1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб июл 19, 2025 23:33

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
r0man
 Заголовок сообщения: IPSEC туннель между DFL-860E и Centos
СообщениеДобавлено: Чт июл 07, 2011 12:41 
Не в сети

Зарегистрирован: Вт авг 15, 2006 17:25
Сообщений: 13
Откуда: Москва
Добрый день!
Пытаюсь поднять туннель DFL-860E и Centos, собственно не выходит :D
Вроде как первую стадию проходит, дальше не в какую.

На стороне CentOS следующие ошибки

Код:
Jul  7 12:22:38 gate racoon: INFO: 62.32.86.XXX[500] used as isakmp port (fd=19)
Jul  7 12:22:38 gate racoon: INFO: 62.32.86.XXX[500] used for NAT-T
Jul  7 12:22:44 gate racoon: INFO: respond new phase 1 negotiation: 62.32.86.138[500]<=>77.220.184.82[500]
Jul  7 12:22:44 gate racoon: INFO: begin Identity Protection mode.
Jul  7 12:22:44 gate racoon: WARNING: ignore INITIAL-CONTACT notification, because it is only accepted after phase1.
Jul  7 12:22:44 gate racoon: INFO: ISAKMP-SA established 62.32.86.XXX[500]-77.220.184.XXX[500] spi:66bcb6fb8381ee80:f6d1ecb54809dc4a
Jul  7 12:22:44 gate racoon: INFO: respond new phase 2 negotiation: 62.32.86.XXX[500]<=>77.220.184.XXX[500]
Jul  7 12:22:44 gate racoon: ERROR: not matched
Jul  7 12:22:44 gate racoon: ERROR: no suitable policy found.
Jul  7 12:22:44 gate racoon: ERROR: failed to pre-process packet.
Jul  7 12:22:45 gate racoon: ERROR: couldn't find configuration.


На стороне DFL-860E следующие

Код:
ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0x2e286aef, AH=0xd39c2271, IPComp=0x5222486"
         
   
   
psec_sa_statistics
done=625 success=0 failed=625
      
   
   
ike_quickmode_failed
local_ip=77.220.184.XXX remote_ip=62.32.86.XXX cookies=2e286aefd39c22715222486154c23818 reason="Aborted notification"
Warning    IPSEC
         
   
   
ipsec_sa_failed
no_ipsec_sa
statusmsg="Aborted notification"
      
   
   
ipsec_event
message=" Remote Proxy ID 192.168.1.0/24 any"
         
   
sec_event
message=" Local Proxy ID 192.168.10.0/24 any"
      
   
   
ike_sa_negotiation_completed
ike_sa_completed
local_peer="77.220.184.XXX ID 77.220.184.XXX" remote_peer="62.32.86.XXX ID 62.32.86.XXX" initiator_spi="2e286aef d39c2271" responder_spi="52224861 54c23818"


Настройки CentOS

Код:
cat /etc/racoon/racoon.conf
path include "/etc/racoon";
path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";

log debug2;

listen
{
isakmp 62.32.86.XXX;
}
timer
{
        # These value can be changed per remote node.
        counter 5;              # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
        persend 1;              # the number of packets per send.

        # maximum time to wait for completing each phase.
        phase1 30 sec;
        phase2 15 sec;
}
sainfo anonymous
{
        pfs_group 2;
        lifetime time 1 hour ;
        encryption_algorithm des ;
        authentication_algorithm hmac_md5 ;
        compression_algorithm deflate ;
}
include "/etc/racoon/77.220.184.XXX.conf";

 cat /etc/racoon/77.220.184.XXX.conf
remote 77.220.184.XXX
{
        exchange_mode main, aggressive;
        my_identifier address;
        proposal {
                encryption_algorithm des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2;
        }
}


Не как не могу понять в чем проблема
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения: Re: IPSEC туннель между DFL-860E и Centos
СообщениеДобавлено: Пт июл 08, 2011 05:49 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Настройки DFL покажите, прошивка у вас на нем какая?

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
r0man
 Заголовок сообщения: Re: IPSEC туннель между DFL-860E и Centos
СообщениеДобавлено: Пт июл 08, 2011 11:02 
Не в сети

Зарегистрирован: Вт авг 15, 2006 17:25
Сообщений: 13
Откуда: Москва
Добрый день!
Прошивка 2.27.02.14-14550 Sep 29 2010

Настройки
MagistratLan это 192.168.1.0/24
MagistratWan это внешний IP удаленной сети.

Изображение

Изображение

Изображение

Изображение

Изображение

Изображение

Изображение

Изображение
Вернуться наверх
 Профиль  
 
r0man
 Заголовок сообщения: Re: IPSEC туннель между DFL-860E и Centos
СообщениеДобавлено: Пт июл 08, 2011 13:54 
Не в сети

Зарегистрирован: Вт авг 15, 2006 17:25
Сообщений: 13
Откуда: Москва
Туннель поднялся после добавления в конфиг ракуна
данной строчки generate_policy on;

Код:
 cat /etc/racoon/77.220.184.ХХХ.conf
remote 77.220.184.82
{
        exchange_mode main, aggressive;
        my_identifier address;
        proposal {
                encryption_algorithm des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                dh_group 2;
        }
generate_policy on;
}


Только теперь в логах куча сообщений подобного вида (но, туннель работает):
Код:
Jul  8 13:48:11 gate racoon: ERROR: unknown Informational exchange received.
Jul  8 13:48:11 gate racoon: ERROR: couldn't find configuration.
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения: Re: IPSEC туннель между DFL-860E и Centos
СообщениеДобавлено: Пт июл 08, 2011 17:46 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
На первый взгляд - у вас pfs group 2 в конфиге, в DFL попробуйте выбрать его же
ID, если у вас белый адрес на DFL, выставьте в Auto
Keep alive = auto на практике пинует первый адрес в удаленной подсети, поэтому советую вам руками установить адреса

С другой стороны, попробуйте обновиться на 2.27.03.25 с http://tsd.dlink.com.tw/ и использовать нормальное шифрование, возможно есть проблема и с DES/MD5

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
r0man
 Заголовок сообщения: Re: IPSEC туннель между DFL-860E и Centos
СообщениеДобавлено: Пн июл 11, 2011 17:16 
Не в сети

Зарегистрирован: Вт авг 15, 2006 17:25
Сообщений: 13
Откуда: Москва
Добрый день!
Сегодня обновил прошивку до 2.30.01.06-15901 May 12 2011, перешел на шифрование 3DES, не помогло.
В лог ракуна так и сыпятся эти сообщения (каждую минуту), такое впечатление что это тупо баг.

Код:
Jul 11 17:18:00 gate racoon: ERROR: unknown Informational exchange received.
Jul 11 17:18:00 gate racoon: ERROR: couldn't find configuration.
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения: Re: IPSEC туннель между DFL-860E и Centos
СообщениеДобавлено: Пн июл 11, 2011 17:39 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Сложно сказать, надо тестировать
На глаз не сходятся параметры

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 7 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 563

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB