URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 56749
[ Назад ]
Исходное сообщение
"FreeBSD racoon<===>Windows IPSEC"
Отправлено max , 25-Май-05 11:48 
Здравствуйте!
Вот возникла такая проблема:
Есть FreeBSD 4.9 С демоном racoon, машины с виндой хр. Между ними настроен ipsec и с сертификатами x509 и с прешаренными ключами. Всё прекрансно работает гдето около часа! потом отваливатеся и нет связи вообще. я понял по чему но не знаю как поправить! А дело в том что по команде setkey -D я вижу не две политики а четыре! тоесть произошла рассинхронизация машин! Тоесть сервер сегнерил новую политику а старую не удалил, плюс винда не сгенерила новый ключ! Лечется данная ситуация только setkey -F а на машине клиенте только перезапуском службы IPsec! После этого опять работает гдето час или два, причём это не зависит от того используется сертифиат или прешаренный ключ!
Вот конфиги:
racoon:>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
inet# cat racoon.conf
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
path certificate "/usr/local/etc/racoon/cert" ;

padding
{
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
}
listen
{
        #isakmp ::1 [7000];
        isakmp 10.203.0.2 [500];
        #admin [7002];          # administrative's port by kmpstat.
        #strict_address;        # required all addresses must be bound.
}
timer
{
        # These value can be changed per remote node.
        counter 5;              # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
        persend 1;              # the number of packets per a send.

        # timer for waiting to complete each phase.
        phase1 30 sec;
        phase2 15 sec;
}
remote anonymous
{
        exchange_mode aggressive,main;
        doi ipsec_doi;
        situation identity_only;
        nonce_size 16;
        generate_policy on;
        lifetime time 60 sec;   # sec,min,hour
        initial_contact on;
        support_proxy on;
        proposal_check obey;    # obey, strict or claim
        proposal {
                encryption_algorithm 3des;
                hash_algorithm md5;
                authentication_method pre_shared_key ;
                dh_group 2 ;
        }
}
sainfo anonymous
{
        pfs_group 1;
        lifetime time 24 hour;
        encryption_algorithm 3des,des ;
        authentication_algorithm hmac_sha1,hmac_md5;
        compression_algorithm deflate ;
}

IPsec на винде:>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Свойства политики:
=================Проверять политику на наличае изменений каждые: 120 мин
=================Основной ключ безопасной пересылки (PFS)
=================---Проверять подлинность и создавать новый ключ через каждые: 120 мин
=================Методы:
========================1. IKE 3DES SHA1 Средняя(2)
========================2. IKE 3DES MD5 Средняя(2)
Правила безопасности:
=====================Действие фильтра:
======================================Согласовать безопасность
++++++++++++++++++++++++++++++++++++++Тип++Целостност AH++Шифрование++ Целостность ESP++Время жизни
======================================Особая++<нет>++3DES++SHA1++100000/7200
======================================Сеансовые цыклы безопасной пересылки (PFS)
Метод проверки подлинности:
===========================Preshared key

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
Собственно вопрос что попдправить что бы небыло рассинхронизации?

Содержание
Сообщения в этом обсуждении
"FreeBSD racoon<===>Windows IPSEC"
Отправлено max , 26-Май-05 09:13 
Ну не ужели никто IPSec между FreeBSD и виндой не настраивал?
"FreeBSD racoon<===>Windows IPSEC"
Отправлено Max , 26-Май-05 21:51 
UP
"FreeBSD racoon<===>Windows IPSEC"
Отправлено max , 27-Май-05 12:24 
UP


"FreeBSD racoon<===>Windows IPSEC"
Отправлено Max , 29-Май-05 11:42 
UP


"FreeBSD racoon<===>Windows IPSEC"
Отправлено max , 30-Май-05 07:11 
>UP

Люди ну хоть url подскажите где айписеком занимаются!!

"FreeBSD racoon<===>Windows IPSEC"
Отправлено max , 30-Май-05 16:01 
Ну неужели нет сдесь спецов по IPSEC???? :((((
PEOPELE HELP!!!!
"FreeBSD racoon<===>Windows IPSEC"
Отправлено max , 31-Май-05 07:41 
UP

"FreeBSD racoon<===>Windows IPSEC"
Отправлено BarS , 31-Май-05 07:43 
В логах Xp и FreeBSD что есть?
"FreeBSD racoon<===>Windows IPSEC"
Отправлено A Clockwork Orange , 31-Май-05 08:23 
а где находятся логи windows, не считая event viewer ?
"FreeBSD racoon<===>Windows IPSEC"
Отправлено BarS , 31-Май-05 09:19 
>а где находятся логи windows, не считая event viewer ?


Смотря какие, некоторый проги ведут свои логи, от c:\ до куда угодно.
В 2000 Server была прога что-то типа ipsecmon, вот в ней бы глянуть что и как у тебя не так...

"FreeBSD racoon<===>Windows IPSEC"
Отправлено max , 31-Май-05 10:16 
В винде я логов не нашёл, а вот логракуна выложу сегодня вечером, сейчас возможности не имею.
"FreeBSD racoon<===>Windows IPSEC"
Отправлено BarS , 31-Май-05 10:59 
про диагностику:
http://support.microsoft.com/default.aspx?scid=kb;en-us;314831
"FreeBSD racoon<===>Windows IPSEC"
Отправлено toor99 , 31-Май-05 15:25 
>про диагностику:
>http://support.microsoft.com/default.aspx?scid=kb;en-us;314831

BarS, а ты не тот же самый BArS, который на форуме D&C ? :)


"FreeBSD racoon<===>Windows IPSEC"
Отправлено BarS , 31-Май-05 15:45 
>BarS, а ты не тот же самый BArS, который на форуме D&C
>? :)


Нет, с таким форумом я не знаком...

"FreeBSD racoon<===>Windows IPSEC"
Отправлено toor99 , 31-Май-05 15:24 
Это глюк то ли в racoon, то ли в MSовской реализации ISAKMP, но я это в свое время так и не поборол.
И подозреваю, кстати, что глюк таки у MS - поскольку IPSec между FreeBSD и Cisco работает без малейших проблем месяцами.