VPN Freeswan и Check Point NG help

Аватар пользователя sem

Доброе время суток!!!!!
У меня
ядро 2.4.20-9asp
Freeswan 2.06
Имеется проблемку не могу понять в чём дело.
Имеется рабочий VPN с одной организацией (там тоже Chek Point), по образцу и подобию делаю второй
и получаю проблемы.
000 "linux-fw2": XXX.XXX.XXX.--XXX.XXX.XXX...YYY.YYYY.YY; prospective erouted; eroute owner: #0
000 "linux-fw2": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "linux-fw2": policy: PSK+ENCRYPT+UP; prio: 32,32; interface: eth1;
000 "linux-fw2": newest ISAKMP SA: #0; newest IPsec SA: #0;
000

/usr/sbin/tcpdump -i eth1 |grep YYY.YYYY.YY
15:41:46.385355 XXX.XXX.XXX.isakmp > YYY.YYYY.YY.isakmp: isakmp: phase 1 I ident: [|sa] (DF)
15:41:46.391236 YYY.YYYY.YY.isakmp > XXX.XXX.XXX.isakmp: isakmp: phase 1 R ident: [|sa]
15:41:46.400011 XXX.XXX.XXX.isakmp > YYY.YYYY.YY.isakmp: isakmp: phase 1 I ident: [|ke] (DF)
15:41:46.420109 YYY.YYYY.YY.isakmp > XXX.XXX.XXX.isakmp: isakmp: phase 1 R ident: [|ke]

tail -f /var/log/secure
we require peer to have ID YYY.YYYY.YY, but peer declares '192.168.0.15'
Jun 23 16:16:44 real last message repeated 2 times
max number of retransmissions (2) reached STATE_MAIN_I3. Possible authentication failure: no acceptable response to our first encrypted message

комонда eroute
166 XXX.XXX.XXX/32 -> QQQ.QQQ.QQQ/32 => tun0x1018@QQQ.QQQ.QQQ
32 XXX.XXX.XXX/32 -> YYY.YYYY.YY/32 => %hold

файл ipsec.secrets
имеет строчки
: RSA {
код
"}"
XXX.XXX.XXX QQQ.QQQ.QQQ: PSK "paswd"
XXX.XXX.XXX YYY.YYYY.YY: PSK "paswd"

Может что забыл написать то говорите пришлю, но ситуацию понять не могу Грустный(
Помогите плиз!

Аватар пользователя sergeil

Re: VPN Freeswan и Check Point NG help

Цитата:
sem пишет:
ядро 2.4.20-9asp
Freeswan 2.06

FreeSWAN уже давно в прошлом... Ветка 2.x freeswan - начало развития. Не понятно зачем ее использовать...
Есть OpenSwan и StrongSwan. Я использую openswan-2.4.5...

Цитата:
we require peer to have ID YYY.YYYY.YY, but peer declares '192.168.0.15'

Вы пытаетесь строит IPSec из-за NAT. Вам необходимо использовать конфигурации с NAT-T или традиционную конфигурацию с публичными адресами на рутерах...

Аватар пользователя sem

Re: VPN Freeswan и Check Point NG help

Цитата:
sergeil пишет:

Цитата:
sem пишет:
ядро 2.4.20-9asp
Freeswan 2.06

FreeSWAN уже давно в прошлом... Ветка 2.x freeswan - начало развития. Не понятно зачем ее использовать...
Есть OpenSwan и StrongSwan. Я использую openswan-2.4.5...

Цитата:
we require peer to have ID YYY.YYYY.YY, but peer declares '192.168.0.15'

Вы пытаетесь строит IPSec из-за NAT. Вам необходимо использовать конфигурации с NAT-T или традиционную конфигурацию с публичными адресами на рутерах...

n

Так уж получилось что у нас Freeswan 2.06
соединение с моей стороны идет не через NAT соединяюсь с реально IP

/usr/local/sbin/ipsec auto --up linux-fw2

104 "linux-fw2" #49: STATE_MAIN_I1: initiate

106 "linux-fw2" #49: STATE_MAIN_I2: sent MI2, expecting MR2

108 "linux-fw2" #49: STATE_MAIN_I3: sent MI3, expecting MR3

003 "linux-fw2" #49: we require peer to have ID YYY.YYYY.YY, but peer declares'192.168.0.15' - это ответ с другой сороны

218 "linux-fw2" #49: STATE_MAIN_I3: INVALID_ID_INFORMATION

Аватар пользователя sergeil

Re: VPN Freeswan и Check Point NG help

sem писал(а):
003 "linux-fw2" #49: we require peer to have ID YYY.YYYY.YY, but peer declares'192.168.0.15' - это ответ с другой сороны

Покажите, заменив публичные адреса на шаблон:
1. Вашу секцию setup, Вот моя.


config setup
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple cases.
# interfaces="ipsec0=eth2 ipsec1=eth1"
interfaces="ipsec0=eth2"
# fragicmp=no
nat_traversal=no
#
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
# plutoload=%search
# plutostart=%search
# Close down old connection when new one using same ID shows up.
uniqueids=yes
# overridemtu=16260 (default)

2. Секцию %default. Вот моя..


conn %default
# keyingtries=0
leftrsasigkey=%none
rightrsasigkey=%none
type=tunnel
# ----------------
auth=esp
esp=3des-sha1-96
compress=no
# ----------------
authby=secret
keyexchange=ike
disablearrivalcheck=yes
ikelifetime=3600
keylife=3600
# xauth=no
# dpddelay=30
# dpdtimeout=120
# dpdaction=clear
# rekey=yes
# rekeymargin
# rekeyfuzz=100%
pfs=no

3. Секцию, в которой описано Ваше соединение... linux-fw2. Например


conn mail101016gu
#-----------------------------
left=xxx.xxx.xx.50
leftnexthop=xxx.xxx.xx.49
leftsubnet=172.31.101.17/30
#-----------------------------
right=yy.yyy.yyy.136
rightnexthop=yy.yyy.yyy.129
rightsubnet=172.31.101.5/30
#-----------------------------
auto=start

Кстати, эта конфигурация нормально работает с CheckPoint-FW и Cisco PIX

PS: Я удалил дубль Вашего поста...

Аватар пользователя sem

Re: VPN Freeswan и Check Point NG help

Моя секция setup:
config setup
interfaces="ipsec0=eth1"
klipsdebug=none
plutodebug=none

Секция linux-fw2
conn linux-fw2
auth=esp
authby=secret
esp=3des-md5
keyexchange=ike
left=YYY.YYYY.YY
pfs=no
right=XXX.XXX.XX
rightnexthop=XXX.XXX.XX
auto=start

Есть дока на CP я по ней всё это делал.
Вопрос как должен выглядеть файл ipsec.secret?
в конце у меня :
первой соединение по VPN 1: PSK "secret"
второе соединение по VPN2 : PSK "secret"

меня терзают сомнения что это не так

Аватар пользователя sergeil

Re: VPN Freeswan и Check Point NG help

sem писал(а):
Вопрос как должен выглядеть файл ipsec.secret?
в конце у меня :
первой соединение по VPN 1: PSK "secret"
второе соединение по VPN2 : PSK "secret"

Пусть публичный адрес первого рутера 123.45.78.90, а второго 90.78.45.123, и пусть общий ключ сгенерен как

[sergeil@app sergeil]$ [root@app IPSEC]# mkpasswd -l 32
now1nd6ZQhoxo_fsrgqxlvuvetenqdrh

тогда /etc/ipsec.secret

123.45.78.90  90.78.45.123 :  PSK "now1nd6ZQhoxo_fsrgqxlvuvetenqdrh"

или

90.78.45.123  123.45.78.90 :  PSK "now1nd6ZQhoxo_fsrgqxlvuvetenqdrh"

что равноценно...
IMHO, с CheckPoint обрамляющие кавычки вводить не нужно...

Аватар пользователя sem

Re: VPN Freeswan и Check Point NG help

Да нет ковычки нужны

При подъёме VPN в логе следующая инфа:
/usr/local/sbin/ipsec auto --up linux-fw2
104 "linux-fw2" #6: STATE_MAIN_I1: initiate
106 "linux-fw2" #6: STATE_MAIN_I2: sent MI2, expecting MR2
108 "linux-fw2" #6: STATE_MAIN_I3: sent MI3, expecting MR3
003 "linux-fw2" #6: we require peer to have ID 'YYY.YYY.YYY', but peer declares '192.168.0.151'
218 "linux-fw2" #6: STATE_MAIN_I3: INVALID_ID_INFORMATION
003 "linux-fw2" #6: we require peer to have ID YYY.YYY.YYY, but peer declares '192.168.0.151'
218 "linux-fw2" #6: STATE_MAIN_I3: INVALID_ID_INFORMATION
003 "linux-fw2" #6: we require peer to have ID YYY.YYY.YYY, but peer declares '192.168.0.151'
218 "linux-fw2" #6: STATE_MAIN_I3: INVALID_ID_INFORMATION
010 "linux-fw2" #6: STATE_MAIN_I3: retransmission; will wait 20s for response
010 "linux-fw2" #6: STATE_MAIN_I3: retransmission; will wait 40s for response

Что бы это всё значило.
Повторю VPN строиться с реального IP адреса.

Аватар пользователя sergeil

Re: VPN Freeswan и Check Point NG help

sem писал(а):
Что бы это всё значило.
Повторю VPN строиться с реального IP адреса.

Это с Вашей стороны он настраивается как реальный... А как с той? Такое впечатление, что удаленный рутер находится за NAT. То есть, исходя из лога

Цитата:
we require peer to have ID YYY.YYYY.YY, but peer declares '192.168.0.15'

Мой вольный перевод:

Цитата:
Нам неоходимо, что-бы удаленный рутер идентифицировал себя адресом YYY.YYYY.YY, но он представляется адресом 192.168.0.15

. Адрес 192.168.0.15 пренадлежит диапазону часных адресов, который не должен маршрутизироваться в интернет... Вот эти диапазоны: 10.0.0.0/8 ; 192.168.0.0/16 ; 172.16.0.0/12.

Спросите своего коллегу, который настроил соединение с той стороны как подключен их CheckPoint. Он должен быть подключен в INTERNEL или DMZ (то есть, на внешнем сетевом интерфейсе должен быть публичный (реальный) IP адрес.

Если это не так, а я могу гарантировать это с вероятностью, стремящейся к 100%, вы должны согласовать конфигурации. Возможно, Вам необхолимо исспользовать NAT-T. Я не знаю поддерживает-ли этот режим freeswan-2.0.6

Аватар пользователя sem

Re: VPN Freeswan и Check Point NG help

Если комуто будет интересно как решилась проблема.
То решили её так:
Как обсолютно правильно заметил Сергей
Нам неоходимо, что-бы удаленный рутер идентифицировал себя адресом YYY.YYYY.YY, но он представляется адресом 192.168.0.15
В различных стотьях на эту тему предлагалось менять IP на другом конце.
Но этого сделать было нельзя, поэтому на моей стороне сделал следующие добавил строку:
leftid=192.168.0.15
после этого пошла завязка с CP
мой conn стал выглядеть так
conn linux-fw2
auth=esp
authby=secret
esp=3des-md5
keyexchange=ike
left=YYY.YYYY.YY
leftid=192.168.0.15
pfs=no
right=ХХХ.ХХХ.ХХХ.ХХ
rightnexthop= ХХХ.ХХХ.ХХХ.ХХ
auto=start

Вем огромное спасибо за участие.

Аватар пользователя sergeil

Re: VPN Freeswan и Check Point NG help

Цитата:
sem пишет:
leftid=192.168.0.15

Спасибо за заинформацию... О существовании опции слышал, но применять не приходилось...

И все-же скажите, почему удаленый рутер себя так хитро идентифицировал?
Это было в нем специально сконфигурировано или он за NAT-ом и 192.168.0.15 - IP адрес его внешнего интерфейса?

Аватар пользователя sem

Re: VPN Freeswan и Check Point NG help

В интернете нашёл статейку по ошибкам возникающим при обмене ключами даю ссылку на статью http://www.boerderie.com/VPNdebugging.html#CPNG.
У меня есть возможность посмотреть как CP настроен правда с этого CP нельзя делать VPN старенький он.
Настройки CP организации с которой строил VPN не знал, «general properties» у него был внутренний IP 192.168.0.15.
Это не NAT. У CP можно привязать лицензию к определенному IP, и если у тебя меняется IP к которому привязана лицензия, то нужно связываться с CP для получение новой лицензии. Вот поэтому админы (некоторые) прикручивают лицензию к внутреннему IP.
То что в «general properties» стоит внутренний IP я понял из статьи.
Добавил себе в конфиг leftid=192.168.0.15 и всё заработало.
Скоро у меня будет CP NG, который может строить VPN. Если буду вопросы по CP задавайте буду рад помочь с решением проблем. Freeswan бросать пока не будем хорошая вещь. Улыбка

RSS-материал