Главная » Форум » Gentoo Linux » Системное администрирование

IPsec туннель cisco <-> linux

MVG 6 Августа, 2008 - 15:09

Доброго времени суток!

Господа, помогите советом. Уже все голову сломал, ничего не понимаю :( .
Есть задача - поднять ipsec vpn туннель cisco <-> linux.
Из исходных данных, для cisco и linux есть внешние ip, внутренние ip и ключ.
Cisco уже настроена и я к ней доступа не имею. Установил net-firewall/ipsec-tools-0.6.7, включил все что нужно в ядре.
При попытке поднять туннель, tcpdump показывает прием только одного пакета с удаленной стороны. Туннель не поднимается.
Вот запись в логе racoon:

2008-08-06 14:10:24: DEBUG: resend phase1 packet 8ab103e0fa4dcd49:0000000000000000
2008-08-06 14:10:24: DEBUG: ===
2008-08-06 14:10:24: DEBUG: 92 bytes message received from yyy.yyy.yyy.yyy[500] to xxx.xxx.xxx.xxx[500]
2008-08-06 14:10:24: DEBUG:
8ab103e0 fa4dcd49 d16cfe3d c32cbe55 0b100500 00000000 0000005c 00000040
00000001 0100000e 0d000034 00000001 00000001 832e15b4 833caac8 8002ec50
00000002 83382c40 833caaf0 832e15e4 833caae8 81455758 833caba8
2008-08-06 14:10:24: DEBUG: receive Information.
2008-08-06 14:10:24: ERROR: reject the packet, received unexpecting payload type 0.

Для эксперимента попробовал поднять ipsec vpn между двумя линуксами - все работает нормально.
Подскажите, пожалуйста, в какую сторону копать?

‹ 1C 8.1 and >=PostgreSQL 8.3 [solved] отправка почты ›
»

Без настроек

Автор winterheart, дата создания 6 Августа, 2008 - 16:07.

Без настроек Cisco сказать ничего нельзя.
По всей видимости, не согласованы протоколы первой фазы - алгоритмы шифрования и группа DH. Возможно, неверно указаны внешние айпишники там и тут.
_______________________
From Siberia with Love!

»

Получил кусог

Автор MVG, дата создания 6 Августа, 2008 - 16:47.

Получил кусог лога cisco:

*Mar  4 19:19:47.283: ISAKMP:(0): local preshared key found
*Mar  4 19:19:47.283: ISAKMP : Scanning profiles for xauth ...
*Mar  4 19:19:47.283: ISAKMP:(0):Checking ISAKMP transform 1 against priority 10
policy
*Mar  4 19:19:47.283: ISAKMP:      life type in seconds
*Mar  4 19:19:47.283: ISAKMP:      life duration (basic) of 120
*Mar  4 19:19:47.283: ISAKMP:      encryption 3DES-CBC
*Mar  4 19:19:47.283: ISAKMP:      auth pre-share
*Mar  4 19:19:47.283: ISAKMP:      hash SHA
*Mar  4 19:19:47.283: ISAKMP:      default group 2
*Mar  4 19:19:47.283: ISAKMP:(0):Encryption algorithm offered does not match pol
icy!
*Mar  4 19:19:47.283: ISAKMP:(0):atts are not acceptable. Next payload is 0
»

Так и есть, не

Автор winterheart, дата создания 6 Августа, 2008 - 16:58.

Так и есть, не согласованы протоколы. Не могу разобраться, то ли в логе ожидаемые настройки, то ли полученные. Вообщем, на данный момент на одном из сторон такие настройки: 3DES-SHA-DH2. И нужно, чтобы и на другом узле было то же самое. Нужны настройки циски.
Но это еще не все. После успешной первой фазы будет вторая, и там тоже алгоритмы должны совпадать.
_______________________
From Siberia with Love!

»

Ну впринципе

Автор Storm, дата создания 6 Августа, 2008 - 17:01.

Ну впринципе можно у ракуна дебаг подробный врубить, может быть циска будет сообщать свои доступные пэйлоады.

»

Судя по всему,

Автор MVG, дата создания 7 Августа, 2008 - 14:40.

Судя по всему, это настройки на моей стороне.
Вот мой racoon.conf:

path pre_shared_key "/etc/racoon/psk.txt";

padding {
            maximum_length 20;      # maximum padding length.
            randomize off;          # enable randomize length.
            strict_check off;       # enable strict check.
            exclusive_tail off;     # extract last one octet.
}

listen {
            isakmp xxx.xxx.xxx.xxx [500];
}

remote anonymous {
                exchange_mode main,aggressive;
                doi ipsec_doi;
                situation identity_only;

                my_identifier address xxx.xxx.xxx.xxx;

                nonce_size 16;
                lifetime time 2 min;   # sec,min,hour
                initial_contact on;
                proposal_check obey;    # obey, strict or claim

        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2 ;
        }
}

sainfo  anonymous {
#       pfs_group 1;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate ;
}

log debug;

Админ со стороны cisco обещал скинуть мне свои настройки. Как только он это сделает, я их обязательно выложу.
Могу выложить полный подробный лог ракуна, но не знаю, на сколько безопасно светить реальные ip адреса.

Если это о чем-то говорит - на удаленной стороне стоит cisco 1700 серии.

»

IP прикрой.

Автор Storm, дата создания 7 Августа, 2008 - 15:36.

IP прикрой. Настройки должны полностью совпадать с обоих сторон.

»

Получил

Автор MVG, дата создания 7 Августа, 2008 - 16:18.

Получил настройки cisco.
Здесь xxx.xxx.xxx.xxx - мой внешний ip, yyy.yyy.yyy.yyy - внешний ip cisco.

crypto isakmp policy 10
authentication pre-share
crypto isakmp key SuperPuperKey_:) address xxx.xxx.xxx.xxx
!
!
crypto ipsec transform-set secure ah-sha-hmac esp-3des esp-sha-hmac
mode transport
!
crypto map gre 20000 ipsec-isakmp
set peer xxx.xxx.xxx.xxx
set transform-set secure
match address ipsec_rostov_taganrog
!
interface Tunnel20000
description virtual sklad for taganrog
ip address 172.20.0.1 255.255.255.252
ip mtu 1440
tunnel source FastEthernet0/1
tunnel destination xxx.xxx.xxx.xxx
!
!
interface FastEthernet0/1
description Link to WAN
crypto map gre
!
ip access-list extended  ipsec_rostov_taganrog
permit gre host yyy.yyy.yyy.yyy hostxxx.xxx.xxx.xxx
ip access-list extended lan
»

А ну-ка сделай IP

Автор winterheart, дата создания 7 Августа, 2008 - 21:24.

А ну-ка сделай IP осмысленными, нарисуй какие-нибудь цифры для обоих конфигов.
_______________________
From Siberia with Love!

»

Так

Автор MVG, дата создания 8 Августа, 2008 - 10:36.

Так пойдет?

Cicso:

crypto isakmp policy 10
authentication pre-share
crypto isakmp key SuperPuperKey_:) address 111.111.111.111
!
!
crypto ipsec transform-set secure ah-sha-hmac esp-3des esp-sha-hmac
mode transport
!
crypto map gre 20000 ipsec-isakmp
set peer 111.111.111.111
set transform-set secure
match address ipsec_rostov_taganrog
!
interface Tunnel20000
description virtual sklad for taganrog
ip address 172.20.0.1 255.255.255.252
ip mtu 1440
tunnel source FastEthernet0/1
tunnel destination 111.111.111.111
!
!
interface FastEthernet0/1
description Link to WAN
crypto map gre
!
ip access-list extended  ipsec_rostov_taganrog
permit gre host 222.222.222.222 host111.111.111.111
ip access-list extended lan

racoon.conf:

path pre_shared_key "/etc/racoon/psk.txt";

padding {
            maximum_length 20;      # maximum padding length.
            randomize off;          # enable randomize length.
            strict_check off;       # enable strict check.
            exclusive_tail off;     # extract last one octet.
}

listen {
            isakmp 111.111.111.111 [500];
}

remote anonymous {
                exchange_mode main,aggressive;
                doi ipsec_doi;
                situation identity_only;

                my_identifier address 172.20.0.2;

                nonce_size 16;
                lifetime time 2 min;   # sec,min,hour
                initial_contact on;
                proposal_check obey;    # obey, strict or claim

        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2 ;
        }
}

sainfo  anonymous {
#       pfs_group 1;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate ;
}

log debug;
»

ммм

Автор winterheart, дата создания 8 Августа, 2008 - 13:34.
MVG написал(а):
Так пойдет?
Cicso:

...
crypto ipsec transform-set secure ah-sha-hmac esp-3des esp-sha-hmac

racoon.conf:

...
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2 ;
        }
...

По моему дело здесь. В Циске стоит ah-sha-hmac, а в Gentoo esp-sha-hmac. Попробуй убрать в Циске ah-sha-hmac. И еще я не вижу setkey.conf, ошибок там ненаделано?
_______________________
From Siberia with Love!

»

Содержимое

Автор MVG, дата создания 8 Августа, 2008 - 14:10.

Содержимое ipsec.conf:

#!/usr/sbin/setkey -f

# Flush the SAD and SPD
flush;
spdflush;

spdadd 172.20.0.2 172.20.0.1 any -P out ipsec esp/tunnel/111.111.111.111-222.222.222.222/require;
spdadd 172.20.0.1 172.20.0.2 any -P in ipsec esp/tunnel/222.222.222.222-111.111.111.111/require;

Попросил убрать ah-sha-hmac на cisco. Как сделают - отпишу.
Накопал еще одну интересную вещь - у меня стоит dh_group 2 (номер группы для выбора динамически создаваемых ключей сеанса, длина группы 1042бит) а вот на cisco похоже было group 1. Изменили на 2 - не помогло.

»

Да вот кстати

Автор winterheart, дата создания 8 Августа, 2008 - 14:40.

Да вот кстати про pfs у циски ни слова. Группа DH - это группа Диффи-Хеллмана :). Должно быть объявление группы как
crypto map <блабла> set pfs group2

_______________________
From Siberia with Love!

»

pfs_group - это же

Автор MVG, дата создания 8 Августа, 2008 - 14:51.

pfs_group - это же настройка для фазы 2, или я ошибаюсь? Пока бьюсь с только с фазой 1.
Мне вот что интересно - от меня пакет уходит длиной 100 байт. А приходит :

2008-08-06 14:10:24: DEBUG: 92 bytes message received from 222.222.222.222[500] to 111.111.111.111[500]

А когда с другим линуксом вяжусь - ответ тоже длиной 100 баит.
Это ни о чем не говорит?

»

нет, pfs_group - это

Автор winterheart, дата создания 8 Августа, 2008 - 15:00.

нет, pfs_group - это первая фаза. Для второй фазы, если не ошибаюсь -
isakmp policy <циферка> group 2
Разницка длины пакетов - без понятия, мне так думается, она получается из-за разных протоколов первой фазы.
Что ракун пишет вообще на первой фазе?

_______________________
From Siberia with Love!

»

В первом посте

Автор MVG, дата создания 8 Августа, 2008 - 16:02.

В первом посте кусок лога. Больше ничего толкового нет. Дальше только несколько попыток повтора и отвал по таймауту.

»

isakmp - первая

Автор Storm, дата создания 8 Августа, 2008 - 16:51.

isakmp - первая фаза

Цитата:
#!/usr/sbin/setkey -f

# Flush the SAD and SPD
flush;
spdflush;

spdadd 172.20.0.2 172.20.0.1 any -P out ipsec esp/tunnel/111.111.111.111-222.222.222.222/require;
spdadd 172.20.0.1 172.20.0.2 any -P in ipsec esp/tunnel/222.222.222.222-111.111.111.111/require;

Тут нету преобразования AH, только ESP.

»

Итак, есть

Автор MVG, дата создания 8 Августа, 2008 - 17:02.

Итак, есть прогресс.

        proposal {
                encryption_algorithm des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2 ;
        }

Вот так прошла фаза1. Непонятно, вроде удаленная сторона в 3des настроена.
Копаю дальше:

2008-08-08 16:54:58: DEBUG: hash validated.
2008-08-08 16:54:58: DEBUG: begin.
2008-08-08 16:54:58: DEBUG: seen nptype=8(hash)
2008-08-08 16:54:58: DEBUG: seen nptype=11(notify)
2008-08-08 16:54:58: DEBUG: succeed.
2008-08-08 16:54:58: ERROR: unknown notify message, no phase2 handle found.
2008-08-08 16:54:58: DEBUG: notification message 14:NO-PROPOSAL-CHOSEN, doi=1 proto_id=3 spi=05fa6dfb(size=4).
»

Вот кусок лога

Автор MVG, дата создания 8 Августа, 2008 - 17:38.

Вот кусок лога cisco:

*Mar  6 21:17:17.687: ISAKMP:(1010):Checking IPSec proposal 1
*Mar  6 21:17:17.687: ISAKMP: transform 1, ESP_3DES
*Mar  6 21:17:17.687: ISAKMP:   attributes in transform:
*Mar  6 21:17:17.687: ISAKMP:      SA life type in seconds
*Mar  6 21:17:17.687: ISAKMP:      SA life duration (basic) of 28800
*Mar  6 21:17:17.687: ISAKMP:      encaps is 1 (Tunnel)
*Mar  6 21:17:17.687: ISAKMP:      authenticator is HMAC-SHA
*Mar  6 21:17:17.687: ISAKMP:      group is 2
*Mar  6 21:17:17.687: ISAKMP:(1010):atts are acceptable.
*Mar  6 21:17:17.687: IPSEC(validate_proposal_request): proposal part #1
*Mar  6 21:17:17.687: IPSEC(validate_proposal_request): proposal part #1,
 (key eng. msg.) INBOUND local= 222.222.222.222, remote= 111.111.111.111,
   local_proxy= 172.20.0.1/255.255.255.255/0/0 (type=1),
   remote_proxy= 172.20.0.2/255.255.255.255/0/0 (type=1),
   protocol= ESP, transform= esp-3des esp-sha-hmac  (Tunnel),
   lifedur= 0s and 0kb,
   spi= 0x0(0), conn_id= 0, keysize= 0, flags= 0x0
*Mar  6 21:17:17.691: IPSEC(crypto_ipsec_process_proposal): no IPSEC cryptomap exists for local address 222.222.222.222
*Mar  6 21:17:17.691: ISAKMP:(1010): IPSec policy invalidated proposal
*Mar  6 21:17:17.691: ISAKMP:(1010): phase 2 SA policy not acceptable! (local 222.222.222.222 remote 111.111.111.111)
»

точно такая же

Автор random73 (не зарегистрирован), дата создания 16 сентября, 2008 - 13:09.

точно такая же проблема.
копаюсь уже неделю... очень надо.
ни кто не решил ещё праблу?

»

Мне так и не

Автор MVG, дата создания 19 сентября, 2008 - 07:37.

Мне так и не удалось побороть эту проблему :( . Практически на сто процентов уверен, что все упирается в настройки cisco. Если бы была сама железяка под рукой, можно было бы попробовать поэкспериментировать. Но она на удаленной стороне, а местный админ не особо горел желанием. Все закончилось тем, что нам прислали еще одну настроенную кошку и повесили на отдельный канал провайдера.

»

Было и такое

Автор Гость, дата создания 20 июля, 2009 - 20:56.

Пусть на кошке поставят транспортный режим

»

на СISCO сделайте в

Автор Гость, дата создания 20 Августа, 2009 - 16:10.

на СISCO сделайте в криптомапе
set pfc group1

»

Настройки просмотра комментариев

Выберите нужный метод показа комментариев и нажмите "Сохранить установки".