URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 67845
[ Назад ]

Исходное сообщение
"Туннель между FreeBSD и Cisco."
Отправлено Sarge , 25-Июл-06 19:37

Доброе время суток!
поднял туннель фря-циска... все работает... поднимаю ipsec между ними - ни в какую... перепроверил - файлы, пароли и Racoon вот что выдает:

2006-07-25 19:18:36: INFO: IPsec-SA request for хх.хх.хх.хх queued due to no phase1 found.
2006-07-25 19:18:36: INFO: initiate new phase 1 negotiation: хх.хх.хх.хх[500]<=>хх.хх.хх.хх[500]
2006-07-25 19:18:36: INFO: begin Identity Protection mode.
2006-07-25 19:19:07: ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP хх.хх.хх.хх[500]<=>хх.хх.хх.хх[0]
2006-07-25 19:19:07: INFO: delete phase 2 handler.
2006-07-25 19:19:27: INFO: request for establishing IPsec-SA was queued due to no phase1 found.
2006-07-25 19:19:58: ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP хх.хх.хх.хх[500]<=>хх.хх.хх.хх[0]
2006-07-25 19:19:58: INFO: delete phase 2 handler.
2006-07-25 19:20:36: ERROR: phase1 negotiation failed due to time up. eb61abf64dcc5bec:0000000000000000
2006-07-25 19:21:28: INFO: IPsec-SA request for хх.хх.хх.хх queued due to no phase1 found.
2006-07-25 19:21:28: INFO: initiate new phase 1 negotiation: хх.хх.хх.хх[500]<=>хх.хх.хх.хх[500]
2006-07-25 19:21:28: INFO: begin Identity Protection mode.
2006-07-25 19:21:59: ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP хх.хх.хх.хх[0]->хх.хх.хх.хх[0]
2006-07-25 19:21:59: INFO: delete phase 2 handler
Подскажите куда копать...?

Содержание

Туннель между FreeBSD и Cisco.,Sarge, 15:37 , 27-Июл-06
Туннель между FreeBSD и Cisco.,Ilia Kuliev, 17:44 , 27-Июл-06
- Туннель между FreeBSD и Cisco.,Sarge, 18:31 , 27-Июл-06
  - Туннель между FreeBSD и Cisco.,Sarge, 18:58 , 27-Июл-06

Сообщения в этом обсуждении

"Туннель между FreeBSD и Cisco."
Отправлено Sarge , 27-Июл-06 15:37

Неужели никто не знает...?:-(
Все сделано как сказано на http://www.opennet.me/base/net/freebsd_router.txt.html
конфиг киски такой:
crypto isakmp policy 15
encr 3des
hash md5
authentication pre-share
group 2
lifetime 3600
crypto isakmp key test address хх.хх.хх.хх
!
!
crypto ipsec transform-set dst esp-3des esp-md5-hmac
mode transport
!
crypto map dst 10 ipsec-isakmp
set peer yy.yy.yy.yy
set transform-set dst
match address 161
Конфиг ракуна такой:
path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
log notify;
remote anonymous
{
        exchange_mode main,base;
                # phase 1 proposal (for ISAKMP SA)
        proposal {
                lifetime time 3600 sec;
                encryption_algorithm 3des;
                hash_algorithm md5;
                authentication_method pre_shared_key ;
                dh_group 2 ;
        }

        proposal_check obey;
}
algorithms presented below
sainfo anonymous
{
        pfs_group 2;
        lifetime time 3600 sec ;
        encryption_algorithm 3des, cast128, blowfish 448, des, rijndael ;
        authentication_algorithm hmac_sha1, hmac_md5 ;
        compression_algorithm deflate ;
}

Я задолбался с этим шифрованием честно говоря.....:-( Туннель встает а шифроваться не хочет...:-( Сделано на FreeBSD 6.0.
С удовольствием поставил бы ящик пива тому кто поможет....у меня нервов уже не хватает.

"Туннель между FreeBSD и Cisco."
Отправлено Ilia Kuliev , 27-Июл-06 17:44

Я бы попробовал убрать remote anonymous и поставил бы IP-адрес.
Насколько можно судить, дело не доходит даже до фазы-1.
> 2006-07-25 19:18:36: INFO: begin Identity Protection mode.
> 2006-07-25 19:19:07: ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP хх.хх.хх.хх[500]<=>хх.хх.хх.хх[0]
Это раз; во-вторых лучше убрать все упоминания о компрессии в конфиге ракуна. Тем более, что работать оно все равно не будет.

"Туннель между FreeBSD и Cisco."
Отправлено Sarge , 27-Июл-06 18:31

Пробовал убрать компрессию, не проходит.
# racoon -F
Foreground mode.
2006-07-27 18:16:27: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
2006-07-27 18:16:27: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2006-07-27 18:16:27: ERROR: /usr/local/etc/racoon/racoon.conf:56: "}" no compression algorithm at anonymous
2006-07-27 18:16:27: ERROR: fatal parse failure (1 errors)
racoon: failed to parse configuration file.
Если поставить адрес заместо remote anonymous выходит ошибка синтаксическая....:-(
>Я бы попробовал убрать remote anonymous и поставил бы IP-адрес.
>Насколько можно судить, дело не доходит даже до фазы-1.
>
>> 2006-07-25 19:18:36: INFO: begin Identity Protection mode.
>> 2006-07-25 19:19:07: ERROR: phase2 negotiation failed due to time up waiting for phase1. ESP хх.хх.хх.хх[500]<=>хх.хх.хх.хх[0]
>
>Это раз; во-вторых лучше убрать все упоминания о компрессии в конфиге ракуна.
>Тем более, что работать оно все равно не будет.

"Туннель между FreeBSD и Cisco."
Отправлено Sarge , 27-Июл-06 18:58

Вообще в самом начале ракун выдает:
# tail -f /var/log/racoon.log
2006-07-27 18:40:05: INFO: @(#)This product linked OpenSSL 0.9.7e-p1 25 Oct 2004 (http://www.openssl.org/)
2006-07-27 18:40:05: INFO: unsupported PF_KEY message REGISTER
2006-07-27 18:40:05: INFO: unsupported PF_KEY message REGISTER
2006-07-27 18:40:05: INFO: unsupported PF_KEY message REGISTER

Могет в этом все дело...??!! Подскажите как это исправить..,??