Пытаюсь настроить VPN соедение между машинкой FreeBSD 6.1 и маршрутизатором DI-804HV, используя IPSec и racoon.

Итак на машине внешний 192.168.1.50, внутренний 192.168.30.1 и соответственно сеть 192.168.30.0/24.

На маршрутизаторе внешний 192.168.1.46, внутренний 192.168.10.1 и соответственно сеть 192.168.10.0/24.

На машинке перекомпилил ядро с опциями:

options IPSEC
options IPSEC_ESP
options IPSEC_DEBUG

Установил racoon-20050510a.

В /etc/rc.conf прописал:

ifconfig_fxp0="inet 192.168.1.50 netmask 255.255.255.0"
ifconfig_fxp1="inet 192.168.30.1 netmask 255.255.255.0"

gif_interfaces="gif0"
gifconfig_gif0="192.168.1.50 192.168.1.46"
ifconfig_gif0="inet 192.168.30.1 192.168.10.1 netmask 255.255.255.0"
static_routes="vpn"
route_vpn="192.168.10.0/24 192.168.10.1"
export route_vpn

ipsec_enable="YES"
ipsec_enable="YES"
ipsec_file="/etc/ipsec.conf"
racoon="YES"

В /etc/ipsec.conf:

flush;
spdflush;
spdadd 192.168.30.0/24 192.169.10.0/24 any -P out ipsec esp/tunnel/192.168.1.50-192.168.1.46/require;
spdadd 192.169.10.0/24 192.168.30.0/24 any -P in ipsec esp/tunnel/192.168.1.46-192.168.1.50/require;

В /usr/local/etc/racoon/racoon.conf:

path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
path certificate "/usr/local/etc/cert" ;
padding
{
maximum_length 20;
randomize off;
strict_check off;
exclusive_tail off;
}

listen
{
isakmp 192.168.1.50 [500];
}

timer
{
# These value can be changed per remote node.
counter 5;
interval 20 sec;
persend 1;

# timer for waiting to complete each phase.
phase1 30 sec;
phase2 15 sec;
}

remote anonymous
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;

#my_identifier address;
my_identifier user_fqdn "alexo@do.ru";
peers_identifier user_fqdn "alexo@do.ru";

nonce_size 16;
lifetime time 3600 sec;
initial_contact on;
support_proxy off;
proposal_check obey;

proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key ;
dh_group 1 ;
}
}

sainfo anonymous
{
pfs_group 1;
lifetime time 3600 sec;
encryption_algorithm 3des ;
authentication_algorithm hmac_md5;
compression_algorithm deflate ;
}

ну и конечно ключ в /usr/loca/etc/racoon/psk.txt:

192.168.1.46 123456

На маршрутизаторе настроил новое VPN соединение:

Tunnel Name TST
Local Subnet 192.168.10.0
Local Netmask 255.255.255.0
Remote Subnet 192.168.30.0
Remote Netmask 255.255.255.0
Remote Gateway 192.168.1.50
Preshare Key 123456

IKE Proposal:

ike1 Group1 3DES SHA1 3600 Sec

IPSec Proposal:

ipsec1 Group1 ESP 3DES MD5 3600 Sec


И так после всех этих настроек при попытки инициировать соедение сос стороны маршрутизатора, racoon выдает следующее:

2007-01-11 18:06:19: INFO: isakmp.c:904:isakmp_ph1begin_r(): respond new phase 1 negotiation: 192.168.1.50[500]<=>192.168.1.46[500]
2007-01-11 18:06:19: INFO: isakmp.c:909:isakmp_ph1begin_r(): begin Identity Protection mode.
2007-01-11 18:06:20: WARNING: ipsec_doi.c:3067:ipsecdoi_checkid1(): ID type mismatched.
2007-01-11 18:06:20: WARNING: ipsec_doi.c:3115:ipsecdoi_checkid1(): ID value mismatched.
2007-01-11 18:06:20: INFO: isakmp.c:2459:log_ph1established(): ISAKMP-SA established 192.168.1.50[500]-192.168.1.46[500] spi:5f6a107d0a9479a7:93a773ff45262c1b
2007-01-11 18:06:25: NOTIFY: isakmp.c:267:isakmp_handler(): the packet is retransmitted by 192.168.1.46[500].
2007-01-11 18:06:30: NOTIFY: isakmp.c:267:isakmp_handler(): the packet is retransmitted by 192.168.1.46[500].
2007-01-11 18:06:40: NOTIFY: isakmp.c:267:isakmp_handler(): the packet is retransmitted by 192.168.1.46[500].
2007-01-11 18:06:50: NOTIFY: isakmp.c:267:isakmp_handler(): the packet is retransmitted by 192.168.1.46[500].
2007-01-11 18:07:09: NOTIFY: isakmp.c:267:isakmp_handler(): the packet is retransmitted by 192.168.1.46[500].
2007-01-11 18:07:10: ERROR: isakmp_inf.c:190:isakmp_info_recv(): ignore information due to hash length mismatch


Пинги не идут, связи нет. В чем может быть загвоздка ?

my_identifier user_fqdn "alexo@do.ru";
peers_identifier user_fqdn "alexo@do.ru";
DI-804hv использует в качестве ID, IP адреса, вы сказали ракуну что авторизация по FQDN

изменил в racoon.conf строчки:

my_identifier address 192.168.1.50;
peers_identifier address 192.168.1.46;

теперь пишет следующее:

2007-01-15 22:03:05: INFO: isakmp.c:904:isakmp_ph1begin_r(): respond new phase 1 negotiation: 192.168.1.50[500]<=>192.168.1.46[500]
2007-01-15 22:03:05: INFO: isakmp.c:909:isakmp_ph1begin_r(): begin Identity Protection mode.
2007-01-15 22:03:05: ERROR: ipsec_doi.c:428:print_ph1mismatched(): rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#1) = MD5:SHA
2007-01-15 22:03:05: ERROR: ipsec_doi.c:243:get_ph1approval(): no suitable proposal found.
2007-01-15 22:03:05: ERROR: isakmp_ident.c:779:ident_r1recv(): failed to get valid proposal.
2007-01-15 22:03:05: ERROR: isakmp.c:923:isakmp_ph1begin_r(): failed to process packet.

2007-01-15 22:03:05: ERROR: ipsec_doi.c:243:get_ph1approval(): no suitable proposal found.

Не могут быть выбраны аутификация и шифрование.

да действительно перепутал, сейчас поправил и вот что вышло:

2007-01-15 22:57:22: INFO: isakmp.c:1059:isakmp_ph2begin_r(): respond new phase 2 negotiation: 192.168.1.50[0]<=>192.168.1.46[0]
2007-01-15 22:57:22: ERROR: isakmp_quick.c:2030:get_proposal_r(): no policy found: 192.168.10.0/24[0] 192.168.30.0/24[0] proto=any dir=in
2007-01-15 22:57:22: ERROR: isakmp_quick.c:1071:quick_r1recv(): failed to get proposal for responder.
2007-01-15 22:57:22: ERROR: isakmp.c:1073:isakmp_ph2begin_r(): failed to pre-process packet.

Здорово, в первую фазу по обмену ключами выполнили.
Во второй фазе - quick mode, нужно тоже согласовать ключи но опять ошибка:
get_proposal_r(): no policy found
Не найдено политик.
quick_r1recv(): failed to get proposal for responder.
соотвественно и нечего предложить удалённой стороне
ps: посмотрите поиском кто-то выкладывал рабоиче конфиги. Правда почему-то поднималось только на 1.42

Да не написал устройство DI-804 HW:A1, Firmware Version: V1.43, Thu, Jan 26 2006. перепрошить на 1.42 сложно, так как из-за древности устройства при прошивки FW возникают проблеммы, данное FW прошита в сервисцентре D-Link.

Раз работает с 1.42 должно работать с 1.43 ?

Конфиги брал http://www.d-link.ru/technical/faq_vpn_11.php.

Доброе утро\день Пытаюсь настроить впн между Dl-808VH и Freebsd 8.0

Настройки такие же как и у предыдущего человека, только вот ошибки др. выдаёт. Можете чем то помочь?
вот лог

racoon.log:

2009-12-12 03:02:01: INFO: respond new phase 1 negotiation: AAA.BBB.CCC.DDD[500]<=>ZZZ.YYY.XXX.WWW[500]
2009-12-12 03:02:01: INFO: begin Identity Protection mode.
2009-12-12 03:02:01: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
2009-12-12 03:02:01: WARNING: SPI size isn't zero, but IKE proposal.
2009-12-12 03:02:01: ERROR: rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#1) = SHA:MD5
2009-12-12 03:02:01: ERROR: rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#1) = 768-bit MODP group:1024-bit MODP group
2009-12-12 03:02:01: ERROR: rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#2) = SHA:MD5
2009-12-12 03:02:01: ERROR: rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#2) = 768-bit MODP group:1024-bit MODP group
2009-12-12 03:02:01: ERROR: rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#3) = SHA:MD5
2009-12-12 03:02:01: ERROR: rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#3) = 768-bit MODP group:1024-bit MODP group
2009-12-12 03:02:01: ERROR: rejected hashtype: DB(prop#1:trns#1):Peer(prop#1:trns#4) = SHA:MD5
2009-12-12 03:02:01: ERROR: rejected dh_group: DB(prop#1:trns#1):Peer(prop#1:trns#4) = 768-bit MODP group:1024-bit MODP group
2009-12-12 03:02:01: ERROR: no suitable proposal found.
2009-12-12 03:02:01: ERROR: failed to get valid proposal.
2009-12-12 03:02:01: ERROR: failed to pre-process packet.
2009-12-12 03:02:01: ERROR: phase1 negotiation failed.

вот racoon.conf

path include "/usr/local/etc/racoon";
path pre_shared_key "/usr/local/etc/racoon/psk.txt";

# "padding" задаёт некоторые параметры формирования пакетов (если я верно понял)
# Ничего тут не трогайте.
padding
{
maximum_length 20; # максимальная длинна набивки (?).
randomize off; # включение случайной длины.
strict_check off; # включить строгую проверку.
exclusive_tail off; # извлекать один последний октет.
}
# если директива listen не задана, racoon слушает все доступные
# адреса интерфейсов.
listen
{
isakmp AAA.BBB.CCC.DDD [500];
}
# Задание различных дефолтовых таймеров.
timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 10 sec; # maximum interval to resend.
persend 1; # the number of packets per send.
# maximum time to wait for completing each phase.
phase1 30 sec;
phase2 15 sec;
}
remote anonymous
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
my_identifier address AAA.BBB.CCC.DDD;
peers_identifier address ZZZ.YYY.XXX.WWW;
nonce_size 16;
lifetime time 60 min; # sec,min,hour
initial_contact on;
support_proxy on;
#support_mip6 on
proposal_check obey; # obey, strict, or claim

proposal
{
encryption_algorithm 3des;
hash_algorithm sha1;
# hash_algorithm md5;

authentication_method pre_shared_key;
dh_group 1;
}
}
sainfo anonymous
{
pfs_group 1;
lifetime time 3600 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_md5, hmac_sha1;
compression_algorithm deflate;
}

настройки на коробочке

ike proposal

group1 3des md5 3600 sec

ipsec proposal

group1 esp 3des md5 3600 sec


Если есть готовые выложите пожалста.