Организовую VPN между FreeBSD 5.3 и D-Link DI-804HV 1.41. Споткнулся на следующем:
На DI-804HV иничиирую соединение, при єтом в racoon.log пишет:
2006-06-07 11:58:38: INFO: respond new phase 1 negotiation: X.X.X.X [500]<=>Y.Y.Y.Y[500]
2006-06-07 11:58:38: INFO: begin Identity Protection mode.
2006-06-07 11:58:38: WARNING: SPI size isn't zero, but IKE proposal.
2006-06-07 11:58:43: NOTIFY: the packet is retransmitted by Y.Y.Y.Y[500].
2006-06-07 11:58:43: WARNING: No ID match.
2006-06-07 11:58:43: INFO: ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:2a07a38bb36e7b02:a742018c1518290e
2006-06-07 11:58:49: NOTIFY: the packet is retransmitted by Y.Y.Y.Y[500].
2006-06-07 11:58:54: NOTIFY: the packet is retransmitted by Y.Y.Y.Y[500].
2006-06-07 11:59:04: NOTIFY: the packet is retransmitted by Y.Y.Y.Y[500].
2006-06-07 11:59:35: ERROR: ignore information because the message is too short

на D-Link log:
Saturday July 22, 2006 13:20:35 Send IKE M1(INIT) : Y.Y.Y.Y --> X.X.X.X
Saturday July 22, 2006 13:20:35 Receive IKE M2(RESP) : X.X.X.X --> Y.Y.Y.Y
Saturday July 22, 2006 13:20:35 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
Saturday July 22, 2006 13:20:35 Send IKE M3(KEYINIT) : Y.Y.Y.Y --> X.X.X.X
Saturday July 22, 2006 13:20:35 Receive IKE M4(KEYRESP) : X.X.X.X --> Y.Y.Y.Y
Saturday July 22, 2006 13:20:36 Send IKE M5(IDINIT) : Y.Y.Y.Y --> X.X.X.X
Saturday July 22, 2006 13:20:36 Receive IKE M6(IDRESP) : X.X.X.X --> Y.Y.Y.Y
Saturday July 22, 2006 13:20:41 IKED re-TX : IDINIT
Saturday July 22, 2006 13:20:41 Receive IKE M6(IDRESP) : X.X.X.X --> Y.Y.Y.Y
Saturday July 22, 2006 13:20:46 IKED re-TX : IDINIT
Saturday July 22, 2006 13:20:46 Receive IKE M6(IDRESP) : X.X.X.X --> Y.Y.Y.Y
Saturday July 22, 2006 13:21:27 Send IKE (INFO) : delete Y.Y.Y.Y --> X.X.X.X phase 1
Saturday July 22, 2006 13:21:27 IKE phase1 (ISAKMP SA) remove : Y.Y.Y.Y <-> X.X.X.X

Настройки оборудования:
racoon.conf
path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
#path certificate "/usr/local/etc/cert" ; (сертификаты я не использую может в этом проблема)
log notify;

padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}

listen
{
#isakmp ::1 [7000];
isakmp XX.XX.XX.XX [500];
#admin [7002]; # administrative's port by kmpstat.
#strict_address; # required all addresses must be bound.
}

timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per a send.

# timer for waiting to complete each phase.
phase1 30 sec;
phase2 15 sec;
}

remote anonymous
{
#exchange_mode main,aggressive;
exchange_mode aggressive,main;
doi ipsec_doi;
situation identity_only;

#my_identifier address;
my_identifier user_fqdn "user@domain.ru";
peers_identifier user_fqdn "user@domain.ru";
#certificate_type x509 "mycert" "mypriv";

nonce_size 16;
lifetime time 10800 sec; # sec,min,hour
initial_contact on;
support_mip6 on;
proposal_check obey; # obey, strict or claim

proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key ;
dh_group 2 ;
}
}

sainfo anonymous
{
pfs_group 2;
lifetime time 10800 sec;
encryption_algorithm 3des ;
authentication_algorithm hmac_md5;
compression_algorithm deflate ;
}

настройки D-Link (DI-804HV):
IKE: ike1 - group2 - 3DES - SHA1 - 10800sec
IPSEC: ipsec1 - group2 - ESP - 3DES - MD5 - 10800sec
Подскажите где грабли?

my_identifier user_fqdn "user@domain.ru";
peers_identifier user_fqdn "user@domain.ru";
На стороне Dlink должны быть выставлены параметрый Connection ID
fqdn -user@domain.ru
Или поставьте их в 804-й или уберите с ракуна.

Спасибо.
Я убрал с racoona указаные параметры и всё заработало, но не на долго.
Foreground mode.
2006-06-07 19:02:13: INFO: @(#)ipsec-tools 0.6.5 (http://ipsec-tools.sourceforge.net)
2006-06-07 19:02:13: INFO: @(#)This product linked OpenSSL 0.9.7d 17 Mar 2004 (http://www.openssl.org/)
2006-06-07 19:02:13: WARNING: /etc/racoon.conf:66: "support_mip6" it is obsoleted. use "support_proxy".
2006-06-07 19:02:13: INFO: Х.Х.Х.Х[500] used as isakmp port (fd=4)
2006-06-07 19:02:21: ERROR: can't start the quick mode, there is no ISAKMP-SA, 957f36700b99f47b:d2de1bff037de122:00000c58
2006-06-07 19:03:11: ERROR: can't start the quick mode, there is no ISAKMP-SA, 957f36700b99f47b:d2de1bff037de122:00000c58
2006-06-07 19:03:12: ERROR: unknown Informational exchange received.
Просто так ничего не происходит: я указал в параметре remote адрес удалённой стороны, и в параметре sainfo тот же адрес.
Перезапустил: racoon выдал ерор в строке sainfo, вернул везде аномим, повторно запускаю - ничего.
Рестартовал D-Link - нормализовалось.
Скажите какое значение имеют єти параметры? И нужно ли их указывать при установке дополнительного тунеля с той же машини с ищё одним D-Link-oм?
Благодарен.

Перезагрузкой роутера Вы "убили" созданную SA. При новом коннекте создалась новая с новыми параметрами.
Для каждого подключения SA должна быть своя.

Здравствуйте.
Я уже считал тему снятой с обсуждения, после того как настроил тунель. Но вот перенёс всё на основной сервер и возникли проблеми:
В логах D-Linka:
Friday July 28, 2006 18:46:07 IKED re-TX : QINIT
Friday July 28, 2006 18:46:08 Send IKE (INFO) : delete [10.0.0.0|Y.Y.Y.Y]-->[X.X.X.X|10.10.0.0] phase 2
Friday July 28, 2006 18:46:08 IKE phase2 (IPSec SA) remove : 10.0.0.0 <-> 10.10.0.0
Friday July 28, 2006 18:46:08 inbound SPI = 0xe000010, outbound SPI = 0x0
Как будто всё нормально:
А у меня на FreeBSD:
INFO: begin Identity Protection mode.
2006-06-13 17:19:53: WARNING: SPI size isn't zero, but IKE proposal.
2006-06-13 17:19:54: INFO: ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:885554f9a9a52202:617e93e7db8f36d5
2006-06-13 17:19:54: INFO: respond new phase 2 negotiation: X.X.X.X[0]<=>X.X.X.X[0]
2006-06-13 17:19:54: ERROR: no policy found: 10.0.0.0/24[0] 10.10.0.0/24[0] proto=any dir=in
2006-06-13 17:19:54: ERROR: failed to get proposal for responder.
2006-06-13 17:19:54: ERROR: failed to pre-process packet.
2006-06-13 17:30:11: ERROR: deletion message received, invalid proto_id: 0
ОСи одинаковые ipces-pools тоже. Тодскажите где можут быть грабли.

Удалите SA у Dlink'a и FreeBSD. И Попробуйте повторно.

Зделал я несколько по другому. Возобновил на D-Link настройки по умолчанию и перенастроил модем. В результате:
На FreeBSD:
2006-06-14 10:10:35: WARNING: /etc/racoon.conf:66: "support_mip6" it is obsoleted. use "support_proxy".
2006-06-14 10:10:35: INFO: X.X.X.X[500] used as isakmp port (fd=4)
2006-06-14 10:10:39: INFO: respond new phase 1 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
2006-06-14 10:10:39: INFO: begin Identity Protection mode.
2006-06-14 10:10:39: WARNING: SPI size isn't zero, but IKE proposal.
2006-06-14 10:11:19: ERROR: ignore information because ISAKMP-SA has not been established yet.
2006-06-14 10:11:44: ERROR: none message must be encrypted
2006-06-14 10:12:39: ERROR: phase1 negotiation failed due to time up. 22a6876bd985201a:242075fa887d5875

На D-Link:
Saturday July 29, 2006 11:35:51 Send IKE M1(INIT) : Y.Y.Y.Y --> X.X.X.X
Saturday July 29, 2006 11:35:51 Receive IKE M2(RESP) : X.X.X.X -->Y.Y.Y.Y
Saturday July 29, 2006 11:35:51 Try to match with ENC:3DES AUTH:PSK HASH:SHA1 Group:Group2
Saturday July 29, 2006 11:35:52 Send IKE M3(KEYINIT) : Y.Y.Y.Y --> X.X.X.X
Saturday July 29, 2006 11:35:52 Receive IKE M4(KEYRESP) : X.X.X.X -->Y.Y.Y.Y
Saturday July 29, 2006 11:35:52 Send IKE M5(IDINIT) : Y.Y.Y.Y --> X.X.X.X
Saturday July 29, 2006 11:35:57 IKED re-TX : IDINIT
Saturday July 29, 2006 11:36:02 IKED re-TX : IDINIT
Saturday July 29, 2006 11:36:12 Blocked access attempt from 82.207.27.160:4781 to TCP port 445
Saturday July 29, 2006 11:36:12 IKED re-TX : IDINIT
Saturday July 29, 2006 11:36:12 receiving a re-Tx MM msg, response the last msg
Saturday July 29, 2006 11:36:12 IKED re-TX : MM
Saturday July 29, 2006 11:36:32 IKED re-TX : IDINIT
Saturday July 29, 2006 11:36:32 receiving a re-Tx MM msg, response the last msg
Saturday July 29, 2006 11:36:32 Send IKE (INFO) : delete Y.Y.Y.Y --> X.X.X.X1 phase 1
Поиск граблей продолжеется. Конфиг заново не публикую он не изменился.

На Dlinke SA Вы удалили, а на BSD?

Да. Даже сервер перегружал.

Перезагрузкой ничего не добъетесь.
Ракун только осуществляет обмен ключами, все результаты он скармливает ядру. Для удаления созданных SA нужно копать в сторону racoonctl

Я тут просмотрел логи с тестового сервера:
2006-06-07: INFO: respond new phase 1 negotiation: X.X.X.X[500]<=>Y.Y.Y.Y[500]
2006-06-07: INFO: begin Identity Protection mode.
2006-06-07: WARNING: SPI size isn't zero, but IKE proposal.
2006-06-07: INFO: ISAKMP-SA established X.X.X.X[500]-Y.Y.Y.Y[500] spi:460604a4c2952d5c:b1f28ed27c7f3f77
2006-06-07 : INFO: respond new phase 2 negotiation: X.X.X.X[0]<=>Y.Y.Y.Y[0]
2006-06-07 : INFO: IPsec-SA established: ESP/Tunnel Y.Y.Y.Y[0]->X.X.X.X[0] spi=70361392(0x431a130)
2006-06-07 : INFO: IPsec-SA established: ESP/Tunnel X.X.X.X[0]->Y.Y.Y.Y[0] spi=33554448(0x2000010)
Независимо от присутствия предупреждения WARNING: SPI size... первая фаза продолжалась. Сейчас же всё останавливается. Интересно.

Не суть
ERROR: ignore information because ISAKMP-SA has not been established yet.
Это говорит о том, что обмен ключами ещё не заершён и IKE-SA не создана.
Нужно смотреть racoonctl

Не знаю на сколько правильно введены команды, но результат такой:
> racoonctl show-sa isakmp|esp|ah|ipsec
esp: not found
ah: not found
ipsec: not found
send: Bad file descriptor

выполните
racoonctl flush-sa
и попробуйте снова.

безрезультатно.
Что интересно та же ситуация повторилась при переходе обратно на тестовый сервер. Те же сообщения об ошибках.
Не знаю поможет ли это но пересоберу повторно ядро.