1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Вс авг 03, 2025 20:37

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 2 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
rapmon
 Заголовок сообщения: DFL-200 проблема с IPsec
СообщениеДобавлено: Пн июл 27, 2009 14:58 
Не в сети

Зарегистрирован: Пт янв 23, 2009 14:20
Сообщений: 4
Добрый день!
Пытаюсь поднять IPsec туннель между DFL-200 и Debian 5.0 ( Racoon)
Туннель поднимается но по непонятной причине удалённая сеть
недоступна.
DFL-200:
dfl-200 прошивка - 1.35.00-PRE001
Lan 192.168.71.98/27
Policy: Allow all VPN traffic: internal->VPN, VPN->internal and VPN->VPN.
IPsec :
Name Local Net Remote Net Remote Gateway
----------------------------------------------------------------------------
test | 192.168.71.96/27 | 192.168.0.0/24 | Debian wan ip
----------------------------------------------------------------------------
Route: Automatically add a route for the remote network
Authentication: PSK 123456789
IKE Mode: Main mode IKE
IKE DH Group: 2
PFS: Enable Perfect Forward Secrecy
IKE Proposal List: 3DES SHA-1 28800
IPsec Proposal List: 3DES SHA-1 3600

Debian:
LAN:1 192.168.0.0/20
remote WAN IP DFL {
exchange_mode main;
proposal {
lifetime time 24 hour;
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
}
sainfo address 192.168.71.96/27 any address 192.168.0.0/20 any {
pfs_group modp1024;
lifetime time 1 hour;
encryption_algorithm 3des;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}

PSK
WAN IP DFL 123456789
----------------------------------------------------------
Логи поднятия IPsec туннеля:
<6>EFW: IPSEC: prio=1 SA ESP[24edd599] alg [3des-cbc/24]+hmac[hmac-sha1-96] bundle [3,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=192.168.0.0/24) dst=ipv4_subnet(any:0,[0..7]=192.168.71.96/27)
<6>EFW: IPSEC: prio=1 SA ESP[0dee6fb9] alg [3des-cbc/24]+hmac[hmac-sha1-96] bundle [3,0] pri 0 opts src=ipv4_subnet(any:0,[0..7]=192.168.71.96/27) dst=ipv4_subnet(any:0,[0..7]=192.168.0.0/24)
<6>EFW: IPSEC: prio=1 Phase-2 [initiator] done bundle 3 with 2 SA's by rule 3:`ipsec ipv4_subnet(any:0,[0..7]=192.168.71.96/27)<->ipv4_subnet(any:0,[0..7]=192.168.0.0/24)(gw:ipv4(any:0,[0..3]=Debian wan ip))'
<6>EFW: IPSEC: prio=1 Phase-1 [initiator] between ipv4(udp:500,[0..3]=DFL wan ip) and ipv4(udp:500,[0..3]=Debian wan ip) done.
<5>EFW: CONN: rule=IPsecBeforeRules conn=open connipproto=UDP connrecvif=WAN connsrcip=Debian wan ip connsrcport=500 conndestif=core conndestip=DFL wan ip conndestport=500
----------------------------------------------------------
Racoon setkey -D :
DFL wan Debian wan
esp mode=tunnel spi=197207603(0x0bc12633) reqid=0(0x00000000)
E: 3des-cbc 4ec3f2ef 7e43c1d4 c06063e1 52e35e88 9cdd04c6 3f480793
A: hmac-sha1 97658f1b 5bd84e6d b7c1777a 47d51fea 644ac7dd
seq=0x00000000 replay=4 flags=0x00000000 state=dying
created: Jul 27 14:55:17 2009 current: Jul 27 15:50:32 2009
diff: 3315(s) hard: 3600(s) soft: 2880(s)
last: Jul 27 14:55:18 2009 hard: 0(s) soft: 0(s)
current: 2006(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 10 hard: 0 soft: 0
sadb_seq=61 pid=6847 refcnt=0
Debian wan DFL wan
esp mode=tunnel spi=3108194377(0xb9434849) reqid=0(0x00000000)
E: 3des-cbc 2c2ea352 a88498b4 d205990a 71feee1a 95a5b7f7 1b3adde9
A: hmac-sha1 bb699378 435af0b5 383f2d9a 6feb56f2 ace66a45
seq=0x00000000 replay=4 flags=0x00000000 state=dying
created: Jul 27 14:55:17 2009 current: Jul 27 15:50:32 2009
diff: 3315(s) hard: 3600(s) soft: 2880(s)
last: Jul 27 14:55:18 2009 hard: 0(s) soft: 0(s)
current: 1252(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 15 hard: 0 soft: 0
sadb_seq=62 pid=6847 refcnt=0

Racoon setkey -DP:
192.168.0.0/20[any] 192.168.71.96/27[any] any
out ipsec
esp/tunnel/Debian wan-DFL wan/require
created: Jul 27 14:54:59 2009 lastused: Jul 27 15:52:32 2009
lifetime: 0(s) validtime: 0(s)
spid=66001 seq=193 pid=6849
refcnt=3
192.168.71.96/27[any] 192.168.0.0/20[any] any
in ipsec
esp/tunnel/DFL wan-Debian wan/require
created: Jul 27 14:54:59 2009 lastused:
lifetime: 0(s) validtime: 0(s)
spid=66008 seq=194 pid=6849
refcnt=1
192.168.71.96/27[any] 192.168.0.0/20[any] any
fwd ipsec
esp/tunnel/DFL wan-Debian wan/require
created: Jul 27 14:54:59 2009 lastused: Jul 27 15:52:04 2009
lifetime: 0(s) validtime: 0(s)
spid=66018 seq=195 pid=6849
refcnt=2

Но локальная сеть 192.168.71.96/27 остаётся недоступной,при этом с самого длфа локальные адреса 192.168.0.0/20 доступны.
С чём может быть связанна проблема?
PS: На Debian машине на данный момент работают 60+ IPsec туннелей, без каких либо нареканий с всевозможным оборудованием( DLINK DI-804HV, DFL-210 ).
Первый раз пытаемся поднять туннель с DFL-200 и такие грабли...
Вернуться наверх
 Профиль  
 
Sergey Vasiliev
 Заголовок сообщения:
СообщениеДобавлено: Вт июл 28, 2009 14:08 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Проверял, с raccon работает без нареканий.

Настройки при проверке были такие:
Код:
# $KAME: racoon.conf.in,v 1.18 2001/08/16 06:33:40 itojun Exp $
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
log notify;

padding
{
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
}


timer
{
        # These value can be changed per remote node.
        counter 5;              # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
        persend 1;              # the number of packets per send.

        # maximum time to wait for completing each phase.
        phase1 30 sec;
        phase2 15 sec;
}


listen
{
       isakmp 192.168.100.47 [500];
       isakmp_natt 192.168.100.47 [4500];
}

remote 192.168.100.106
{
       exchange_mode main;
       doi ipsec_doi;
       situation identity_only;
       my_identifier address 192.168.100.47;
       peers_identifier address 192.168.100.106;
       #lifetime time 28800 sec;
       initial_contact on;
       nat_traversal off;
       generate_policy unique;
       proposal_check obey;
proposal {
       encryption_algorithm 3des;
       hash_algorithm md5;
       authentication_method pre_shared_key;
       dh_group 2;
       lifetime time 28800 sec;
       }
}

sainfo subnet 192.168.10.0/24 any subnet 192.168.1.0/24 any
{
       pfs_group 2;
       lifetime time 3600 sec;
       encryption_algorithm 3des;
       authentication_algorithm hmac_md5;
       compression_algorithm deflate;
}
       

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 2 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 184

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB