[Sysadmins] ipsec

Patlasov YuriI y.patlasov на gmail.com
Чт Июл 21 07:59:15 UTC 2011 

21.07.2011 8:55, Dmitriy Kruglikov пишет:
>> но ipsec прикрутить не в какую.
> Потому что не "не в какую", а "ни в какую"...
> ;)
>
> А в чем проблема-то?
>
>> Почему выбрано именно это протокол.
>> pptp - протокол из-за очень хороших провайдеров не всегда подымается.
>> openVPN - для Винды нужно ставить клиент.
>> L2tp с ipsec - только остается.
> Так и для IPSec у меня клиент получается...
> Но OpenVPN попроще будет...
>
> да попроще . Когда linux клиенту работает на ура. Когда настраевал и понял все её кухни. Сейчас доволен.

Что имеем инет шлюз на alt linux.
1) Ядро  2.6.32-un-def-alt16
2) Вход два провайдера выход одна сетка. Маршрутизация настроена правильно.
3) В iptables 500 и 4500 порты открыты. GRE пакеты тоже открыты. 1701 
порт для xl2tpd тоже открыт.
Теперь про racoon:
Конфиг минимальный.
             При запуске выдает:
                  racoon: ERROR: racoon: MLS support is not enabled.
         Что за ошибка и как от неё избавиться не нашел!!! Может не там 
искал ??? подскажите где???

Авторизация идет по предварительный ключам по IP.  Anonymius  - пока не 
получилось (главное пока поднять VPN)

При авторизации вот такой лог:
Jul 21 10:45:46 ya01 racoon: ERROR: invalid DH group 20.
Jul 21 10:45:46 ya01 racoon: ERROR: invalid DH group 19.
Jul 21 10:45:46 ya01 racoon: phase1(ident R msg1): 0.011274
Jul 21 10:45:46 ya01 racoon: INFO: Hashing 11.111.111.111[500] with algo #2
Jul 21 10:45:46 ya01 racoon: INFO: NAT-D payload #0 verified
Jul 21 10:45:46 ya01 racoon: INFO: Hashing 22.222.222.222[500] with algo #2
Jul 21 10:45:46 ya01 racoon: INFO: NAT-D payload #1 doesn't match
Jul 21 10:45:46 ya01 racoon: INFO: NAT detected: PEER
Jul 21 10:45:46 ya01 racoon: oakley_dh_generate(MODP1024): 0.011265
Jul 21 10:45:46 ya01 racoon: INFO: Hashing 22.222.222.222[500] with algo #2
Jul 21 10:45:46 ya01 racoon: INFO: Hashing 11.111.111.111[500] with algo #2
Jul 21 10:45:46 ya01 racoon: INFO: Adding remote and local NAT-D payloads.
Jul 21 10:45:46 ya01 racoon: oakley_dh_compute(MODP1024): 0.013252
Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=64): 
0.000024
Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=145): 
0.000009
Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=165): 
0.000008
Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=165): 
0.000008
Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=1): 
0.000008
Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=20): 
0.000008
Jul 21 10:45:46 ya01 racoon: phase1(ident R msg2): 0.028991
Jul 21 10:45:46 ya01 racoon: INFO: NAT-T: ports changed to: 
22.222.222.222[4500]<->11.111.111.111[4500]
Jul 21 10:45:46 ya01 racoon: INFO: KA list add: 
11.111.111.111[4500]->22.222.222.222[4500]
Jul 21 10:45:46 ya01 racoon: alg_oakley_encdef_decrypt(3des klen=192 
size=40): 0.000043
Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=488): 
0.000012
Jul 21 10:45:46 ya01 racoon: oakley_validate_auth(pre-shared key): 0.000776
Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=488): 
0.000011
Jul 21 10:45:46 ya01 racoon: alg_oakley_encdef_encrypt(3des klen=192 
size=40): 0.000010
Jul 21 10:45:46 ya01 racoon: phase1(ident R msg3): 0.004970
Jul 21 10:45:46 ya01 racoon: phase1(Identity Protection): 0.080822
Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=32): 
0.000009
Jul 21 10:45:46 ya01 racoon: alg_oakley_encdef_encrypt(3des klen=192 
size=56): 0.000012
Jul 21 10:45:46 ya01 racoon: INFO: ISAKMP-SA established 
11.111.111.111[4500]-22.222.222.222[4500] 
spi:3a54e74acf05edb8:c8de6340cf8ecb0e
Jul 21 10:45:46 ya01 racoon: INFO: respond new phase 2 negotiation: 
11.111.111.111[4500]<=>22.222.222.222[4500]
Jul 21 10:45:46 ya01 racoon: alg_oakley_encdef_decrypt(3des klen=192 
size=304): 0.000031
Jul 21 10:45:46 ya01 racoon: alg_oakley_hmacdef_one(hmac_sha1 size=276): 
0.000010
Jul 21 10:45:46 ya01 racoon: INFO: no policy found, try to generate the 
policy : 192.168.0.150/32[1701] 11.111.111.111/32[1701] proto=udp dir=in
Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0
Jul 21 10:45:46 ya01 racoon: ERROR: not matched
Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0
Jul 21 10:45:46 ya01 racoon: ERROR: not matched
Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0
Jul 21 10:45:46 ya01 racoon: ERROR: not matched
Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0
Jul 21 10:45:46 ya01 racoon: ERROR: not matched
Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0
Jul 21 10:45:46 ya01 racoon: ERROR: not matched
Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0
Jul 21 10:45:46 ya01 racoon: ERROR: not matched
Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0
Jul 21 10:45:46 ya01 racoon: ERROR: not matched
Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0
Jul 21 10:45:46 ya01 racoon: ERROR: not matched
Jul 21 10:45:46 ya01 racoon: ERROR: pfs group mismatched: my:1 peer:0
Jul 21 10:45:46 ya01 racoon: ERROR: not matched
Jul 21 10:45:46 ya01 racoon: ERROR: no suitable policy found.
Jul 21 10:45:46 ya01 racoon: ERROR: failed to pre-process packet.


11.111.111.111  - ip сервара куда подключаемся
22.222.222.222  - ip сервера откуда подключаемся
192.168.0.150 - ip клиента за натом откуда подключаемся

pfs group - черный ящик ))))

Могу выложить конфигурацию или еще сто-то если поможет.

Жду помощи.

Подробная информация о списке рассылки Sysadmins