Подскажите в чем может быть проблема - не проходит вторая фаза в процессе организации IPSec-туннеля. Методы шифрования (3DES), проверки целостности пакетов(SHA1), совпадают на обеих сторонах, но что-то все равно не нравится:

racoon: DEBUG: getsainfo params: loc='192.168.2.0/23', rmt='192.168.30.0/24', peer='Y.Y.Y.Y', id=0
racoon: DEBUG: getsainfo pass #1
racoon: DEBUG: evaluating sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', peer='ANY', id=0
racoon: DEBUG: getsainfo pass #2
racoon: DEBUG: evaluating sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', peer='ANY', id=0
racoon: DEBUG: selected sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', peer='ANY', id=0
racoon: DEBUG: get a src address from ID payload 192.168.30.0[0] prefixlen=24 ul_proto=255
racoon: DEBUG: get dst address from ID payload 192.168.2.0[0] prefixlen=23 ul_proto=255
racoon: DEBUG: sub:0xbfbfe434: 192.168.30.0/24[0] 192.168.2.0/23[0] proto=any dir=in
racoon: DEBUG: db: 0x2843c078: Y.Y.Y.Y/32[0] X.X.X.X/32[0] proto=4 dir=in
racoon: DEBUG: 0xbfbfe434 masked with /32: 192.168.30.0[0]
racoon: DEBUG: 0x2843c078 masked with /32: Y.Y.Y.Y[0]
racoon: DEBUG: sub:0xbfbfe434: 192.168.30.0/24[0] 192.168.2.0/23[0] proto=any dir=in
racoon: DEBUG: db: 0x2843c1a8: X.X.X.X/32[0] Y.Y.Y.Y/32[0] proto=4 dir=out
racoon: ERROR: no policy found: 192.168.30.0/24[0] 192.168.2.0/23[0] proto=any dir=in
racoon: ERROR: failed to get proposal for responder.
racoon: ERROR: failed to pre-process packet.

Конкретно ошибку подчеркнул. Ошибку со стороны DIR-130 не привожу из-за меньшей информативности.

Для большей информации привожу кусок racoon.conf и настройку DIR-130 (2 фаза)


FreeBSD (часть /usr/local/etc/racoon.conf)

sainfo anonymous {
pfs_group 2;
lifetime time 3600 sec;
encryption_algorithm 3des ;
authentication_algorithm hmac_sha1;
compression_algorithm deflate;
}


D-Link DIR-130

PFS Enable - Off (пробовал делать On - не помогло)
PFS DH Group - недоступная в режиме - 2-modp 1024-bit
IPSEC Proposal list:
#1 3DES SHA1
#2 3DES SHA1
#3 3DES SHA1
#4 3DES SHA1
IPSec Lifetime 3600 sec

Еще возможно надо показать /etc/ipsec.conf

flush;
spdflush;
spdadd 192.168.2.0/23 192.168.30.0/24 any -P out ipsec esp/tunnel/XXX.XXX.XXX.XXX-YYY.YYY.YYY.YYY/require;
spdadd 192.168.30.0/24 192.168.2.0/23 any -P in ipsec esp/tunnel/YYY.YYY.YYY.YYY-XXX.XXX.XXX.XXX/require;

Информация по настройке бралась отсюда http://dlink.ru/ru/faq/92/print_506.html "Настройка IPSEC тоннеля между маршрутизатором DI-804HV и FreeBSD 4.8"

Более свежей и возможно более актуальной информации на сайте D-Link пока не представлено.

От предыдущей ошибки (no policy found) удалось немного продвинуться вперед путем правки /etc/ipsec.conf к виду

spdadd X.X.X.X/32 Y.Y.Y.Y/32 ipencap -P out ipsec esp/tunnel/XXX.XXX.XXX.XXX-YYY.YYY.YYY.YYY/require;
spdadd Y.Y.Y.Y/32 X.X.X.X/32 ipencap -P in ipsec esp/tunnel/YYY.YYY.YYY.YYY-XXX.XXX.XXX.XXX/require;

тем не менее затык в фазе 2 так и остался:

Логи со стороны DIR-130

(PFS=enable)

Debug Information IPSec "conn_Tunnel" #1: initiating Main Mode
Debug Information IPSec "conn_Tunnel" #1: main_outI1() st_policy(0x1-0x0) xauth_server(0) xauth_client(0) modecfg_server(0) modecfg_client(0)
Debug Information IPSec "conn_Tunnel" #1: received Vendor ID payload [Dead Peer Detection]
Debug Information IPSec "conn_Tunnel" #1: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2
Debug Information IPSec "conn_Tunnel" #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3
Debug Information IPSec "conn_Tunnel" #1: Main mode peer ID is ID_IPV4_ADDR: 'X.X.X.X'
Debug Information IPSec "conn_Tunnel" #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4
Debug Information IPSec "conn_Tunnel" #1: ISAKMP SA established
Debug Information IPSec "conn_Tunnel" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS
Debug Information IPSec "conn_Tunnel" #1: ignoring informational payload, type IPSEC_INITIAL_CONTACT
Debug Information IPSec "conn_Tunnel" #1: received and ignored informational message

(PFS=disable и Aggresive в фазе 1)

Debug Information IPSec "conn_Tunnel" #1: initiating Aggressive Mode #1, connection "conn_Tunnel"
Debug Information IPSec "conn_Tunnel" #1: Aggressive mode peer ID is ID_IPV4_ADDR: 'X.X.X.X'
Debug Information IPSec "conn_Tunnel" #1: Aggressive mode peer ID is ID_IPV4_ADDR: 'X.X.X.X'
Debug Information IPSec "conn_Tunnel" #1: transition from state STATE_AGGR_I1 to state STATE_AGGR_I2
Debug Information IPSec "conn_Tunnel" #1: sent AI2, ISAKMP SA established
Debug Information IPSec "conn_Tunnel" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+AGGRESSIVE
Debug Information IPSec "conn_Tunnel" #1: ignoring informational payload, type IPSEC_INITIAL_CONTACT
Debug Information IPSec "conn_Tunnel" #1: received and ignored informational message
Debug Information IPSec "conn_Tunnel": deleting connection
Debug Information IPSec "conn_Tunnel" #2: deleting state (STATE_QUICK_I1)
Debug Information IPSec "conn_Tunnel" #1: deleting state (STATE_AGGR_I2)

Правдами и неправдами, но туннель поднялся, тем не менее компы роутеры 192.168.2.1 и 192.168.30.10 которые стоят на концах VPN не пингуют друг-друга, также не пингуются компы которые стоят за ними в локальных подсетях.

tracert на удаленную подсеть показывает что данные доходят до локального гейта потом рисуются звезды по таймауту.

На удаленной FreeBSD прописан маршрут route add -net 192.168.30/24 -inteface gif0
На D-Linke подобное надо прописывать ?

настройки на free я не подскажу, попробуйте указать racoon автоматическую синхронизацию политик в



Так же отключите NAT-Traversal.

на устройстве ненадо указывать роутинг устройство само поднимит маршрутизацию.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Скажите почему пакеты и пинги внутри поднятого туннеля FreeBSD - ipsec - DIR-130 не ходят?

На FreeBSD файреволл полностью открыт, на DIR-130 в файреволл стоят три недоступных для изменения правила

Первые два стоят по умолчанию и недоступны для удаления или отключения
1) Deny all from WAN 0.0.0.0/0 to LAN 0.0.0.0/0 port 0-65535 protocol ALL
2) Allow all from LAN 0.0.0.0/0 to WAN 0.0.0.0/0 port 0-65535 protocol ALL
Это правило добавляется после создания туннеля VPN
3) Allow all from IPSEC 192.168.2.0/23 to LAN 192.168.30.0/0 port 0-65535 protocol ALL

Дополнительно было дописано два правила чтобы попытаться открыть полностью файревол DIR-130 в обе стороны на время тестов:
4) Allow all from WAN 0.0.0.0/0 to LAN 0.0.0.0/0 port 0-65535 protocol ALL
5) Allow all from LAN 0.0.0.0/0 to WAN 0.0.0.0/0 port 0-65535 protocol ALL

В результате ни пинги ни пакеты по туннелю между сетями так и не проходят. По рекомендации отключить на FreeBSD и на DIR-130 NAT-Traversal - отключен на обоих. Когда ставишь вместо DIR-130 второй компьютер с FreeBSD и поднимаешь туннель с теми же настройками - по туннелю все прекрасно бегает в обе стороны.

Также в ходе редактирования параметров IPSec на роутере DIR-130 он постоянно требует ввести Preshared Key хотя в режиме с сертификатами x509 никак не участвует и галочка напротив него не стоит (прошивка ftp://ftp.dlink.ru/pub/Router/DIR-130/F ... 121B02.bin).

Есть ли какие то средства диагностики или возможность проверить куда пропадают пакеты?

Tracert на другую удаленную локальную подсеть с компьютера подключенного к DIR-130 и получившего от него по DHCP IP честно показывает что пакеты заходят в роутер. Маршрут на подсеть со стороны FreeBSD также прописан и с другой стороны тоже ни пингов ни пакетов, хотя в статусе на обоих устройствах есть подтверждение что туннель поднят и работает.

Я с DIR-130 не работал, но, по-моему, созданные вами правила (4,5) нужно удалить - они как минимум бесполезны. Кроме того, я бы сначала попробовал работу с PSK, а уж после того, как заработает, переходил бы на сертификаты.

До сих пор есть трудности в получении примеров настройки данного устройства вообще, поскольку судя по наполнению раздела Поддержка-FAQ-VPN у D-Link вообще таких моделей нет, а если они и есть, то пользователи должны полагаться сугубо на прилагаемую документацию в которой есть только описание WWW-интерфейса. Если у других производителей в ней или отдельно прилагаются примеры настройки устройств (конкретно интересует VPN IPSec x.509) то тут - увы, возможно это когда то в будущем и появится...

Поэтому первоначально туннель был настроен с авторизацией по PSK, пакеты по нему не ходили. Затем уже изучая документацию других производителей Cisco, Billion, Drytek и благодаря вопросам-ответам в форуме от представителя D-Link Сергея Васильева была получена дополнительная информация которая позволила перенастроить роутер в режим работы с x.509 (как это и предполагалось изначально). На прохождение пакетов по туннелю это никак не повлияло. В данное время начались изыскания в сторону настройки встроенного файреволла - может это он режет пакеты. С этой целью и были написаны правила 4-5, чтобы попытаться полностью открыть файреволл DIR-130, поскольку при установке на этой стороне FreeBSD все прекрасно ходит.

Остается открытыми вопросы к представителям D-Link:

Насколько соблюден в DIR-130 стандарт IPSeс, который позволяет создавать VPN между абсолютно любыми устройствами лишь бы они имели совместимые протоколы обмена ключей,шифрования,проверки целостности пакетов (все что внутри настроек IPSec фазы1 и 2)?

Проводились ли реальные тесты по соединению FreeBSD-ipsec-DIR-130? А если нет- то можно огласить список протестированного в связке оборудования, чтобы ориентироваться на что можно рассчитывать?

Как проверить что встроенный файреволл DIR-130 пропускает через себя пакеты его встроенными средствами или косвенным способом?

Если файреволл открыт - отчего все эти проблемы?
Можно предположить, что устройство выпустили в продажу с "сырой" прошивкой (при продаже стояла 1.12), сейчас текущая 1.21 beta 02.
Прочитав список внесенных изменений с момента релиза 1.12 убедился, что даже если не прошивать последнюю бету, то наткнешься еще на десяток других, что в в конечном итоге все равно не дает решить конкретную задачу - поднять IPSec VPN или он поднимется, но пакеты по нему не пойдут.

Наверное правильно, что D-Link пытается занять эту незаполненную нишу в данном ценовом сегменте, но положиться пока на их продукцию, увы, не получается

Firewall трогать на DIR нет никакой необходимости. По поводу же настроек raccon привожу конфик с linux при котором все работает. В вашем случае засада гдето в маршрутизации:



В Debian lenny достаточно разрешить в IPTABLES трафик между сетями и протоколы и порты используемые IPSec, а маршрутизация поднимается автоматически.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

Спасибо за конфиг racoon. При текущем раскладе дабы исключить все возможные побочные проблемы в тч и с маршрутизацией думаем поднять туннель на стенде по такой схеме:

(Компьютер LAN1)---(LAN1[DHCP,FreeBSD]WAN1)---кроссовер---(WAN2[DIR-130]DHCP,LAN2)----(LAN2 Компьютер)

естественно пропишем на FreeBSD маршрут в LAN2, DIR-130 как вы сказали должен машрутизацию в LAN1 настроить сам.