ГлавнаяФорумыСЕТИWAN

VPN Freeswan и Check Point NG help

Изображение пользователя sem.
Опубликовано: sem — пт, 23/06/2006 - 12:18
Раздел:

Доброе время суток!!!!!
У меня
ядро 2.4.20-9asp
Freeswan 2.06
Имеется проблемку не могу понять в чём дело.
Имеется рабочий VPN с одной организацией (там тоже Chek Point), по образцу и подобию делаю второй
и получаю проблемы.
000 "linux-fw2": XXX.XXX.XXX.--XXX.XXX.XXX...YYY.YYYY.YY; prospective erouted; eroute owner: #0
000 "linux-fw2": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "linux-fw2": policy: PSK+ENCRYPT+UP; prio: 32,32; interface: eth1;
000 "linux-fw2": newest ISAKMP SA: #0; newest IPsec SA: #0;
000

/usr/sbin/tcpdump -i eth1 |grep YYY.YYYY.YY
15:41:46.385355 XXX.XXX.XXX.isakmp > YYY.YYYY.YY.isakmp: isakmp: phase 1 I ident: [|sa] (DF)
15:41:46.391236 YYY.YYYY.YY.isakmp > XXX.XXX.XXX.isakmp: isakmp: phase 1 R ident: [|sa]
15:41:46.400011 XXX.XXX.XXX.isakmp > YYY.YYYY.YY.isakmp: isakmp: phase 1 I ident: [|ke] (DF)
15:41:46.420109 YYY.YYYY.YY.isakmp > XXX.XXX.XXX.isakmp: isakmp: phase 1 R ident: [|ke]

tail -f /var/log/secure
we require peer to have ID YYY.YYYY.YY, but peer declares '192.168.0.15'
Jun 23 16:16:44 real last message repeated 2 times
max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message

комонда eroute
166 XXX.XXX.XXX/32 -> QQQ.QQQ.QQQ/32 => tun0x1018@QQQ.QQQ.QQQ
32 XXX.XXX.XXX/32 -> YYY.YYYY.YY/32 => %hold

файл ipsec.secrets
имеет строчки
: RSA {
код
"}"
XXX.XXX.XXX QQQ.QQQ.QQQ: PSK "paswd"
XXX.XXX.XXX YYY.YYYY.YY: PSK "paswd"

Может что забыл написать то говорите пришлю, но ситуацию понять не могу Грустный(
Помогите плиз!

‹ Открытие портов наружу в iptables Кто разбирается в wi-fi ? ›
пт, 23/06/2006 - 12:43 — sergeil
Изображение пользователя sergeil.

Re: VPN Freeswan и Check Point NG help #1

Цитата:
sem пишет: ядро 2.4.20-9asp Freeswan 2.06
FreeSWAN уже давно в прошлом... Ветка 2.x freeswan - начало развития. Не понятно зачем ее использовать... Есть OpenSwan и StrongSwan. Я использую openswan-2.4.5...

Цитата:
we require peer to have ID YYY.YYYY.YY, but peer declares '192.168.0.15'
Вы пытаетесь строит IPSec из-за NAT. Вам необходимо использовать конфигурации с NAT-T или традиционную конфигурацию с публичными адресами на рутерах...

Админ админу - друг, товарищ и ман...
(c) Almaty

пт, 23/06/2006 - 13:43 — sem
Изображение пользователя sem.

Re: VPN Freeswan и Check Point NG help #2

Цитата:
sergeil пишет:
Цитата:
sem пишет: ядро 2.4.20-9asp Freeswan 2.06
FreeSWAN уже давно в прошлом... Ветка 2.x freeswan - начало развития. Не понятно зачем ее использовать... Есть OpenSwan и StrongSwan. Я использую openswan-2.4.5...

Цитата:
we require peer to have ID YYY.YYYY.YY, but peer declares '192.168.0.15'
Вы пытаетесь строит IPSec из-за NAT. Вам необходимо использовать конфигурации с NAT-T или традиционную конфигурацию с публичными адресами на рутерах...
n

Так уж получилось что у нас Freeswan 2.06
соединение с моей стороны идет не через NAT соединяюсь с реально IP

/usr/local/sbin/ipsec auto --up linux-fw2

104 "linux-fw2" #49: STATE_MAIN_I1: initiate

106 "linux-fw2" #49: STATE_MAIN_I2: sent MI2, expecting MR2

108 "linux-fw2" #49: STATE_MAIN_I3: sent MI3, expecting MR3

003 "linux-fw2" #49: we require peer to have ID YYY.YYYY.YY, but peer declares'192.168.0.15' - это ответ с другой сороны

218 "linux-fw2" #49: STATE_MAIN_I3: INVALID_ID_INFORMATION

пт, 23/06/2006 - 14:05 — sergeil
Изображение пользователя sergeil.

Re: VPN Freeswan и Check Point NG help #3

sem писал(а):
003 "linux-fw2" #49: we require peer to have ID YYY.YYYY.YY, but peer declares'192.168.0.15' - это ответ с другой сороны
Покажите, заменив публичные адреса на шаблон: 1. Вашу секцию setup, Вот моя. 
config setup
        # THIS SETTING MUST BE CORRECT or almost nothing will work;
        # %defaultroute is okay for most simple cases.
        # interfaces="ipsec0=eth2 ipsec1=eth1"
        interfaces="ipsec0=eth2"
        # fragicmp=no
        nat_traversal=no
        #
        # Debug-logging controls:  "none" for (almost) none, "all" for lots.
        klipsdebug=none
        plutodebug=none
        # Use auto= parameters in conn descriptions to control startup actions.
        # plutoload=%search
        # plutostart=%search
        # Close down old connection when new one using same ID shows up.
        uniqueids=yes
        # overridemtu=16260 (default)

2. Секцию %default. Вот моя..



conn %default

        # keyingtries=0

        leftrsasigkey=%none

        rightrsasigkey=%none

        type=tunnel

        # ----------------

        auth=esp

        esp=3des-sha1-96

        compress=no

        # ----------------

        authby=secret

        keyexchange=ike

        disablearrivalcheck=yes

        ikelifetime=3600

        keylife=3600

        # xauth=no

        # dpddelay=30

        # dpdtimeout=120

        # dpdaction=clear

        # rekey=yes

        # rekeymargin

        # rekeyfuzz=100%

        pfs=no

3. Секцию, в которой описано Ваше соединение... linux-fw2. Например



conn mail101016gu

        #-----------------------------

        left=xxx.xxx.xx.50

        leftnexthop=xxx.xxx.xx.49

        leftsubnet=172.31.101.17/30

        #-----------------------------

        right=yy.yyy.yyy.136

        rightnexthop=yy.yyy.yyy.129

        rightsubnet=172.31.101.5/30

        #-----------------------------

        auto=start

Кстати, эта конфигурация нормально работает с CheckPoint-FW и Cisco PIX

PS: Я удалил дубль Вашего поста...

Админ админу - друг, товарищ и ман...
(c) Almaty

пн, 26/06/2006 - 05:29 — sem
Изображение пользователя sem.

Re: VPN Freeswan и Check Point NG help #4

Моя секция setup:
config setup
interfaces="ipsec0=eth1"
klipsdebug=none
plutodebug=none

Секция linux-fw2
conn linux-fw2
auth=esp
authby=secret
esp=3des-md5
keyexchange=ike
left=YYY.YYYY.YY
pfs=no
right=XXX.XXX.XX
rightnexthop=XXX.XXX.XX
auto=start

Есть дока на CP я по ней всё это делал.
Вопрос как должен выглядеть файл ipsec.secret?
в конце у меня :
первой соединение по VPN 1: PSK "secret"
второе соединение по VPN2 : PSK "secret"

меня терзают сомнения что это не так

пн, 26/06/2006 - 07:13 — sergeil
Изображение пользователя sergeil.

Re: VPN Freeswan и Check Point NG help #5

sem писал(а):
Вопрос как должен выглядеть файл ipsec.secret? в конце у меня : первой соединение по VPN 1: PSK "secret" второе соединение по VPN2 : PSK "secret"
Пусть публичный адрес первого рутера 123.45.78.90, а второго 90.78.45.123, и пусть общий ключ сгенерен как 
[sergeil@app sergeil]$ [root@app IPSEC]# mkpasswd -l 32
now1nd6ZQhoxo_fsrgqxlvuvetenqdrh



тогда /etc/ipsec.secret


123.45.78.90  90.78.45.123 :  PSK "now1nd6ZQhoxo_fsrgqxlvuvetenqdrh"


или


90.78.45.123  123.45.78.90 :  PSK "now1nd6ZQhoxo_fsrgqxlvuvetenqdrh"


что равноценно...

IMHO, с CheckPoint обрамляющие кавычки вводить не нужно...


Админ админу - друг, товарищ и ман...

(c) Almaty
пн, 26/06/2006 - 07:59 — sem
Изображение пользователя sem.

Re: VPN Freeswan и Check Point NG help #6

Да нет ковычки нужны

При подъёме VPN в логе следующая инфа:
/usr/local/sbin/ipsec auto --up linux-fw2
104 "linux-fw2" #6: STATE_MAIN_I1: initiate
106 "linux-fw2" #6: STATE_MAIN_I2: sent MI2, expecting MR2
108 "linux-fw2" #6: STATE_MAIN_I3: sent MI3, expecting MR3
003 "linux-fw2" #6: we require peer to have ID 'YYY.YYY.YYY', but peer declares '192.168.0.151'
218 "linux-fw2" #6: STATE_MAIN_I3: INVALID_ID_INFORMATION
003 "linux-fw2" #6: we require peer to have ID YYY.YYY.YYY, but peer declares '192.168.0.151'
218 "linux-fw2" #6: STATE_MAIN_I3: INVALID_ID_INFORMATION
003 "linux-fw2" #6: we require peer to have ID YYY.YYY.YYY, but peer declares '192.168.0.151'
218 "linux-fw2" #6: STATE_MAIN_I3: INVALID_ID_INFORMATION
010 "linux-fw2" #6: STATE_MAIN_I3: retransmission; will wait 20s for response
010 "linux-fw2" #6: STATE_MAIN_I3: retransmission; will wait 40s for response

Что бы это всё значило.
Повторю VPN строиться с реального IP адреса.

пн, 26/06/2006 - 13:23 — sergeil
Изображение пользователя sergeil.

Re: VPN Freeswan и Check Point NG help #7

sem писал(а):
Что бы это всё значило. Повторю VPN строиться с реального IP адреса.
Это с Вашей стороны он настраивается как реальный... А как с той? Такое впечатление, что удаленный рутер находится за NAT. То есть, исходя из лога
Цитата:
we require peer to have ID YYY.YYYY.YY, but peer declares '192.168.0.15'
Мой вольный перевод:
Цитата:
Нам неоходимо, что-бы удаленный рутер идентифицировал себя адресом YYY.YYYY.YY, но он представляется адресом 192.168.0.15
. Адрес 192.168.0.15 пренадлежит диапазону часных адресов, который не должен маршрутизироваться в интернет... Вот эти диапазоны: 10.0.0.0/8 ; 192.168.0.0/16 ; 172.16.0.0/12.

Спросите своего коллегу, который настроил соединение с той стороны как подключен их CheckPoint. Он должен быть подключен в INTERNEL или DMZ (то есть, на внешнем сетевом интерфейсе должен быть публичный (реальный) IP адрес.

Если это не так, а я могу гарантировать это с вероятностью, стремящейся к 100%, вы должны согласовать конфигурации. Возможно, Вам необхолимо исспользовать NAT-T. Я не знаю поддерживает-ли этот режим freeswan-2.0.6

Админ админу - друг, товарищ и ман...
(c) Almaty

чт, 29/06/2006 - 12:19 — sem
Изображение пользователя sem.

Re: VPN Freeswan и Check Point NG help #8

Если комуто будет интересно как решилась проблема.
То решили её так:
Как обсолютно правильно заметил Сергей
Нам неоходимо, что-бы удаленный рутер идентифицировал себя адресом YYY.YYYY.YY, но он представляется адресом 192.168.0.15
В различных стотьях на эту тему предлагалось менять IP на другом конце.
Но этого сделать было нельзя, поэтому на моей стороне сделал следующие добавил строку:
leftid=192.168.0.15
после этого пошла завязка с CP
мой conn стал выглядеть так
conn linux-fw2
auth=esp
authby=secret
esp=3des-md5
keyexchange=ike
left=YYY.YYYY.YY
leftid=192.168.0.15
pfs=no
right=ХХХ.ХХХ.ХХХ.ХХ
rightnexthop= ХХХ.ХХХ.ХХХ.ХХ
auto=start

Вем огромное спасибо за участие.

чт, 29/06/2006 - 12:29 — sergeil
Изображение пользователя sergeil.

Re: VPN Freeswan и Check Point NG help #9

Цитата:
sem пишет: leftid=192.168.0.15
Спасибо за заинформацию... О существовании опции слышал, но применять не приходилось...

И все-же скажите, почему удаленый рутер себя так хитро идентифицировал?
Это было в нем специально сконфигурировано или он за NAT-ом и 192.168.0.15 - IP адрес его внешнего интерфейса?

Админ админу - друг, товарищ и ман...
(c) Almaty

вт, 25/07/2006 - 05:50 — sem
Изображение пользователя sem.

Re: VPN Freeswan и Check Point NG help #10

В интернете нашёл статейку по ошибкам возникающим при обмене ключами даю ссылку на статью http://www.boerderie.com/VPNdebugging.html#CPNG.
У меня есть возможность посмотреть как CP настроен правда с этого CP нельзя делать VPN старенький он.
Настройки CP организации с которой строил VPN не знал, «general properties» у него был внутренний IP 192.168.0.15.
Это не NAT. У CP можно привязать лицензию к определенному IP, и если у тебя меняется IP к которому привязана лицензия, то нужно связываться с CP для получение новой лицензии. Вот поэтому админы (некоторые) прикручивают лицензию к внутреннему IP.
То что в «general properties» стоит внутренний IP я понял из статьи.
Добавил себе в конфиг leftid=192.168.0.15 и всё заработало.
Скоро у меня будет CP NG, который может строить VPN. Если буду вопросы по CP задавайте буду рад помочь с решением проблем. Freeswan бросать пока не будем хорошая вещь. Улыбка