faq обучение настройка
Текущее время: Вс июл 27, 2025 15:18

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 3 ] 
Автор Сообщение
 Заголовок сообщения: чертов IPSEC VPN
СообщениеДобавлено: Пн июн 23, 2008 17:30 
Не в сети

Зарегистрирован: Пн июн 23, 2008 17:22
Сообщений: 2
ОГРОМНАЯ просьба помочь расшифровать логи...
две железки - внешние IP (A.A.A.A) и (B.B.B.B)

A.A.A.A - в Agressive режиме, B.B.B.B - "слушает"
ПОЛНОЕ соответствие настроек (правда, за исключением того, что настройки протоколов Phase2 в B.B.B.B отсутствуют вообще. То есть, в A.A.A.A настройки шифрования итд ДЛЯ ДВУХ ФАЗ, а в B.B.B.B - только для ОДНОЙ. Не знаю, для какой, для первой, или второй).
(но насколько я понимаю, установление IPSEC тоннеля в любом случае требует ДВУХ фаз)

В итоге:
B.B.B.B пишет, что туннель есть, Phase 1 Active.
A.A.A.A пишет - Phase 2 error.
Туннеля, естественно, нет. Пингов тоже.


ЛОГ A.A.A.A - ЧИТАТЬ СНИЗУ ВВЕРХ

Jun 22 23:36:08 daemon information racoon: ERROR: B.B.B.B give up to get IPsec-SA due to time up to wait.
Jun 22 23:36:08 daemon information racoon: WARNING: the expire message is received but the handler has not been established.
Jun 22 23:36:08 daemon information racoon: INFO: IPsec-SA expired: ESP/Tunnel B.B.B.B->A.A.A.A spi=86967939(0x52f0683)
Jun 22 23:35:38 daemon information racoon: INFO: initiate new phase 2 negotiation: A.A.A.A[0]<=>B.B.B.B[0]
Jun 22 23:35:38 daemon information racoon: INFO: ISAKMP-SA established A.A.A.A[500]-B.B.B.B[500] spi:f5c54a199103e361:b896c706b3e8a9c5
Jun 22 23:35:38 daemon information racoon: NOTIFY: couldn't find the proper pskey, try to get one by the peer's address.
Jun 22 23:35:27 daemon information racoon: INFO: begin Aggressive mode.
Jun 22 23:35:27 daemon information racoon: INFO: initiate new phase 1 negotiation: A.A.A.A[500]<=>B.B.B.B[500]
Jun 22 23:35:27 daemon information racoon: INFO: IPsec-SA request for B.B.B.B queued due to no phase1 found.
Jun 22 23:35:18 daemon information racoon: INFO: unsupported PF_KEY message REGISTER
Jun 22 23:35:18 daemon information racoon: INFO: A.A.A.A[500] used for NAT-T
Jun 22 23:35:18 daemon information racoon: INFO: A.A.A.A[500] used as isakmp port (fd=13)
Jun 22 23:35:18 daemon information racoon: INFO: 192.168.111.1[500] used for NAT-T
Jun 22 23:35:18 daemon information racoon: INFO: 192.168.111.1[500] used as isakmp port (fd=12)
Jun 22 23:35:18 daemon information racoon: INFO: 127.0.0.1[500] used for NAT-T
Jun 22 23:35:18 user debug syslog: setkey -f /var/setkey.conf
Jun 22 23:35:18 daemon information racoon: INFO: 127.0.0.1[500] used as isakmp port (fd=11)
Jun 22 23:35:18 daemon information racoon: INFO: @(#)This product linked OpenSSL 0.9.7f 22 Mar 2005 (http://www.openssl.org/)
Jun 22 23:35:18 daemon information racoon: INFO: @(#)ipsec-tools 0.5.1 (http://ipsec-tools.sourceforge.net)



ЛОГ B.B.B.B - ЧИТАТЬ СВЕРХУ ВНИЗ

Jun 22 23:35:28 localhost kernel: IKE: IKE -- AggressiveMode -- responder received message1 from A.A.A.A, port 500->500.
Jun 22 23:35:28 localhost kernel: IKE: IKE -- Proposal 1 -- protocol PROTO_ISAKMP, with 1 transforms
Jun 22 23:35:28 localhost kernel: IKE: IKE -- Transform 1 -- KEY_IKE, index = 1
Jun 22 23:35:28 localhost kernel: IKE: IKE -- LifeType -- SECONDS
Jun 22 23:35:28 localhost kernel: IKE: IKE -- LifeDuration -- 3600
Jun 22 23:35:28 localhost kernel: IKE: IKE -- Encryption -- DES_CBC
Jun 22 23:35:28 localhost kernel: IKE: IKE -- Authentication -- PRESHARED_KEY
Jun 22 23:35:28 localhost kernel: IKE: IKE -- Hash -- MD5_HASH
Jun 22 23:35:28 localhost kernel: IKE: IKE -- GroupDescription -- MODP_768
Jun 22 23:35:28 localhost kernel: IKE: IKE -- RemoteGateway ID in payload: IPV4_ADDR--A.A.A.A ProtocolID:17 Port:500
Jun 22 23:35:28 localhost kernel: IKE: IKE --INVALID_ID_INFORMATION (0x12) -- peer A.A.A.A
Jun 22 23:35:28 localhost kernel: IKE: IKE --Sending Notification INVALID_ID_INFORMATION (0x12) to peer A.A.A.A
Jun 22 23:35:39 localhost kernel: IKE: IKE -- AggressiveMode -- responder received message1 from A.A.A.A, port 500->500.
Jun 22 23:35:39 localhost kernel: IKE: IKE -- Proposal 1 -- protocol PROTO_ISAKMP, with 1 transforms
Jun 22 23:35:39 localhost kernel: IKE: IKE -- Transform 1 -- KEY_IKE, index = 1
Jun 22 23:35:39 localhost kernel: IKE: IKE -- LifeType -- SECONDS
Jun 22 23:35:39 localhost kernel: IKE: IKE -- LifeDuration -- 3600
Jun 22 23:35:39 localhost kernel: IKE: IKE -- Encryption -- DES_CBC
Jun 22 23:35:39 localhost kernel: IKE: IKE -- Authentication -- PRESHARED_KEY
Jun 22 23:35:39 localhost kernel: IKE: IKE -- Hash -- MD5_HASH
Jun 22 23:35:39 localhost kernel: IKE: IKE -- GroupDescription -- MODP_768
Jun 22 23:35:39 localhost kernel: IKE: IKE -- RemoteGateway ID in payload: IPV4_ADDR--A.A.A.A ProtocolID:17 Port:500
Jun 22 23:35:39 localhost kernel: IKE: IKE -- RemoteGateway ID: IPV4_ADDR--A.A.A.A ProtocolID:17 Port:500 PresharedKey:abcabcabcabcabc
Jun 22 23:35:39 localhost kernel: IKE: IKE -- My ID: IPV4_ADDR--B.B.B.B
Jun 22 23:35:39 localhost kernel: IKE: IKE --PHASE1_STARTED_BY_PEER -- peer A.A.A.A
Jun 22 23:35:39 localhost kernel: IKE: IKE -- My ID in payload: IPV4_ADDR--B.B.B.B
Jun 22 23:35:39 localhost kernel: IKE: IKE -- AggressiveMode -- responder sent out response message1 to A.A.A.A, 500->500.
Jun 22 23:35:39 localhost kernel: IKE: IKE -- AggressiveMode -- responder received message2 from A.A.A.A, port 500->500.
Jun 22 23:35:39 localhost kernel: IKE: IKE --Phase 1 negotiation succeeded with A.A.A.A
Jun 22 23:35:39 localhost kernel: IKE: IKE --INVALID_PAYLOAD_LENGTH (0x2004) -- peer A.A.A.A
Jun 22 23:35:39 localhost kernel: IKE: IKE -- QuickMode -- responder received message1 from A.A.A.A, port 500->500.
Jun 22 23:35:39 localhost kernel: IKE: IKE --INVALID_PAYLOAD_LENGTH (0x2004) -- peer A.A.A.A
Jun 22 23:35:41 localhost admin: DB changes saved in flash
Jun 22 23:35:49 localhost kernel: IKE: IKE -- QuickMode -- responder received message1 from A.A.A.A, port 500->500.
Jun 22 23:35:49 localhost kernel: IKE: IKE --INVALID_PAYLOAD_LENGTH (0x2004) -- peer A.A.A.A
Jun 22 23:35:59 localhost kernel: IKE: IKE -- QuickMode -- responder received message1 from A.A.A.A, port 500->500.
Jun 22 23:35:59 localhost kernel: IKE: IKE --INVALID_PAYLOAD_LENGTH (0x2004) -- peer A.A.A.A
Jun 22 23:36:19 localhost kernel: IKE: IKE --PHASE2_NEGOTIATION_ABORT -- peer A.A.A.A
Jun 22 23:36:19 localhost kernel: IKE: IKE --PHASE2_NEGOTIATION_ABORT -- peer A.A.A.A


Где копать? Буду признателен за любую инфу.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт июн 26, 2008 02:13 
Не в сети

Зарегистрирован: Пн июн 23, 2008 17:22
Сообщений: 2
все еще надеюсь, что топик попадет на глаза профи


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт июн 26, 2008 06:19 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
По IP адресам модели железок угадать очень трудно.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 3 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 229


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB