D-Link • Просмотр темы - DI-804HV IPSEC-LINUX Нестабильная работа!

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

DI-804HV IPSEC-LINUX Нестабильная работа!

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 2

[ Сообщений: 19 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

KanycTa

Заголовок сообщения: DI-804HV IPSEC-LINUX Нестабильная работа!

Добавлено: Пт июн 26, 2009 12:22

Зарегистрирован: Вт авг 26, 2008 09:13
Сообщений: 31

Проблема с стабильной работой тунеля.

Есть много удаленных точек, подключеных либо dlink-804hv либо linux (ubuntu)
Все они соеденены с главным сервером (xxx.xxx.xxx.xxx) по ipsec.
Объеденены в общую локальную сеть 192.168.0.0/16
Тунели везде поднимаются и работают отлично. Пользователи используют все сети и проблем не знают. Длилось это около 2-3 месяцев после объеденение сетей в одну.
Сейчас же ситуация изменилась. Настройки dlink'ов и ipsec-linux никто не производит и никакие сети туда больше не добавлялись.

Временами начинает проподать ipsec связь с Dlink. А точнее тунель сам поднимается, а пакеты не ходят. Перезагрузкой длинка, смена прошивки, загрузка сохраненной работоспасобной конфигурации на длинк, а та же перезагрузка основного сервера ipsec (xxx.xxx.xxx.xxx) результата не дает.
В итоге ожидания не определенного времени (это бывает пару часов, а бывает и пару дней) Связь востанавливается сама и пакеты начинают ходить.

Хочу заметить что пропадает связь именно с Dlink.
Связь между linux-linux работает бесперебойно уже пол года и неединого разрыва

Раньше это было замечено на 1 длинке, это на нем началось часто проявлятся и мы решили его заменить, вдруг глюк какой.
Проблема исчезла. Но примерно через неделю она появилась в другой точке. Теперь уже в нескольких местах такое.

Использую такую схему

Настройка длинка

Код:

Local Subnet [i]192.168.30.0[/i]
Local NetMask [i]255.255.255.0[/i]
Remote Subnet [i]192.168.0.0[/i]
Remote Netmask [i]255.255.0.0[/i]
Remote Gateway [i]xxx.xxx.xxx.xxx[/i]
Preshare Key [i]key[/i]
Auto-reconnect [i]v[/i]

Select ipsec proposal
IKE proposal tunel
tunel | group2 | des | md5 | 28800

Select ipsec proposal
IPSec Proposal index tunel
tunel | group2 | esp | des | md5 | 28800

Настройка линукса

pks.txt

Код:

yyy.yyy.yyy.yyy key

racoon.conf

Код:

path pre_shared_key "/etc/racoon/psk.txt";
remote  anonymous
{
    exchange_mode main;
    proposal {
        encryption_algorithm des;
        hash_algorithm md5;
        authentication_method pre_shared_key;
        dh_group 2 ;
    }
}
sainfo anonymous
{
    pfs_group 2;
    encryption_algorithm des;
    authentication_algorithm hmac_md5;
    compression_algorithm deflate;
}

ipsec-tools.conf

Код:

#!/usr/sbin/setkey -f

flush;
spdflush;
spdadd 192.168.30.0/24 192.168.0.0/16 any -P in ipsec esp/tunnel/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/require;
spdadd 192.168.0.0/16 192.168.30.0/24 any -P out ipsec esp/tunnel/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require;

Вернуться наверх

KanycTa

Заголовок сообщения:

Добавлено: Сб июн 27, 2009 08:56

Зарегистрирован: Вт авг 26, 2008 09:13
Сообщений: 31

Хотелось бы ответа. АП

Вернуться наверх

KanycTa

Заголовок сообщения:

Добавлено: Пн июн 29, 2009 07:48

Зарегистрирован: Вт авг 26, 2008 09:13
Сообщений: 31

Еще раз ап.
Может вам еще какой-нибудь информации нужно?

Вернуться наверх

KanycTa

Заголовок сообщения:

Добавлено: Пн июн 29, 2009 07:50

Зарегистрирован: Вт авг 26, 2008 09:13
Сообщений: 31

Проблема явно в длинке. Тунель видно поднят, но пакеты с длинка не доходят до моей сети.
Такой длинк не один!

Вернуться наверх

KanycTa

Заголовок сообщения:

Добавлено: Вт июн 30, 2009 05:28

Зарегистрирован: Вт авг 26, 2008 09:13
Сообщений: 31

Еще разок ап. Что мне делать? Работа стоит.
Может мне вам длинки с глюками привезти вы потестируете?

Вернуться наверх

Sergey Vasiliev

Заголовок сообщения:

Добавлено: Ср июл 01, 2009 13:17

Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow

вы сами озвучили ответ.

Local Subnet 192.168.30.0
Local NetMask 255.255.255.0
Remote Subnet 192.168.0.0
Remote Netmask 255.255.0.0

Как видите у вас удаленная сеть совпадает по маске с локальной . Этого быть не должно.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Вернуться наверх

KanycTa

Заголовок сообщения:

Добавлено: Пт июл 03, 2009 07:10

Зарегистрирован: Вт авг 26, 2008 09:13
Сообщений: 31

Я изменил как вы просили на

Local Subnet 192.168.30.0
Local NetMask 255.255.255.0
Remote Subnet 192.168.253.0
Remote Netmask 255.255.255.0

Как я и догадывался, то дело не в этом. Dlink сам добавляет свою сеть в исключения ипсек, из за этого он и работает.

Была у меня проблема с линуксом, когда я хотел такую маску использовать (255.255.0.0) для удаленной сети. и он начал понимать что сам находится в ипсеке и терял связь со всем миром. никакие пинги не принимал не отправлял. Решилось это исключением локальной сети из ипсек.

На скоко я понимаю тут временами пинги ходят, на все ответы и запросы он отвечает. Значит дело не в маске, а в чем то другом. Тем более он с маской 255.255.253.0 нехочет работать

Вот еще setkey -D, может это поможет

Код:

192.168.253.2 xxx.xxx.xxx.xxx
        esp mode=tunnel spi=1477443600(0x58100010) reqid=0(0x00000000)
        E: des-cbc  737be089 de3d14f9
        A: hmac-md5  5af61599 0bf0ccb8 3dc85618 0c4ef2e7
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Jul  3 10:07:03 2009   current: Jul  3 10:14:38 2009
        diff: 455(s)    hard: 28800(s)  soft: 23040(s)
        last: Jul  3 10:07:09 2009      hard: 0(s)      soft: 0(s)
        current: 420(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 7    hard: 0 soft: 0
        sadb_seq=5 pid=7045 refcnt=0
xxx.xxx.xxx.xxx 192.168.253.2
        esp mode=tunnel spi=67712222(0x040934de) reqid=0(0x00000000)
        E: des-cbc  46eab251 2772ed4f
        A: hmac-md5  17890151 85d1a0e5 21fa4bd0 c4d807e0
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Jul  3 10:07:03 2009   current: Jul  3 10:14:38 2009
        diff: 455(s)    hard: 28800(s)  soft: 23040(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=6 pid=7045 refcnt=0

Вернуться наверх

KanycTa

Заголовок сообщения:

Добавлено: Пн июл 06, 2009 06:05

Зарегистрирован: Вт авг 26, 2008 09:13
Сообщений: 31

АП

Вернуться наверх

KanycTa

Заголовок сообщения:

Добавлено: Пн июл 06, 2009 09:14

Зарегистрирован: Вт авг 26, 2008 09:13
Сообщений: 31

Еще раз скажу что связь пропадает именно на длинках и в одно время сразу. Сегодня пытался копать логи, ничего интересного не нашел.
Пытался изменять настройки. Ничего не помогло, потом на глазах сразу все соединения поднялись и заработали. Причем одновременно заработал ипсек на резервном сервере, на который я перенес часть соединений и на котором никаких настроек не производил.

Вернуться наверх

KanycTa

Заголовок сообщения:

Добавлено: Пн июл 06, 2009 13:14

Зарегистрирован: Вт авг 26, 2008 09:13
Сообщений: 31

Меня смущает лог с конфликтного длинка. На котором ипсек поднимается но пакеты не ходят

Код:

Mon Jul 06 15:09:48 2009 Send IKE (INFO) : delete [192.168.84.0|yyy.yyy.yyy.yyy]-->[xxx.xxx.xxx.xxx|192.168.0.0] phase 2
Mon Jul 06 15:09:48 2009 IKE phase2 (IPSec SA) remove : 192.168.84.0 <-> 192.168.0.0
Mon Jul 06 15:09:48 2009          inbound SPI = 0x9701c9d6, outbound SPI = 0x93b42df
Mon Jul 06 15:09:48 2009 Send IKE (INFO) : delete yyy.yyy.yyy.yyy -> xxx.xxx.xxx.xxx phase 1
Mon Jul 06 15:09:48 2009 IKE phase1 (ISAKMP SA) remove : yyy.yyy.yyy.yyy <-> xxx.xxx.xxx.xxx
Mon Jul 06 15:09:48 2009 UPP: Eventing NG:-12
Mon Jul 06 15:09:51 2009 Send IKE A1(AINIT) : yyy.yyy.yyy.yyy --> xxx.xxx.xxx.xxx
Mon Jul 06 15:09:56 2009 IKED re-TX : AINIT to xxx.xxx.xxx.xxx
Mon Jul 06 15:09:56 2009 Receive IKE A2(ARESP) : [xxx.xxx.xxx.xxx]-->[yyy.yyy.yyy.yyy]
Mon Jul 06 15:09:56 2009 Try to match with ENC:DES AUTH:PSK HASH:MD5 Group:Group2
Mon Jul 06 15:09:56 2009 Send IKE A3(AHASH) : [yyy.yyy.yyy.yyy]-->[xxx.xxx.xxx.xxx]
Mon Jul 06 15:09:56 2009 IKE Phase1 (ISAKMP SA) established : [yyy.yyy.yyy.yyy]<->[xxx.xxx.xxx.xxx]
Mon Jul 06 15:09:56 2009 Send IKE Q1(QINIT) : 192.168.84.0 --> 192.168.0.0
Mon Jul 06 15:10:01 2009 IKED re-TX : QINIT to xxx.xxx.xxx.xxx
Mon Jul 06 15:10:06 2009 IKED re-TX : QINIT to xxx.xxx.xxx.xxx
Mon Jul 06 15:10:16 2009 IKED re-TX : QINIT to xxx.xxx.xxx.xxx
Mon Jul 06 15:10:26 2009 IKED re-TX : QINIT to xxx.xxx.xxx.xxx
Mon Jul 06 15:10:46 2009 IKED re-TX : QINIT to xxx.xxx.xxx.xxx
Mon Jul 06 15:10:47 2009 Send IKE (INFO) : delete [192.168.84.0|yyy.yyy.yyy.yyy]-->[xxx.xxx.xxx.xxx|192.168.0.0] phase 2
Mon Jul 06 15:10:47 2009 IKE phase2 (IPSec SA) remove : 192.168.84.0 <-> 192.168.0.0
Mon Jul 06 15:10:47 2009          inbound SPI = 0x9901e3ce, outbound SPI = 0x0
Mon Jul 06 15:10:47 2009 Send IKE Q1(QINIT) : 192.168.84.0 --> 192.168.0.0
Mon Jul 06 15:10:47 2009 Receive IKE Q2(QRESP) : [192.168.0.0|xxx.xxx.xxx.xxx]-->[yyy.yyy.yyy.yyy|192.168.84.0]
Mon Jul 06 15:10:47 2009 Try to match ESP with MODE:Tunnel PROTOCAL:ESP-DES AUTH:MD5 HASH:Others PFS(Group):Group2
Mon Jul 06 15:10:47 2009 Send IKE Q3(QHASH) : 192.168.84.0 --> 192.168.0.0
Mon Jul 06 15:10:47 2009 IKE Phase2 (IPSEC SA) established : [192.168.0.0|xxx.xxx.xxx.xxx]<->[yyy.yyy.yyy.yyy|192.168.84.0]
Mon Jul 06 15:10:47 2009           inbound SPI = 0x9a01074d, outbound SPI = 0x70a5dbb

Через какое-то время это проходит и все становится нормальным. САМО ПО СЕБЕ!

Вернуться наверх

KanycTa

Заголовок сообщения:

Добавлено: Вт июл 07, 2009 12:54

Зарегистрирован: Вт авг 26, 2008 09:13
Сообщений: 31

ап

Вернуться наверх

Cranium

Заголовок сообщения:

Добавлено: Вт июл 07, 2009 13:13

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478

Версию FW на 804х озвучьте пожалуйста.

Вернуться наверх

KanycTa

Заголовок сообщения:

Добавлено: Вт июл 07, 2009 13:30

Зарегистрирован: Вт авг 26, 2008 09:13
Сообщений: 31

Current Firmware Version: V1.51b03
Firmware Date: Mon, Sep 15 2008

Вернуться наверх

Cranium

Заголовок сообщения:

Добавлено: Вт июл 07, 2009 15:09

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478

поднимите тунель между 2мя любыми DI804, и посмотрите будет ли он тоже "падать" вместе с тунелем до вашего линуха.

Вернуться наверх

miant

Заголовок сообщения:

Добавлено: Ср июл 08, 2009 11:27

Зарегистрирован: Пт апр 27, 2007 17:46
Сообщений: 265
Откуда: Кишинев

KanycTa писал(а):

Current Firmware Version: V1.51b03
Firmware Date: Mon, Sep 15 2008

Еще можно попробовать обновить версию до 1.51b10 - ее выложили.

Вернуться наверх

Страница 1 из 2

[ Сообщений: 19 ]

На страницу 1, 2 След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 350

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения