Ахренеть. Единственная связка к которой без проблем цепляются все имеющиеся у меня клиенты это патченый racoon из репы Nikoforge и xl2tpd под Centos6. Такими темпами прийдется блин держать отдельную виртуалку под vpn концентратор.
Standards are good, everyone should have one.
БЛЯТЬБЛЯТЬБЛЯТЬебанаяиндустрия
И того на данный момент у меня есть — связка racoon+xl2tpd в которую прекрасно ходит андроид 4.0.x (при указании ид ipsec) и w7 (при прописывании на сервере ip как id для psk
есть связка openswan+l2tpd в которую прекрасно ходит ифон и андроид 2. 3.. остальные отваливаются по таймауту
БЛЯТЬБЛЯТЬБЛЯТЬебанаяиндустрия
И того на данный момент у меня есть — связка racoon+xl2tpd в которую прекрасно ходит андроид 4.0.x (при указании ид ipsec) и w7 (при прописывании на сервере ip как id для psk
есть связка openswan+l2tpd в которую прекрасно ходит ифон и андроид 2. 3.. остальные отваливаются по таймауту
слушайте есть ракун. древний. 0.6.5 ему можно как-нить скормить psk непривязанный к id? судя по логам * superkey он тупо игнорит
слушайте я туплю или у меня таки пакеты идут нешифрованные ??
# tcpdump -i vlan0 host A.A.A.A
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan0, link-type EN10MB (Ethernet), capture size 96 bytes
16:37:18.339070 IP A.A.A.A > B.B.B.B: ICMP echo request, id 31573, seq 0, length 64
16:37:18.339132 IP B.B.B.B > A.A.A.A: ICMP echo reply, id 31573, seq 0, length 64
16:37:19.366409 IP A.A.A.A > B.B.B.B: ICMP echo request, id 31573, seq 1, length 64
16:37:19.366442 IP B.B.B.B > A.A.A.A: ICMP echo reply, id 31573, seq 1, length 64
При этом на той стороне (OpenBSD)
sudo ipsecctl -s a |grep 77
flow esp in proto tcp from B.B.B.B to A.A.A.A peer B.B.B.B srcid A.A.A.A/32 dstid B.B.B.B/32 type use
flow esp out proto tcp from A.A.A.A to B.B.B.B peer B.B.B.B srcid A.A.A.A/32 dstid B.B.B.B/32 type require
esp transport from A.A.A.A to B.B.B.B spi 0x019a5700 auth hmac-sha1 enc aes
esp transport from A.A.A.A to B.B.B.B spi 0x02e7d6a2 auth hmac-sha1 enc aes
esp transport from B.B.B.B to A.A.A.A spi 0xb7ae7306 auth hmac-sha1 enc aes
esp transport from B.B.B.B to A.A.A.A spi 0xf3443ee1 auth hmac-sha1 enc aes
# tcpdump -i vlan0 host A.A.A.A
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on vlan0, link-type EN10MB (Ethernet), capture size 96 bytes
16:37:18.339070 IP A.A.A.A > B.B.B.B: ICMP echo request, id 31573, seq 0, length 64
16:37:18.339132 IP B.B.B.B > A.A.A.A: ICMP echo reply, id 31573, seq 0, length 64
16:37:19.366409 IP A.A.A.A > B.B.B.B: ICMP echo request, id 31573, seq 1, length 64
16:37:19.366442 IP B.B.B.B > A.A.A.A: ICMP echo reply, id 31573, seq 1, length 64
При этом на той стороне (OpenBSD)
sudo ipsecctl -s a |grep 77
flow esp in proto tcp from B.B.B.B to A.A.A.A peer B.B.B.B srcid A.A.A.A/32 dstid B.B.B.B/32 type use
flow esp out proto tcp from A.A.A.A to B.B.B.B peer B.B.B.B srcid A.A.A.A/32 dstid B.B.B.B/32 type require
esp transport from A.A.A.A to B.B.B.B spi 0x019a5700 auth hmac-sha1 enc aes
esp transport from A.A.A.A to B.B.B.B spi 0x02e7d6a2 auth hmac-sha1 enc aes
esp transport from B.B.B.B to A.A.A.A spi 0xb7ae7306 auth hmac-sha1 enc aes
esp transport from B.B.B.B to A.A.A.A spi 0xf3443ee1 auth hmac-sha1 enc aes
Слушайте а как вообще принято через IPSec пробрасывать роутинг?
у меня есть некая A.B.C.0/24 которая резервным каналом имеет ipsec ike esp до A.D.F.E (в основном канале маршрутизация приходит по OSPF)
Хочется как-то сделать так что бы ipsec мог быть маршрутом по умолчанию.
у меня есть некая A.B.C.0/24 которая резервным каналом имеет ipsec ike esp до A.D.F.E (в основном канале маршрутизация приходит по OSPF)
Хочется как-то сделать так что бы ipsec мог быть маршрутом по умолчанию.
или я что-то неправильно настроил или атом D510 дает загрузку всего 10% по обоим ядрам при траффике 8.7 мбпс (кажется это потолок для провайдера).
esp tunnel from A.A.A.A to B.B.B.B spi 0x4643b19b auth hmac-md5 enc 3des-cbc
esp tunnel from A.A.A.A to B.B.B.B spi 0x4643b19b auth hmac-md5 enc 3des-cbc
/me скоро сможен выступать на соревнованиях по разбиванию головой всяких стройматериалов.
paste.org.ru При этом оно точно 2 раза сцеплялось!
paste.org.ru При этом оно точно 2 раза сцеплялось!
Что-то я кажется сдаюсь. Пытаемся скрестить опенка с кошкой. в выводе видим Oct 28 17:25:14 ipsec1 isakmpd[27143]: transport_send_messages: giving up on exchange from-10.200.135.76-to-10.200.135.250, no response from peer 10.200.135.250:500
При этом 1 раз оно даже как-то сцепилось и работало. Но один раз и как я углядеть неосилил
При этом 1 раз оно даже как-то сцепилось и работало. Но один раз и как я углядеть неосилил
окак.. если на одной из машин прописать роутинг до подсети другой в любое место то пакеты начинают ходить. причем по туннелю. НО только с машины инициирующей соединение. я в ахуе
Взываю к вселенскому разуму:
Encap:
Source Port Destination Port Proto SA(Address/Proto/Type/Direction)
10.200.135.77/32 0 10.200.135.76/32 0 0 10.200.135.77/esp/use/in
10.200.135.76/32 0 10.200.135.77/32 0 0 10.200.135.77/esp/require/out
10.2/16 0 10.1/16 0 0 10.200.135.77/esp/use/in
10.1/16 0 10.2/16 0 0 10.200.135.77/esp/require/out
10.2/16 0 10.200.135.76/32 0 0 10.200.135.77/esp/use/in
10.200.135.76/32 0 10.2/16 0 0 10.200.135.77/esp/require/out
seeker@ipsec1$ ping 10.2.0.1
PING 10.2.0.1 (10.2.0.1): 56 data bytes
--- 10.2.0.1 ping statistics ---
61 packets transmitted, 0 packets received, 100.0% packet loss
эээ???
Encap:
Source Port Destination Port Proto SA(Address/Proto/Type/Direction)
10.200.135.77/32 0 10.200.135.76/32 0 0 10.200.135.77/esp/use/in
10.200.135.76/32 0 10.200.135.77/32 0 0 10.200.135.77/esp/require/out
10.2/16 0 10.1/16 0 0 10.200.135.77/esp/use/in
10.1/16 0 10.2/16 0 0 10.200.135.77/esp/require/out
10.2/16 0 10.200.135.76/32 0 0 10.200.135.77/esp/use/in
10.200.135.76/32 0 10.2/16 0 0 10.200.135.77/esp/require/out
seeker@ipsec1$ ping 10.2.0.1
PING 10.2.0.1 (10.2.0.1): 56 data bytes
--- 10.2.0.1 ping statistics ---
61 packets transmitted, 0 packets received, 100.0% packet loss
эээ???
балдею. 2 аааабсолютно одинаковых опенбсд. пытаюсь поднять туннель по symantec.com в итоге отлавливаю чудесное
205242.907510 Default attribute_unacceptable: ENCRYPTION_ALGORITHM: got AES_CBC, expected 3DES_CBC
205242.909728 Default message_negotiate_sa: no compatible proposal found
205242.910250 Default dropped message from 10.200.135.76 port 500 due to notification type NO_PROPOSAL_CHOSEN
Это типа у опенка разные дефолты на инициацию ipsec и прием???
205242.907510 Default attribute_unacceptable: ENCRYPTION_ALGORITHM: got AES_CBC, expected 3DES_CBC
205242.909728 Default message_negotiate_sa: no compatible proposal found
205242.910250 Default dropped message from 10.200.135.76 port 500 due to notification type NO_PROPOSAL_CHOSEN
Это типа у опенка разные дефолты на инициацию ipsec и прием???