53 |
|