Подскажите пожалуйста про ipsec. (РЕШЕНО)

zar0ku1

@dvserg:

ВПН от отделений к головному офису, топология звезда.
http://old.nabble.com/ipsec-%D0%B7%D0%B2%D0%B5%D0%B7%D0%B4%D0%BE%D0%B9-td27323873.html

если трафик халявный и широкий от главного до вторичных - поддерживаю, самая простая схема

xtc

Спасибо, сейчас почитаю.
Трафик внутригородской не лимитированный до 100Мбит.

xtc

Получилось запустить Звезду, все работает Замечательно с PFSens'ами.
Но есть одна проблема которую не могу понять.

Головной сервер - FreeBSD 7.2 на нам поднимаются IPSec'и до других роутеров в офисах.
в офисах где стоят PFSens'ы все устанавливается и работает замечательно, а вот где стоят MonoWall'ы там не устанавливается соединение, не ошибок и не чего не пишет (каналы открыты без ограничений, все пакеты ходят).

Пробовал за место головного сервера поставить PFSense и он без проблем устанавливает соединения как с MonoWall'ами так и с другими PFSens'ами. Смотрел уже конфиги на PFSense делал такиеже на сервере ФриБСД, все равно не устанавливаются соединения с Моноволами.
Может есть у кого какии идеи с чем может быть это связано? чего не хватать может на сервере ФриБСД, уже вроде даже изменил sysctl.conf на такойже как в PFSense.

Что нужно еще поглядеть, подскажите. т.к. PFSense соединяется и с моноволами, но долго перед этим думает, может сразу соединиться а может через час. А вот ФриБСД не хочет с ними устанавливать соединение ни в какую.

Заранее спасибо!

deutsche

какая-то у вас занятная зоология получается!
может стоит привести весь свой зоопарк к какому-то общему знаменателю для простоты поддержки?

dvserg

Есть суслиг? (syslog)

xtc

@deutsche:

какая-то у вас занятная зоология получается!
может стоит привести весь свой зоопарк к какому-то общему знаменателю для простоты поддержки?

Да собираемся перевести везде все на PFSense, но просто коегде пока стоят совсем старенькие машинки, и PFSense они не потянут (

В центральном офисе стоит БСД так как там используются не только как маршрутизатор но и Апач, сервер, ФТП и так далее.

в скором времени все приведем к одному. Но просто интересно почему так получается -(

xtc

@dvserg:

Есть суслиг? (syslog)

Есть,

Вот Моновол
Feb 26 13:15:02 racoon: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
Feb 26 13:15:02 racoon: INFO: @(#)This product linked OpenSSL 0.9.7d-p1 17 Mar 2004 (http://www.openssl.org/)
Feb 26 13:15:02 racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=7)
Feb 26 13:15:02 racoon: INFO: ххх.ххх.ххх.157[500] used as isakmp port (fd=8)
Feb 26 13:15:02 racoon: INFO: 192.168.116.1[500] used as isakmp port (fd=9)

Вот PFSense
Feb 26 13:16:30 racoon: INFO: @(#)ipsec-tools 0.7.2 (http://ipsec-tools.sourceforge.net)
Feb 26 13:16:30 racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
Feb 26 13:16:30 racoon: INFO: Reading configuration from "/var/etc/racoon.conf"
Feb 26 13:16:30 racoon: [Self]: INFO: ууу.ууу.ууу.11[500] used as isakmp port (fd=14)
Feb 26 13:16:30 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=15)
Feb 26 13:16:30 racoon: [Self]: INFO: 192.168.100.1[500] used as isakmp port (fd=16)
Feb 26 13:16:30 racoon: INFO: unsupported PF_KEY message REGISTER
Feb 26 13:20:23 racoon: []: INFO: IPsec-SA request for ууу.ууу.ууу.126 queued due to no phase1 found.
Feb 26 13:20:23 racoon: []: INFO: initiate new phase 1 negotiation: ууу.ууу.ууу.11[500]<=>ууу.ууу.ууу.126[500]
Feb 26 13:20:23 racoon: INFO: begin Aggressive mode.
Feb 26 13:20:23 racoon: INFO: received broken Microsoft ID: FRAGMENTATION
Feb 26 13:20:23 racoon: INFO: received Vendor ID: DPD
Feb 26 13:20:23 racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
Feb 26 13:20:23 racoon: []: INFO: ISAKMP-SA established ууу.ууу.ууу.11[500]-ууу.ууу.ууу.126[500] spi:1621938b2ba7a236:aae5b5b41448de83
Feb 26 13:20:24 racoon: []: INFO: initiate new phase 2 negotiation: ууу.ууу.ууу.11[500]<=>ууу.ууу.ууу.126[500]
Feb 26 13:20:24 racoon: []: INFO: IPsec-SA established: ESP ууу.ууу.ууу.126[0]->ууу.ууу.ууу.11[0] spi=20220909(0x1348bed)
Feb 26 13:20:24 racoon: []: INFO: IPsec-SA established: ESP ууу.ууу.ууу.11[0]->ууу.ууу.ууу.126[0] spi=35305564(0x21ab85c)

Вот БСД
2010-02-26 13:17:01: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
2010-02-26 13:17:01: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/)
2010-02-26 13:17:01: INFO: Reading configuration from "/usr/local/etc/racoon/racoon.conf"
2010-02-26 13:17:02: INFO: ххх.ххх.ххх.6[500] used as isakmp port (fd=5)
2010-02-26 13:17:02: INFO: уу.ууу.ууу.126[500] used as isakmp port (fd=6)
2010-02-26 13:19:43: INFO: respond new phase 1 negotiation: ууу.ууу.ууу.126[500]<=>ууу.ууу.ууу.11[500]
2010-02-26 13:19:43: INFO: begin Aggressive mode.
2010-02-26 13:19:43: INFO: received broken Microsoft ID: FRAGMENTATION
2010-02-26 13:19:43: INFO: received Vendor ID: DPD
2010-02-26 13:19:43: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
2010-02-26 13:19:43: INFO: ISAKMP-SA established ууу.ууу.ууу.126[500]-ууу.ууу.ууу.11[500] spi:1621938b2ba7a236:aae5b5b41448de83
2010-02-26 13:19:44: INFO: respond new phase 2 negotiation: ууу.ууу.ууу.126[0]<=>ууу.ууу.ууу.11[0]
2010-02-26 13:19:44: INFO: IPsec-SA established: ESP/Tunnel ууу.ууу.ууу.11[0]->ууу.ууу.ууу.126[0] spi=35305564(0x21ab85c)
2010-02-26 13:19:44: INFO: IPsec-SA established: ESP/Tunnel ууу.ууу.ууу.126[0]->ууу.ууу.ууу.11[0] spi=20220909(0x1348bed)

Причом в PFSens'ском логе есть такая строчка
Feb 26 13:20:23 racoon: []: INFO: initiate new phase 1 negotiation: ууу.ууу.ууу.11[500]<=>ууу.ууу.ууу.126[500]

Вот я думаю это PFSEnse инициирует новую фазу, хотя конфиг ракуна там один в один что на БСД.
за исключением вот этого в PFSense

listen {
       adminsock "/var/db/racoon/racoon.sock" "root" "wheel" 0660;
}

Ну это ведь отвечает за то, на каких IP мы будем слушать.

pfsense -> sockstat | grep racoon

sockstat | grep racoon

root     racoon     23560 9  stream /tmp/php-fastcgi.socket-3
root     racoon     23560 10 dgram  -> /var/run/logpriv
root     racoon     23560 12 stream /var/db/racoon/racoon.sock
root     racoon     23560 14 udp4   127.0.0.1:500         :
root     racoon     23560 15 udp4   ууу.ууу.ууу.11:500           :
root     racoon     23560 16 udp4   192.168.100.1:500      :

xtc

Вот что нашел
Соединение может быть инициировано простым пингом

а на PFSense как раз через кронтаб делается просто пинг

vi /tmp/tmpHOSTS

192.168.15.1|192.168.200.1|3
192.168.15.1|10.10.10.1|3

и судя по описанию файла  /usr/local/bin/ping_hosts.sh

Format of file should be deliminted by |

#  Field 1:  Source ip
#  Field 2:  Destination ip
#  Field 3:  Ping count
#  Field 4:  Script to run when service is down
#  Field 5:  Script to run once service is restored
#  Field 6:  Ping time threshold
#  Field 7:  Wan ping time threshold

и действия для пинга у IPSeca ни какого нет просто тупой пинг. Неужели при простом пинги инициируется поднятие соединения?

xtc

Да так и есть,  простым пингом вызывается инициация соединения, вот почему на PFSense в фйале /tmp/tmpHOSTS нет 4-й записи для запуска при неудачном пинге.

Просто выполнил ping  с основного сервера до моноволов, и тут же везде стали подыматься IPSEC соединения.  остается себе в крон добавтть подобное что и на PFSense.

Спасибо большое всем за помощь.

Eugene

@xtc:

Неужели при простом пинги инициируется поднятие соединения?

IPSec tunnel поднимается при любом "интересном" трафике. Интересным является любой пакет с source и destination IP, принадлежащими данному IPSec тоннелю.

xtc

@Eugene:

@xtc:

Неужели при простом пинги инициируется поднятие соединения?

IPSec tunnel поднимается при любом "интересном" трафике. Интересным является любой пакет с source и destination IP, принадлежащими данному IPSec тоннелю.

Спасибо большое.