Openswan IPSEC на Centos 6.6 в KVM и Zywall, suharik71, 01-Фев-15, 21:47 [смотреть все]Доброе время суток уважаемые коллеги! Столкнулся я с такой, для себя, не тривиальной проблемой. Есть VDS у FIRSTVDS(не для рекламы) работающий в KVM. В контейнере крутится Centos. Стоит задача к этому Centos по IPSEC прикрутить ряд географически разнесенных офисов. В офисах стоят Zywall'ы. Из этого и вытекает что надо использовать IPSEC, так как эти чудные железки ни чего больше не умеют. Уже почти неделю бьюсь над этой задачей. Перепробовал кучу рецептов и примеров настройки. Но чует мое сердце что оплот зла кроется в другом. Openswan был выбран случайно, так как Centos именно его пропагандирует, убран из своих репозиториев racoon входящий в состав ipsec-tools. Приступим: Процедуры по редактированию /etc/sysctl.conf были произведены net.ipv4.ip_forward = 1 # разрешить пересылку пакетов между интерфейсами net.ipv4.conf.all.send_redirects = 0 # отключаем icmp redirect net.ipv4.conf.all.accept_redirects = 0 # отключаем icmp redirect net.ipv4.conf.default.send_redirects = 0 # отключаем icmp redirect net.ipv4.conf.default.accept_redirects = 0 # отключаем icmp redirect В фаерволе порты открыты iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPT На Centos'e ни каких виртуальных интерфейсов нет, поэтому в настойках ipsec.conf left=1.1.1.1 # Указываем внешний ip адрес leftsubnet=1.1.1.1/32 # указываем внутреннюю подсеть У второй стороны все как подобает right=2.2.2.2 rightsubnet=10.1.1.0/24 Авторизация по паролю /etc/ipsec.secrets 2.2.2.2 1.1.1.1: PSK "pre_shared_key" esp=des-sha1 ike=des-sha1-modp1024 В общем все достаточно стандартно, но туннель не поднимается. А самое интересное что при настройки туннели перестают возможными пинги со второй стороны. Как только удаляешь настройки туннеля, пинги снова идут. Помогите разобраться с данным вопросом. Есть подозрения что моя концепция по решению данного вопроса не верна и есть более верный и простой способ
|
- Openswan IPSEC на Centos 6.6 в KVM и Zywall, Exploit, 22:00 , 01-Фев-15 (1)
- Openswan IPSEC на Centos 6.6 в KVM и Zywall, Loly, 00:19 , 02-Фев-15 (2) +1
- Openswan IPSEC на Centos 6.6 в KVM и Zywall, shadow_alone, 02:57 , 02-Фев-15 (3)
> В фаерволе порты открыты > iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT > iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT > iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPT При чем тут udp порт 50? Вы вообще понимаете что делаете: protocol 50 if you use ESP encryption and/or authentication (the typical case) protocol 51 if you use AH packet-level authentication не порт 50 udp надо открыть, а протокол 50. iptables -A INPUT -p 50 -j ACCEPT Куда этот мир катится...
- Openswan IPSEC на Centos 6.6 в KVM и Zywall, suharik71, 05:41 , 02-Фев-15 (4)
>[оверквотинг удален] >> iptables -A INPUT -i eth0 -p udp --dport 500 -j ACCEPT >> iptables -A INPUT -i eth0 -p udp --dport 4500 -j ACCEPT >> iptables -A INPUT -i eth0 -p udp --dport 50 -j ACCEPT > При чем тут udp порт 50? > Вы вообще понимаете что делаете: > protocol 50 if you use ESP encryption and/or authentication (the typical case) > protocol 51 if you use AH packet-level authentication > не порт 50 udp надо открыть, а протокол 50. > iptables -A INPUT -p 50 -j ACCEPT > Куда этот мир катится...Конечно же нет.
- Openswan IPSEC на Centos 6.6 в KVM и Zywall, suharik71, 14:37 , 02-Фев-15 (6)
Тогда давайте по другому. Чем можно связать zyxell zywall 300, 50 и 2 по VPN c Centos??? Мое мнение касательно этих железок крайне негативное. Более менее разобравшись с openswan я уперся в не поддержку des на openswan и отсутствие альтернатив на данных железках. Люди, выручайте.
- Openswan IPSEC на Centos 6.6 в KVM и Zywall, Serge, 21:46 , 02-Фев-15 (7)
> > я уперся в не поддержку des на openswan и отсутствие альтернатив это не так. У меня бежит не одня сотня туннелей на сване (strongswan) и среди них куча старых железок. Часть из них на 3des. Скорее всего это просто неправильные конфиги.
- Openswan IPSEC на Centos 6.6 в KVM и Zywall, suharik71, 06:36 , 03-Фев-15 (8) –1
>> > я уперся в не поддержку des на openswan и отсутствие альтернатив > это не так. У меня бежит не одня сотня туннелей на сване > (strongswan) и среди них куча старых железок. Часть из них на > 3des. > Скорее всего это просто неправильные конфиги.Конфиг правильный. Просто на Zywall отключена поддержка 3des и всего остального. На офф сайте есть по этому вопросу комменты. Но на мое счастье нашел другую статью(вернее носом добрые люди ткнули) http://zyxel.ru/kb/2224 где нашлось решение всех моих проблем. Так что всем спасибо! Вопрос можно снимать с повестки дня.
- Openswan IPSEC на Centos 6.6 в KVM и Zywall, timur_m, 12:33 , 09-Апр-15 (9)
>>> > я уперся в не поддержку des на openswan и отсутствие альтернатив >> это не так. У меня бежит не одня сотня туннелей на сване >> (strongswan) и среди них куча старых железок. Часть из них на >> 3des. >> Скорее всего это просто неправильные конфиги. > Конфиг правильный. Просто на Zywall отключена поддержка 3des и всего остального. На > офф сайте есть по этому вопросу комменты. Но на мое счастье > нашел другую статью(вернее носом добрые люди ткнули) http://zyxel.ru/kb/2224 где > нашлось решение всех моих проблем. > Так что всем спасибо! Вопрос можно снимать с повестки дня.К сожалению страница не открылась (404). Поделитесь информацией, как решили задачу, предстоит аналогичная.
- Openswan IPSEC на Centos 6.6 в KVM и Zywall, suharik71, 06:21 , 10-Апр-15 (10)
> К сожалению страница не открылась (404).Странно, у меня открывается http://zyxel.ru/kb/2224 можно в правильном поисковике набрать zywall usg 3 des Ну или вот так оно делается через CLI Username: admin Password: Router> configure terminal Router(config)# crypto algorithm-hide disable % The setting has been changed. You should reboot device to apply setting. Router(config)# write Router(config)# reboot > Поделитесь информацией, как решили задачу, предстоит аналогичная. А задачу решил заменой оборудования. Так то получилось кое-что высасать из ентой конструкции. В туннельном он роутил подсети, но мне нужно было другое. Поднять IPSEC в транспортном режиме между zywall и openswan не получилось. По каким-то странным обстоятельсвам не получилось на концах туннеля поставить ип адреса и как-то маршрутизировать через туннель. Так как ни чего кроме подсети на в туннеле больше ни чего в нее не инкапсулировалось. И еще много много разных НО. Выклянчил mikrotik во все офисы - и буквально за пол дня все перенастроил и оттестировал. Теперь между офисами IPSEC в транспортном режиме. В нем GRE. Через GRE гоняю трафик и OSPF. Жизнь нет нет, а наладилась!
|