Проблема c openswan - malformed payload in packet

Аватар пользователя ERge

на нашем шлюзе
openswan-2.4.4-1.0.FC4.1

удаленный на каком-то зюхеле
с той стороны вроде как все настроено

у меня в конфе следующее:
conn myconn
type=tunnel
left=мой внешний ip
leftsubnet=моя подсеть/24
right=удаленный шлюз
rightsubnet=удаленная подсеть/24
authby=secret
disablearrivalcheck=no
pfs=no
auto=start

першаред кей сделал.

но при поднятии канала ругается:
[root@gw ~]# ipsec auto --up myconn
104 "myconn" #12: STATE_MAIN_I1: initiate
003 "myconn" #12: ignoring unknown Vendor ID payload [afc....]
003 "myconn" #12: ignoring unknown Vendor ID payload [625....]
106 "myconn" #12: STATE_MAIN_I2: sent MI2, expecting MR2
108 "myconn" #12: STATE_MAIN_I3: sent MI3, expecting MR3
003 "myconn" #12: next payload type of ISAKMP Hash Payload has an unknown value: 66
003 "myconn" #12: malformed payload in packet
010 "myconn" #12: STATE_MAIN_I3: retransmission; will wait 20s for response
003 "myconn" #12: byte 2 of ISAKMP Hash Payload must be zero, but is not
003 "myconn" #12: malformed payload in packet
010 "myconn" #12: STATE_MAIN_I3: retransmission; will wait 40s for response
003 "myconn" #12: byte 2 of ISAKMP Hash Payload must be zero, but is not
003 "myconn" #12: malformed payload in packet
031 "myconn" #12: max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message
000 "myconn" #12: starting keying attempt 2 of an unlimited number, but releasing whack

хотя на другой машине (другая фирма) с такими же настройками и фрисваном (линух правда наверняка другой) все работает.

в чем может быть трабл? :-?
помогите настроить... запарился уже.... :hammer:

PS: сам не админ, потому прошу прощения за возможно глупые вопросы...

Аватар пользователя ERge

Re: проблема c openswan - malformed payload in packet

# tail /var/log/secure
Jun 14 14:12:34 gw pluto[1875]: packet from x.x.x.x:500: initial Main Mode message received on y.y.y.y:500 but no connection has been authorized
Jun 14 14:12:38 gw pluto[1875]: packet from x.x.x.x:500: ignoring unknown Vendor ID payload [afc...]
Jun 14 14:12:38 gw pluto[1875]: packet from x.x.x.x:500: ignoring unknown Vendor ID payload [625...]

PS: если это о чем-то говорит :-?

Аватар пользователя sergeil

Re: проблема c openswan - malformed payload in packet

Цитата:
ERge пишет:
# tail /var/log/secure
Jun 14 14:12:34 gw pluto[1875]: packet from x.x.x.x:500: initial Main Mode message received on y.y.y.y:500 but no connection has been authorized
PS: если это о чем-то говорит :-?

Если внешний адрес Вашего рутера 195.x.x.x, а внешний адрес второго рутера 62.y.y.y, и ваш preshared_key aabbcc, то IMHO, в /etc/ipsec.secrets отсутствует

195.x.x.x   62.y.y.y  :  PSK "aabbcc"

или равноценная

62.y.y.y   195.x.x.x  :  PSK "aabbcc"
Аватар пользователя ERge

Re: проблема c openswan - malformed payload in packet

Цитата:
sergeil пишет:

Цитата:
ERge пишет:
# tail /var/log/secure
Jun 14 14:12:34 gw pluto[1875]: packet from x.x.x.x:500: initial Main Mode message received on y.y.y.y:500 but no connection has been authorized
PS: если это о чем-то говорит :-?

Если внешний адрес Вашего рутера 195.x.x.x, а внешний адрес второго рутера 62.y.y.y, и ваш preshared_key aabbcc, то IMHO, в /etc/ipsec.secrets отсутствует

195.x.x.x   62.y.y.y  :  PSK "aabbcc"

или равноценная

62.y.y.y   195.x.x.x  :  PSK "aabbcc"

у меня там по первому варинту вписано, т.е.

195.x.x.x   62.y.y.y  :  PSK "aabbcc"
Аватар пользователя ERge

Re: проблема c openswan - malformed payload in packet

добавил в тот же файл второй вариант
т.е. сначала удаленный ip потом наш.
теперь при поднятии пишет
.....
003 "myconn" #16: next payload type of ISAKMP Hash Payload has an unknown value: 146
003 "myconn" #16: malformed payload in packet

Аватар пользователя sergeil

Re: проблема c openswan - malformed payload in packet

ERge писал(а):
на нашем шлюзе
openswan-2.4.4-1.0.FC4.1

удаленный на каком-то зюхеле
с той стороны вроде как все настроено

у меня в конфе следующее:
conn myconn
type=tunnel
left=мой внешний ip
leftsubnet=моя подсеть/24
right=удаленный шлюз
rightsubnet=удаленная подсеть/24
authby=secret
disablearrivalcheck=no
pfs=no
auto=start

1. Учитывая, что Вы используете различные реализации IPSec, необходимо явно указывать характеристики соединения, поскольку значения по умолчанию для разных реализаций - разные и, как правило, эти значения несовместимы между собой... наимер,


conn NET-TO-NET
type=tunnel
compress=no
authby=secret
keyexchange=ike
auth=esp
esp=3des-md5-96
ikelifetime=28800
keylife=28800
disablearrivalcheck=yes
pfs=no
#-----------------------
left=62.xx.xx.xx
leftnexthop=62.xx.xx.xy
leftsubnet=10.xx.0.0/16
#-----------------------
right=212.xxx.xx.xx
rightnexthop=212.xxx.xx.xz
rightsubnet=10.yyy.yy.0/24
#-----------------------
auto=start
Аватар пользователя ERge

Re: проблема c openswan - malformed payload in packet

Цитата:
ERge пишет:
# tail /var/log/secure
Jun 14 14:12:34 gw pluto[1875]: packet from x.x.x.x:500: initial Main Mode message received on y.y.y.y:500 but no connection has been authorized

извиняюсь... это он писал когда не было добавлено описание по каналу (я закоментил #auto=start (add)),
т.е. это роутер ко мне ломился...

сейчас пишет, как и раньше:

[root@gw /etc/ipsec.d]# tail /var/log/secure
Jun 14 17:31:02 gw pluto[1875]: "myconn" #21: STATE_MAIN_I3: sent MI3, expecting MR3
Jun 14 17:31:02 gw pluto[1875]: "myconn" #21: next payload type of ISAKMP Hash Payload has an unknown value: 135
Jun 14 17:31:02 gw pluto[1875]: "myconn" #21: malformed payload in packet
Jun 14 17:31:02 gw pluto[1875]: "myconn" #21: sending notification PAYLOAD_MALFORMED to y.y.y.y:500
Jun 14 17:31:12 gw pluto[1875]: "myconn" #21: byte 2 of ISAKMP Hash Payload must be zero, but is not
Jun 14 17:31:12 gw pluto[1875]: "myconn" #21: malformed payload in packet
Jun 14 17:31:12 gw pluto[1875]: "myconn" #21: sending notification PAYLOAD_MALFORMED to y.y.y.y:500
Jun 14 17:31:32 gw pluto[1875]: "myconn" #21: next payload type of ISAKMP Hash Payload has an unknown value: 32
Jun 14 17:31:32 gw pluto[1875]: "myconn" #21: malformed payload in packet
Jun 14 17:31:32 gw pluto[1875]: "myconn" #21: sending notification PAYLOAD_MALFORMED to y.y.y.y:500

где y.y.y.y - удаленный роутер (зюхель, ZyWALL 70)

Цитата:
sergeil пишет:
1. Учитывая, что Вы используете различные реализации IPSec, необходимо явно указывать характеристики соединения, поскольку значения по умолчанию для разных реализаций - разные и, как правило, эти значения несовместимы между собой... наимер,


conn NET-TO-NET
type=tunnel
compress=no
authby=secret
keyexchange=ike
auth=esp
esp=3des-md5-96
ikelifetime=28800
keylife=28800
disablearrivalcheck=yes
pfs=no
#-----------------------
left=62.xx.xx.xx
leftnexthop=62.xx.xx.xy
leftsubnet=10.xx.0.0/16
#-----------------------
right=212.xxx.xx.xx
rightnexthop=212.xxx.xx.xz
rightsubnet=10.yyy.yy.0/24
#-----------------------
auto=start

из параметеров мне сказали только
ip роутера, внутренню подсетку
метод инкапсуляции - tunnel
метод шифрования - 3des
метод аутентификации - md5
active protocol - esp
и ключ, который я забил в *.secrets
в виде

195.x.x.x   62.y.y.y  :  PSK "aabbcc"

больше ни чего, этого достаточно?

я уже по разному писал, что-то вроде этого:


conn myconn
type=tunnel
left=мой роутер
leftsubnet=наша подсеть/24
right=удаленный роутер
rightsubnet=удаленная подсеть/24
authby=secret
auth=esp
esp=3des
keyexchange=ike
#pfs=no и yes и по всякому...
auto=start

а результат один и тот же... Блюёт :-? :weep:

Аватар пользователя sergeil

Re: проблема c openswan - malformed payload in packet

ERge писал(а):
а результат один и тот же... Блюёт :-? :weep:

Я кое-что нашел!!!! http://zywall70utmdemo.zyxel.com/
Катается от смеха

По умолчанию Negotiate Mode: "Main Mode". Для openswan - тоже. Убедитесь, что его не изменили на "Aggressive Mode", иначе нужно указывать в параметрах...

Так Вот, по умолчанию, железка ставит Key Group "DH=1". openswan не может с ним работать. Нужен "DH=2". По умолчанию для Zyxel SA Life tme = 28800sec. Для openswan за эту характеристику отвечает ikelifetime(по умолчанию 3600 sec)

Phase2
SA Life Time (lifetime): 28800
Perfect Forward Secrecy (PFS): NONE. Если изменено, нужно настраивать...

Итого, ребята должны предоставить вот такую таблицу...

Status
  	Gateway Policy Property 	 
  	  	Name 	test
  	  	 
  	Gateway Policy Setting 	 
  	  	My ZyWALL 	192.168.100.100
  	  	Remote Gateway Address 	192.168.200.100
  	  	  	  	 
  	Network Policy Property 	 
  	  	Active 	Yes
  	  	Name 	
  	  	 
  	Network Policy Setting 	 
  	  	Local Network 	 
  	  	  	Starting IP Address 	172.16.0.0
  	  	  	Subnet Mask 	255.255.0.0
  	  	Remote Network 	 
  	  	  	Starting IP Address 	172.17.0.0
  	  	  	Subnet Mask 	255.255.0.0
  	  	  	  	 
  	IKE Tunnel Setting (IKE Phase 1) 	 
  	  	Authentication For Activating VPN 	 
  	  		Authenticated By 	
  	  		  	User Name 	
  	  		  	Password 	
  	  	Negotiation Mode 	Main Mode
  	  	Encryption Algorithm 	3DES
  	  	Authentication Algorithm 	MD5
  	  	Key Group 	DH2
  	  	SA Life Time 	3600 (Seconds)
  	  	Pre-Shared Key 	xxx
  	  	 
  	IPSec Setting (IKE Phase 2) 	 
  	  	Encapsulation Mode 	Tunnel Mode
  	  	IPSec Protocol 	ESP
  	  	Encryption Algorithm 	3DES
  	  	Authentication Algorithm 	MD5
  	  	SA Life Time 	28800 (Seconds)
  	  	Perfect Forward Secrecy (PFS) 	None
RSS-материал