https://www.opennet.ru/openforum/vsluhforumID10/5300.html Доброе время суток уважаемые коллеги!<br>Столкнулся я с такой, для себя, не тривиальной проблемой. Есть VDS у FIRSTVDS(не для рекламы) работающий в KVM. В контейнере крутится Centos. Стоит задача к этому Centos по IPSEC прикрутить ряд географически разнесенных офисов. В офисах стоят Zywall'ы. Из этого и вытекает что надо использовать IPSEC, так как эти чудные железки ни чего больше не умеют. Уже почти неделю бьюсь над этой задачей. Перепробовал кучу рецептов и примеров настройки. Но чует мое сердце что оплот зла кроется в другом. <br><br>Openswan был выбран случайно, так как Centos именно его пропагандирует, убран из своих репозиториев racoon входящий в состав ipsec-tools. Приступим:<br>Процедуры по редактированию /etc/sysctl.conf были произведены<br><br>net.ipv4.ip_forward = 1 # разрешить пересылку пакетов между интерфейсами <br>net.ipv4.conf.all.send_redirects = 0 # отключаем icmp redirect<br>net.ipv4.conf.all.accept_redirects = 0 # отключаем icmp redirect<br>net.ipv4.conf.default.send_redirects = 0 # отключаем icmp redirec https://www.opennet.ru/openforum/vsluhforumID10/5300.html#10 Fri, 10 Apr 2015 03:21:05 GMT &gt; К сожалению страница не открылась (404).<br><br>Странно, у меня открывается http://zyxel.ru/kb/2224 можно в правильном поисковике набрать zywall usg 3 des<br><br>Ну или вот так оно делается через CLI<br><br>Username: admin<br>Password:<br><br>Router&gt; configure terminal<br>Router(config)# crypto algorithm-hide disable<br><br>% The setting has been changed. You should reboot device to apply setting.<br><br>Router(config)# write<br>Router(config)# reboot<br><br>&gt; Поделитесь информацией, как решили задачу, предстоит аналогичная.<br><br>А задачу решил заменой оборудования. Так то получилось кое-что высасать из ентой конструкции. В туннельном он роутил подсети, но мне нужно было другое. Поднять IPSEC в транспортном режиме между zywall и openswan не получилось. По каким-то странным обстоятельсвам не получилось на концах туннеля поставить ип адреса и как-то маршрутизировать через туннель. Так как ни чего кроме подсети на в туннеле больше ни чего в нее не инкапсулировалось. И еще много много разных НО.<br>Выклянчил mikrotik во все офисы - и буквально за п https://www.opennet.ru/openforum/vsluhforumID10/5300.html#9 Thu, 09 Apr 2015 09:33:45 GMT &gt;&gt;&gt; &gt; я уперся в не поддержку des на openswan и отсутствие альтернатив <br>&gt;&gt; это не так. У меня бежит не одня сотня туннелей на сване <br>&gt;&gt; (strongswan) и среди них куча старых железок. Часть из них на <br>&gt;&gt; 3des.<br>&gt;&gt; Скорее всего это просто неправильные конфиги.<br>&gt; Конфиг правильный. Просто на Zywall отключена поддержка 3des и всего остального. На <br>&gt; офф сайте есть по этому вопросу комменты. Но на мое счастье <br>&gt; нашел другую статью(вернее носом добрые люди ткнули) http://zyxel.ru/kb/2224 где <br>&gt; нашлось решение всех моих проблем.<br>&gt; Так что всем спасибо! Вопрос можно снимать с повестки дня.<br><br>К сожалению страница не открылась (404).<br>Поделитесь информацией, как решили задачу, предстоит аналогичная.<br><br> https://www.opennet.ru/openforum/vsluhforumID10/5300.html#8 Tue, 03 Feb 2015 03:36:11 GMT &gt;&gt; &gt; я уперся в не поддержку des на openswan и отсутствие альтернатив <br>&gt; это не так. У меня бежит не одня сотня туннелей на сване <br>&gt; (strongswan) и среди них куча старых железок. Часть из них на <br>&gt; 3des.<br>&gt; Скорее всего это просто неправильные конфиги.<br><br>Конфиг правильный. Просто на Zywall отключена поддержка 3des и всего остального. На офф сайте есть по этому вопросу комменты. Но на мое счастье нашел другую статью(вернее носом добрые люди ткнули) http://zyxel.ru/kb/2224 где нашлось решение всех моих проблем.<br><br>Так что всем спасибо! Вопрос можно снимать с повестки дня.<br> https://www.opennet.ru/openforum/vsluhforumID10/5300.html#7 Mon, 02 Feb 2015 18:46:14 GMT <br>&gt; &gt; я уперся в не поддержку des на openswan и отсутствие альтернатив <br><br>это не так. У меня бежит не одня сотня туннелей на сване (strongswan) и среди них куча старых железок. Часть из них на 3des.<br><br>Скорее всего это просто неправильные конфиги.<br> https://www.opennet.ru/openforum/vsluhforumID10/5300.html#6 Mon, 02 Feb 2015 11:37:22 GMT Тогда давайте по другому. Чем можно связать zyxell zywall 300, 50 и 2 по VPN c Centos???<br>Мое мнение касательно этих железок крайне негативное. Более менее разобравшись с openswan я уперся в не поддержку des на openswan и отсутствие альтернатив на данных железках. <br><br>Люди, выручайте.<br> https://www.opennet.ru/openforum/vsluhforumID10/5300.html#5 Mon, 02 Feb 2015 03:34:28 GMT &gt; Доброе!<br>&gt; Уже давно есть LibreSwan, также есть StrongSwan.<br>&gt; Вы бы лучше реальный конфиг показали (IP и там можно сменить), и <br>&gt; логи!<br>&gt; 1. https://github.com/xelerance/Openswan/wiki <br>&gt; 2. https://libreswan.org/wiki/Configuration_examples <br>&gt; 3. https://wiki.strongswan.org/projects/strongswan/wiki/UserDocumentation <br><br>Ок. Я понял что сего зверя мне не победить. Во всяком случаи пока что. Оставим его на лабораторные испытания. Подскажите тогда на чем можно поднять IPSEC.<br><br>Из последних трабл - не хочет генерировать RSA длиной 1024 bit. Подозреваю что и работать с меньшим не захочет. Минимум сколько делает это 2192. А Zywall максимум 2048 переваривает. <br> https://www.opennet.ru/openforum/vsluhforumID10/5300.html#4 Mon, 02 Feb 2015 02:41:47 GMT &gt;[оверквотинг удален]<br>&gt;&gt; iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT <br>&gt;&gt; iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT <br>&gt;&gt; iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPT <br>&gt; При чем тут udp порт 50?<br>&gt; Вы вообще понимаете что делаете: <br>&gt; protocol 50 if you use ESP encryption and/or authentication (the typical case) <br>&gt; protocol 51 if you use AH packet-level authentication <br>&gt; не порт 50 udp надо открыть, а протокол 50.<br>&gt; iptables -A INPUT -p 50 -j ACCEPT <br>&gt; Куда этот мир катится...<br><br>Конечно же нет. <br> https://www.opennet.ru/openforum/vsluhforumID10/5300.html#3 Sun, 01 Feb 2015 23:57:26 GMT &gt; В фаерволе порты открыты <br>&gt; iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT <br>&gt; iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT <br>&gt; iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPT <br><br>При чем тут udp порт 50?<br>Вы вообще понимаете что делаете:<br>protocol 50 if you use ESP encryption and/or authentication (the typical case)<br>protocol 51 if you use AH packet-level authentication<br><br>не порт 50 udp надо открыть, а протокол 50.<br><br>iptables -A INPUT -p 50 -j ACCEPT<br>Куда этот мир катится...<br> https://www.opennet.ru/openforum/vsluhforumID10/5300.html#2 Sun, 01 Feb 2015 21:19:28 GMT Доброе!<br><br>Уже давно есть LibreSwan, также есть StrongSwan.<br>Вы бы лучше реальный конфиг показали (IP и там можно сменить), и логи!<br><br>1. https://github.com/xelerance/Openswan/wiki<br>2. https://libreswan.org/wiki/Configuration_examples<br>3. https://wiki.strongswan.org/projects/strongswan/wiki/UserDocumentation<br>