IPSec, странного хочется ….

xyeba

хост1 - pfSense 1.2.2
хост2 - Zyxel 2602

требуется с зухеля поднять два туннеля до pfSense

первый туннель: все как обычно, сетка1 <-> сетка2, все успешно подымается и на ура бегает
второй туннель: WAN address(single host) <-> LAN address из сети2

по отдельности (если включать/выключать на пфсенсе) туннели живут - вместе болт

что не так ?

ЗЫ: предвидя вопросы зачем оно нужно, отвечу, на Zyxel 2602 имеются голосовые порты FXS, доступ к которым можно получить только с WAN :-(
ЗЫЫ: подобный изъеб вполне себе работает между циской и зухелем …

Eugene

@xyeba:

хост1 - pfSense 1.2.2
хост2 - Zyxel 2602
второй туннель: WAN address(single host) <-> LAN address из сети2

Т.е. во втором случае LocalSubnet=SingleHost=WAN address on WAN interface?

xyeba

@Eugene:

@xyeba:

хост1 - pfSense 1.2.2
хост2 - Zyxel 2602
второй туннель: WAN address(single host) <-> LAN address из сети2

Т.е. во втором случае LocalSubnet=SingleHost=WAN address on WAN interface?

да но только со стороны Zyxel,
а на pfSense localsubnet=singlehost=HostFromLAN

Eugene

Все SAD & SPD для обоих случаев пожалуйста

xyeba

При "включении" обоих туннелей,
в "Status IPSec" кажет их "зеленым",
фактически при этом подымается только один …

со стороны зухеля в логах:
11/26/2009 17:04:28 !! IKE Negotiation is in process
11/26/2009 17:04:28 Rule [2] Phase 1 hash mismatch
11/26/2009 17:04:27 Recv:[SA][KE][NONCE][ID][HASH]
11/26/2009 17:04:27 Send:[SA][KE][NONCE][ID][VID]
11/26/2009 17:04:26 Send Aggressive Mode request
11/26/2009 17:04:26 Rule [2] Sending IKE request
11/26/2009 16:44:08 Rule [1] Tunnel built successfully
11/26/2009 16:44:08 Adjust TCP MSS to 1390
11/26/2009 16:44:08 Recv:[HASH]
11/26/2009 16:44:08 Send:[HASH][SA][NONCE][KE][ID][ID]

yyy.yyy.yyy.yyy - со стороны зухеля
xxx.xxx.xxx.xxx - соответственно со стороны pfsense

#setket -DP
10.29.116.0/24[any] 10.0.0.0/8[any] any
in ipsec
esp/tunnel/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/unique#18452
spid=5480 seq=22 pid=53574
refcnt=1
10.0.0.0/8[any] 10.29.116.0/24[any] any
out ipsec
esp/tunnel/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/unique#18451
spid=5479 seq=7 pid=53574
refcnt=1
yyy.yyy.yyy.yyy[any] 10.29.1.16[any] any
in ipsec
esp/tunnel/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/unique#18464
spid=5492 seq=16 pid=53574
refcnt=1
10.29.1.16[any] yyy.yyy.yyy.yyy[any] any
out ipsec
esp/tunnel/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/unique#18463
spid=5491 seq=1 pid=53574
refcnt=1

#setkey -D
xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
esp mode=any spi=4100318380(0xf465e4ac) reqid=18451(0x00004813)
E: 3des-cbc  10205b32 37053cba 95623283 4badc2a5 7cfed77b 50f59ee0
A: hmac-sha1  e11d7135 2977081c 851f92b0 04c980eb 212344b9
seq=0x000003bc replay=4 flags=0x00000000 state=mature
created: Nov 25 20:59:44 2009 current: Nov 25 21:11:50 2009
diff: 726(s) hard: 3600(s) soft: 3600(s)
last: Nov 25 21:11:48 2009 hard: 0(s) soft: 0(s)
current: 904024(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 956 hard: 0 soft: 0
sadb_seq=1 pid=54530 refcnt=2
yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx
esp mode=tunnel spi=253230686(0x0f17fe5e) reqid=18452(0x00004814)
E: 3des-cbc  0d182a49 40e5f5a3 ada2235c 9ffc6f31 d1778da6 e5db8f64
A: hmac-sha1  bf0bf2f1 d43907a5 84e64089 17c226e6 92d905d0
seq=0x000002b5 replay=4 flags=0x00000000 state=mature
created: Nov 25 20:59:44 2009 current: Nov 25 21:11:50 2009
diff: 726(s) hard: 3600(s) soft: 3600(s)
last: Nov 25 21:11:48 2009 hard: 0(s) soft: 0(s)
current: 113605(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 693 hard: 0 soft: 0
sadb_seq=0 pid=54530 refcnt=1

Eugene

Моё мнение - не заработает ибо 10.29.1.16/32 принадлежит диапазону 10.0.0.0.8

Если странного всё-таки хочется, то

1. можно попробовать поменять порядок тоннелей - сначала создать с 10.29.1.16, потом с 10.0.0.0/8 - может пролезет
2. надо 10.0.0.8 бить на мелкие диапазоны

xyeba

как обычно отвечу себе сам
в случае если нужно поднять с пфсенса
два туннеля на один Remote gateway
у обоих требуется указывать одинаковый Pre-Shared Key !!!

так как все Pre-Shared Key сохраняются в одном файле /var/etc/psk.txt,
то и авторизовать оба туннеля он пытается по первому вхождению Remote gateway в нем.

скорее это бага чем фича, но вцелом я то что хотел получил.

можно закрывать.

PS: как мне подсказывают товарищи цисководы, оказывается это непреложный факт,
и в таких случаях Pre-Shared Key обязательно должен быть одинаковым …

Eugene

@xyeba:

PS: как мне подсказывают товарищи цисководы, оказывается это непреложный факт,
и в таких случаях Pre-Shared Key обязательно должен быть одинаковым …

Что интересно в книжке написано с точностью до наоборот. Но я могу подтвердить, что несколько тоннелей между двумя сайтами работают с одинаковыми Preshared Key, с разными не пробовал.