1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Сб июл 19, 2025 05:58

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 9 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
gzhukov
 Заголовок сообщения: Strongswan+DFL 1600
СообщениеДобавлено: Ср окт 06, 2010 00:25 
Не в сети

Зарегистрирован: Пт июл 02, 2010 11:42
Сообщений: 19
Здравствуйте, помогите разобраться с подключением strongswan'ом к Дфлу:

DLink DFL-1600:
Код:
[b]ipsec:[/b]
IKE Lifetime: 28800
IPsec Lifetime: 3600
Pre-shared Key
IKE XAuth Off
[b]IKE:[/b]
DH Group 2 Aggressive
PFS     DH Group 2
SA Per net
Dead Peer Detection no
NAT Traversal off
Keep-alive disable


Strongswan:
Код:
cat /etc/ipsec.conf
# ipsec.conf - strongSwan IPsec configuration file

# basic configuration

config setup
    plutodebug=all
    plutostart=yes
    interfaces="ipsec0=eth0"

conn %default
    ikelifetime=28800s
    keylife=3600s
    rekeymargin=3m
    keyingtries=1
    keyexchange=ike
    authby=secret

conn dlink
    left=XX.XX.XX.XX
    leftsubnet=192.168.0.0/24
    right=XX.XX.XX.YY
    rightsubnet=192.168.1.0/24
    auto=add
    pfs=yes
    pfsgroup=modp1024
    ike=3des-md5-modp1024
    esp=3des-md5


Код:
cat /etc/ipsec.secrets

XX.XX.XX.XX XX.XX.XX.YY : PSK "12345678"

Код:
ipsec statusall
000 Status of IKEv1 pluto daemon (strongSwan 4.3.4):
000 interface lo/lo 127.0.0.1:500
000 interface lo/lo 127.0.0.2:500
000 interface eth1/eth1 192.168.0.10:500
000 interface eth0/eth0 XX.XX.XX.XX:500
000 interface ppp10/ppp10 192.168.1.201:500
000 %myid = (none)
000 loaded plugins: curl ldap aes des sha1 sha2 md5 random pubkey openssl gcrypt hmac gmp
000 debug options: raw+crypt+parsing+emitting+control+lifecycle+klips+dns+natt+oppo+controlmore
000
000 "dlink": 192.168.0.0/24===XX.XX.XX.XX...XX.XX.XX.YY===192.168.1.0/24; unrouted; eroute owner: #0
000 "dlink":   ike_life: 28800s; ipsec_life: 3600s; rekey_margin: 180s; rekey_fuzz: 100%; keyingtries: 1
000 "dlink":   policy: PSK+ENCRYPT+TUNNEL+PFS; prio: 24,24; interface: eth0;
000 "dlink":   newest ISAKMP SA: #0; newest IPsec SA: #0;
000
Status of IKEv2 charon daemon (strongSwan 4.3.4):
  uptime: 8 seconds, since Oct 06 01:10:44 2010
  worker threads: 9 idle of 16, job queue load: 0, scheduled events: 0
  loaded plugins: curl ldap aes des sha1 sha2 md5 fips-prf random x509 pubkey openssl gcrypt xcbc hmac gmp kernel-netlink stroke updown attr resolv-conf
Listening IP addresses:
  192.168.0.10
  XX.XX.XX.XX
  192.168.1.201
Connections:
Security Associations:
  none


Код:
ipsec up dlink
002 "dlink" #1: initiating Main Mode
104 "dlink" #1: STATE_MAIN_I1: initiate
003 "dlink" #1: ignoring Vendor ID payload [8f9cc94e01248ecdf147594c284b213b]
003 "dlink" #1: received Vendor ID payload [XAUTH]
003 "dlink" #1: ignoring Vendor ID payload [12f5f28c457168a9702d9fe274cc]
106 "dlink" #1: STATE_MAIN_I2: sent MI2, expecting MR2
003 "dlink" #1: discarding duplicate packet; already STATE_MAIN_I2
108 "dlink" #1: STATE_MAIN_I3: sent MI3, expecting MR3
002 "dlink" #1: Peer ID is ID_IPV4_ADDR: 'XX.XX.XX.YY'
002 "dlink" #1: ISAKMP SA established
004 "dlink" #1: STATE_MAIN_I4: ISAKMP SA established
002 "dlink" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}
112 "dlink" #2: STATE_QUICK_I1: initiate
010 "dlink" #2: STATE_QUICK_I1: retransmission; will wait 20s for response
010 "dlink" #2: STATE_QUICK_I1: retransmission; will wait 40s for response
031 "dlink" #2: max number of retransmissions (2) reached STATE_QUICK_I1.  No acceptable response to our first Quick Mode message: perhaps peer likes no proposal


Лог Длинка:
Код:
2010-10-06
04:21:45    Info    IPSEC
1802703          
   
   
   ike_sa_negotiation_completed
ike_sa_completed
local_peer="XX.XX.XX.YY ID XX.XX.XX.YY" remote_peer="XX.XX.XX.XX ID XX.XX.XX.XX" initiator_spi="269352d7 483f2e49" responder_spi="3130566f ef6a3c73" int_severity=6
2010-10-06
04:21:45    Info    IPSEC
1802024          
   
   
   ike_sa_negotiation_completed
options=Responder mode="Main Mode" auth="Pre-shared keys" encryption=3des-cbc keysize= hash=md5 dhgroup=2 bits=1024 lifetime=28800
2010-10-06
04:21:31    Info    IPSEC
1802708          
   
   
   ike_sa_destroyed
ike_sa_killed
ike_sa=" Initiator SPI ESP=0x6a0fb0fa, AH=0x61a9437b, IPComp=0xb64db70"
2010-10-06
04:21:31    Notice    IPSEC
1800105          
   
   
   ike_delete_notification
local_ip=XX.XX.XX.YY remote_ip=XX.XX.XX.XX cookies=fab00f6a7b43a96100b74db6f0274bd7 reason="Received delete notification"
2010-10-06
04:21:24    Info    IPSEC
1803024          
   
   
   xauth_exchange_done
statusmsg="Authentication failed"
2010-10-06
04:21:24    Info    IPSEC
1803021          
   
   
   ipsec_sa_statistics
done=7 success=0 failed=7
2010-10-06
04:21:24    Warning    IPSEC
1800109          
   
   
   ike_quickmode_failed
local_ip=XX.XX.XX.YY remote_ip=XX.XX.XX.XX cookies=fab00f6a7b43a96100b74db6f0274bd7 reason="Timeout"
2010-10-06
04:21:24    Warning    IPSEC
1803020          
   
   
   ipsec_sa_failed
no_ipsec_sa
statusmsg="Timeout"
2010-10-06
04:21:24    Info    IPSEC
1800102          
   
   
   ipsec_event
message=" Remote Proxy ID 192.168.0.0/24 any"
2010-10-06
04:21:24    Info    IPSEC
1800102          
   
   
   ipsec_event
message=" Local Proxy ID 192.168.1.0/24 any"
2010-10-06
04:21:24    Info    IPSEC
1802703          
   
   
   ike_sa_negotiation_completed
ike_sa_completed
local_peer="XX.XX.XX.YY ID XX.XX.XX.YY" remote_peer="XX.XX.XX.XX ID XX.XX.XX.XX" initiator_spi="fab00f6a 7b43a961" responder_spi="00b74db6 f0274bd7" int_severity=6
2010-10-06
04:21:24    Info    IPSEC
1800102          
   
   
   ipsec_event
message="IPsec SA [Responder] negotiation failed:"
[/code]
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 06, 2010 05:30 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
А зачем у вас XAuth включено на DFL? Выключите.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
gzhukov
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 06, 2010 10:15 
Не в сети

Зарегистрирован: Пт июл 02, 2010 11:42
Сообщений: 19
IKE XAuth Off стоит в настройках ipsec. Да и пробовал я с паролем-результат тот же. Прошивка последняя.
Вернуться наверх
 Профиль  
 
gzhukov
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 06, 2010 15:10 
Не в сети

Зарегистрирован: Пт июл 02, 2010 11:42
Сообщений: 19
Кто-нибудь вообще привязывал к strongswan'у? Попробовал с аналогичными настройками openswan - то же самое. Попробовал racoon - в глубокую настройку не вдавался, но соединение тоже не поднимает. Интересует прежде всего strongswan. Как я понимаю проблема заключается в том, что вторая фаза не может пройти из-за некоректного согласования в первой фазе. Игра с различными настройками шифрования и авторизации ничего не дает.
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 06, 2010 21:00 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Непонятно откуда у вас взялись xauth_exchange_done statusmsg="Authentication failed" и таймаут.
Покажите параметры IPsec и поподробнее что у вас на сервере.
Проблема скорее всего в несогласованности параметров.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
gzhukov
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 06, 2010 21:35 
Не в сети

Зарегистрирован: Пт июл 02, 2010 11:42
Сообщений: 19
На длинке:

Код:
DFL-1600:/> show Interface IPsecTunnel ipsec

                   Property  Value
 --------------------------  --------------------------------
                     Index:  1
                      Name:  ipsec
              LocalNetwork:  InterfaceAddresses/lan1net
             RemoteNetwork:  InterfaceAddresses/office_net
            RemoteEndpoint:  InterfaceAddresses/virtual_ip
         IKEConfigModePool:  <empty>
             IKEAlgorithms:  Medium
           IPsecAlgorithms:  Medium
        IKELifeTimeSeconds:  28800
      IPsecLifeTimeSeconds:  3600
    IPsecLifeTimeKilobytes:  0
         EncapsulationMode:  Tunnel
                AuthMethod:  PSK (Pre-shared keying)
                       PSK:  psk
               LocalIDType:  Auto
                     XAuth:  Off
             DHCPOverIPsec:  No
       AddRouteToRemoteNet:  No
              PlaintextMTU:  1420
          OriginatorIPType:  LocalInterface (Local interface)
                   IKEMode:  Aggressive (Aggressive mode)
                   DHGroup:  2
                       PFS:  PFS
                PFSDHGroup:  2
                SetupSAPer:  Net (Per network)
         DeadPeerDetection:  No
              NATTraversal:  Off
                 KeepAlive:  Disabled
                    Metric:  90
 AutoInterfaceNetworkRoute:  Yes
                  Comments:  <empty>


Код:
DFL-1600:/> show Settings IPsecTunnelSettings

                   Property  Value
 --------------------------  ------
           IPsecMaxTunnels:  0
             IPsecMaxRules:  0
     IKESendInitialContact:  Yes
               IKESendCRLs:  Yes
        IKECRLValidityTime:  86400
              IKEMaxCAPath:  15
    IPsecCertCacheMaxCerts:  1024
          IPsecBeforeRules:  Yes
      IPsecGWNameCacheTime:  14400
                 DPDMetric:  3
               DPDKeepTime:  2
             DPDExpireTime:  15
 IPsecHardwareAcceleration:  Inline
       IPsecDisablePKAccel:  No
Вернуться наверх
 Профиль  
 
gzhukov
 Заголовок сообщения:
СообщениеДобавлено: Ср окт 06, 2010 21:43 
Не в сети

Зарегистрирован: Пт июл 02, 2010 11:42
Сообщений: 19
На сервере кусок лога:
Цитата:
Oct 6 22:16:42 bigboy pluto[14312]: "dlink" #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+PFS+UP {using isakmp#1}
Oct 6 22:16:42 bigboy pluto[14312]: | **emit ISAKMP Message:
Oct 6 22:16:42 bigboy pluto[14312]: | initiator cookie:
Oct 6 22:16:42 bigboy pluto[14312]: | c9 05 3e b0 2b 2a 07 ba
Oct 6 22:16:42 bigboy pluto[14312]: | responder cookie:
Oct 6 22:16:42 bigboy pluto[14312]: | 2c 4d ce 40 58 2d 24 4f
Oct 6 22:16:42 bigboy pluto[14312]: | next payload type: ISAKMP_NEXT_HASH
Oct 6 22:16:42 bigboy pluto[14312]: | ISAKMP version: ISAKMP Version 1.0
Oct 6 22:16:42 bigboy pluto[14312]: | exchange type: ISAKMP_XCHG_QUICK
Oct 6 22:16:42 bigboy pluto[14312]: | flags: ISAKMP_FLAG_ENCRYPTION
Oct 6 22:16:42 bigboy pluto[14312]: | message ID: ca d8 63 d8
Oct 6 22:16:42 bigboy pluto[14312]: | ***emit ISAKMP Hash Payload:
Oct 6 22:16:42 bigboy pluto[14312]: | next payload type: ISAKMP_NEXT_SA
Oct 6 22:16:42 bigboy pluto[14312]: | emitting 16 zero bytes of HASH into ISAKMP Hash Payload
Oct 6 22:16:42 bigboy pluto[14312]: | emitting length of ISAKMP Hash Payload: 20
Oct 6 22:16:42 bigboy pluto[14312]: | ***emit ISAKMP Security Association Payload:
Oct 6 22:16:42 bigboy pluto[14312]: | next payload type: ISAKMP_NEXT_NONCE
Oct 6 22:16:42 bigboy pluto[14312]: | DOI: ISAKMP_DOI_IPSEC
Oct 6 22:16:42 bigboy pluto[14312]: | ****emit IPsec DOI SIT:
Oct 6 22:16:42 bigboy pluto[14312]: | IPsec DOI SIT: SIT_IDENTITY_ONLY
Oct 6 22:16:42 bigboy pluto[14312]: | esp proposal: 3DES_CBC/HMAC_MD5, ; pfsgroup=MODP_1024;
Oct 6 22:16:42 bigboy pluto[14312]: | ****emit ISAKMP Proposal Payload:
Oct 6 22:16:42 bigboy pluto[14312]: | next payload type: ISAKMP_NEXT_NONE
Oct 6 22:16:42 bigboy pluto[14312]: | proposal number: 0
Oct 6 22:16:42 bigboy pluto[14312]: | protocol ID: PROTO_IPSEC_ESP
Oct 6 22:16:42 bigboy pluto[14312]: | SPI size: 4
Oct 6 22:16:42 bigboy pluto[14312]: | number of transforms: 1
Oct 6 22:16:42 bigboy pluto[14312]: | netlink_get_spi: allocated 0x4463e5f6 for esp.0@XX.XX.XX.XX
Oct 6 22:16:42 bigboy pluto[14312]: | emitting 4 raw bytes of SPI into ISAKMP Proposal Payload
Oct 6 22:16:42 bigboy pluto[14312]: | SPI 44 63 e5 f6
Oct 6 22:16:42 bigboy pluto[14312]: | *****emit ISAKMP Transform Payload (ESP):
Oct 6 22:16:42 bigboy pluto[14312]: | next payload type: ISAKMP_NEXT_NONE
Oct 6 22:16:42 bigboy pluto[14312]: | transform number: 0
Oct 6 22:16:42 bigboy pluto[14312]: | transform ID: 3DES_CBC
Oct 6 22:16:42 bigboy pluto[14312]: | ******emit ISAKMP IPsec DOI attribute:
Oct 6 22:16:42 bigboy pluto[14312]: | af+type: GROUP_DESCRIPTION
Oct 6 22:16:42 bigboy pluto[14312]: | length/value: 2
Oct 6 22:16:42 bigboy pluto[14312]: | [2 is MODP_1024]
Oct 6 22:16:42 bigboy pluto[14312]: | ******emit ISAKMP IPsec DOI attribute:
Oct 6 22:16:42 bigboy pluto[14312]: | af+type: ENCAPSULATION_MODE
Oct 6 22:16:42 bigboy pluto[14312]: | length/value: 1
Oct 6 22:16:42 bigboy pluto[14312]: | [1 is ENCAPSULATION_MODE_TUNNEL]
Oct 6 22:16:42 bigboy pluto[14312]: | ******emit ISAKMP IPsec DOI attribute:
Oct 6 22:16:42 bigboy pluto[14312]: | af+type: SA_LIFE_TYPE
Oct 6 22:16:42 bigboy pluto[14312]: | length/value: 1
Oct 6 22:16:42 bigboy pluto[14312]: | [1 is SA_LIFE_TYPE_SECONDS]
Oct 6 22:16:42 bigboy pluto[14312]: | ******emit ISAKMP IPsec DOI attribute:
Oct 6 22:16:42 bigboy pluto[14312]: | af+type: SA_LIFE_DURATION
Oct 6 22:16:42 bigboy pluto[14312]: | length/value: 3600
Oct 6 22:16:42 bigboy pluto[14312]: | ******emit ISAKMP IPsec DOI attribute:
Oct 6 22:16:42 bigboy pluto[14312]: | af+type: AUTH_ALGORITHM
Oct 6 22:16:42 bigboy pluto[14312]: | length/value: 1
Oct 6 22:16:42 bigboy pluto[14312]: | [1 is HMAC_MD5]
Oct 6 22:16:42 bigboy pluto[14312]: | emitting length of ISAKMP Transform Payload (ESP): 28
Oct 6 22:16:42 bigboy pluto[14312]: | emitting length of ISAKMP Proposal Payload: 40
Oct 6 22:16:42 bigboy pluto[14312]: | emitting length of ISAKMP Security Association Payload: 52


Далее идет обмен ключами и т.д. и в конце:

Код:
Oct  6 22:17:13 bigboy pluto[14312]: | last Phase 1 IV:  4a 5c ad e6  52 59 bc ad
Oct  6 22:17:13 bigboy pluto[14312]: | computed Phase 2 IV:
Oct  6 22:17:13 bigboy pluto[14312]: |   2e 9f bd 3b  e6 40 3c 8e  25 c9 50 1f  fd 40 c1 58
Oct  6 22:17:13 bigboy pluto[14312]: "dlink" #1: received ModeCfg message when in state STATE_MAIN_I4, and we aren't mode config client
Oct  6 22:17:13 bigboy pluto[14312]: | next event EVENT_RETRANSMIT in 39 seconds for #2
Oct  6 22:17:33 bigboy vsftpd: Wed Oct  6 22:17:33 2010 [pid 14791] CONNECT: Client "127.0.0.1"
Oct  6 22:17:52 bigboy pluto[14312]: |
Oct  6 22:17:52 bigboy pluto[14312]: | *time to handle event
Oct  6 22:17:52 bigboy pluto[14312]: | event after this is EVENT_REINIT_SECRET in 3462 seconds
Oct  6 22:17:52 bigboy pluto[14312]: | handling event EVENT_RETRANSMIT for XX.XX.XX.YY "dlink" #2
Oct  6 22:17:52 bigboy pluto[14312]: "dlink" #2: max number of retransmissions (2) reached STATE_QUICK_I1.  No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
Oct  6 22:17:52 bigboy pluto[14312]: | ICOOKIE:  c9 05 3e b0  2b 2a 07 ba
Oct  6 22:17:52 bigboy pluto[14312]: | RCOOKIE:  2c 4d ce 40  58 2d 24 4f
Oct  6 22:17:52 bigboy pluto[14312]: | peer:  5d bc 2c 05
Oct  6 22:17:52 bigboy pluto[14312]: | state hash entry 1
Oct  6 22:17:52 bigboy pluto[14312]: | next event EVENT_REINIT_SECRET in 3462 seconds
bigboy:~ # less /home/gzhukov/ipsec.log
Oct  6 22:17:12 bigboy pluto[14312]: |   ed 58 ff aa  f3 83 2c 66  d9 8d aa 26  52 7e 22 35
Oct  6 22:17:12 bigboy pluto[14312]: |   7c 27 6e c1  a7 8d 65 cf  49 f9 c2 eb  6e 9c fb bd
Oct  6 22:17:12 bigboy pluto[14312]: |   02 32 cb 7a  0a 98 83 75  d6 75 57 43  88 76 ba 7f
Oct  6 22:17:12 bigboy pluto[14312]: |   95 ee 00 a7  e4 61 83 86  62 f4 ac 4b  4f 6c cb 34
Oct  6 22:17:12 bigboy pluto[14312]: |   cc 1e 6e 15  35 ef c9 f2  0c d2 ef 0e  0e 91 d6 ff
Oct  6 22:17:12 bigboy pluto[14312]: |   72 d8 45 90  43 5f cb a1  cd fa 48 75  86 ca 53 83
Oct  6 22:17:12 bigboy pluto[14312]: |   74 b1 4d e5  67 6f 0b 63  82 57 4c e0  96 22 dd 7e
Oct  6 22:17:12 bigboy pluto[14312]: |   ad 9b 4f 4f  c1 8e 41 94  0e 79 9d 29  a4 a3 ee 82
Oct  6 22:17:12 bigboy pluto[14312]: |   66 2c b5 38  a1 47 d5 ad  41 a1 38 b4  da 11 c3 fa
Oct  6 22:17:12 bigboy pluto[14312]: |   76 27 32 9c  7d a2 63 8e  af fd 68 fc  e3 b0 c8 92
Oct  6 22:17:12 bigboy pluto[14312]: |   e3 b8 15 6b  1a 48 2f 0e  7f 2e 79 4d  e4 13 f7 31
Oct  6 22:17:12 bigboy pluto[14312]: |   3e 09 86 2d  80 0f e6 34  57 6e 69 3d  f1 fb df 49
Oct  6 22:17:12 bigboy pluto[14312]: |   ad 17 72 c3  f2 a1 4c 6a  ce aa ed 6e  d9 f2 51 a4
Oct  6 22:17:12 bigboy pluto[14312]: |   ef 84 67 f6  45 54 a9 5f  6d 79 02 f6
Oct  6 22:17:12 bigboy pluto[14312]: | inserting event EVENT_RETRANSMIT, timeout in 40 seconds for #2
Oct  6 22:17:12 bigboy pluto[14312]: | next event EVENT_RETRANSMIT in 40 seconds for #2
Oct  6 22:17:13 bigboy pluto[14312]: |
Oct  6 22:17:13 bigboy pluto[14312]: | *received 68 bytes from XX.XX.XX.YY:500 on eth0
Oct  6 22:17:13 bigboy pluto[14312]: |   c9 05 3e b0  2b 2a 07 ba  2c 4d ce 40  58 2d 24 4f
Oct  6 22:17:13 bigboy pluto[14312]: |   08 10 06 01  c0 4e da a5  00 00 00 44  78 f5 c3 d5
Oct  6 22:17:13 bigboy pluto[14312]: |   1e 4e a6 5f  e1 95 e4 14  ed 83 e3 8b  7b ae 5b c1
Oct  6 22:17:13 bigboy pluto[14312]: |   6a e8 8a 10  51 fc bc 36  a8 04 a8 39  2b f2 9c 85
Oct  6 22:17:13 bigboy pluto[14312]: |   bb 2d 8c eb
Oct  6 22:17:13 bigboy pluto[14312]: | **parse ISAKMP Message:
Oct  6 22:17:13 bigboy pluto[14312]: |    initiator cookie:
Oct  6 22:17:13 bigboy pluto[14312]: |   c9 05 3e b0  2b 2a 07 ba
Oct  6 22:17:13 bigboy pluto[14312]: |    responder cookie:
Oct  6 22:17:13 bigboy pluto[14312]: |   2c 4d ce 40  58 2d 24 4f
Oct  6 22:17:13 bigboy pluto[14312]: |    next payload type: ISAKMP_NEXT_HASH
Oct  6 22:17:13 bigboy pluto[14312]: |    ISAKMP version: ISAKMP Version 1.0
Oct  6 22:17:13 bigboy pluto[14312]: |    exchange type: ISAKMP_XCHG_MODE_CFG
Oct  6 22:17:13 bigboy pluto[14312]: |    flags: ISAKMP_FLAG_ENCRYPTION
Oct  6 22:17:13 bigboy pluto[14312]: |    message ID:  c0 4e da a5
Oct  6 22:17:13 bigboy pluto[14312]: |    length: 68
Oct  6 22:17:13 bigboy pluto[14312]: | ICOOKIE:  c9 05 3e b0  2b 2a 07 ba
Oct  6 22:17:13 bigboy pluto[14312]: | RCOOKIE:  2c 4d ce 40  58 2d 24 4f
Oct  6 22:17:13 bigboy pluto[14312]: | peer:  5d bc 2c 05
Oct  6 22:17:13 bigboy pluto[14312]: | state hash entry 1
Oct  6 22:17:13 bigboy pluto[14312]: | state object not found
Oct  6 22:17:13 bigboy pluto[14312]: | ICOOKIE:  c9 05 3e b0  2b 2a 07 ba
Oct  6 22:17:13 bigboy pluto[14312]: | RCOOKIE:  2c 4d ce 40  58 2d 24 4f
Oct  6 22:17:13 bigboy pluto[14312]: | peer:  5d bc 2c 05
Oct  6 22:17:13 bigboy pluto[14312]: | state hash entry 1
Oct  6 22:17:13 bigboy pluto[14312]: | state object #1 found, in STATE_MAIN_I4
Oct  6 22:17:13 bigboy pluto[14312]: | last Phase 1 IV:  4a 5c ad e6  52 59 bc ad
Oct  6 22:17:13 bigboy pluto[14312]: | computed Phase 2 IV:
Oct  6 22:17:13 bigboy pluto[14312]: |   2e 9f bd 3b  e6 40 3c 8e  25 c9 50 1f  fd 40 c1 58
Oct  6 22:17:13 bigboy pluto[14312]: "dlink" #1: received ModeCfg message when in state STATE_MAIN_I4, and we aren't
 mode config client
Oct  6 22:17:13 bigboy pluto[14312]: | next event EVENT_RETRANSMIT in 39 seconds for #2
Oct  6 22:17:33 bigboy vsftpd: Wed Oct  6 22:17:33 2010 [pid 14791] CONNECT: Client "127.0.0.1"
Oct  6 22:17:52 bigboy pluto[14312]: |
Oct  6 22:17:52 bigboy pluto[14312]: | *time to handle event
Oct  6 22:17:52 bigboy pluto[14312]: | event after this is EVENT_REINIT_SECRET in 3462 seconds
Oct  6 22:17:52 bigboy pluto[14312]: | handling event EVENT_RETRANSMIT for XX.XX.XX.YY "dlink" #2
Oct  6 22:17:52 bigboy pluto[14312]: "dlink" #2: max number of retransmissions (2) reached STATE_QUICK_I1.  No accep
table response to our first Quick Mode message: perhaps peer likes no proposal
Oct  6 22:17:52 bigboy pluto[14312]: | ICOOKIE:  c9 05 3e b0  2b 2a 07 ba
Oct  6 22:17:52 bigboy pluto[14312]: | RCOOKIE:  2c 4d ce 40  58 2d 24 4f
Oct  6 22:17:52 bigboy pluto[14312]: | peer:  5d bc 2c 05
Oct  6 22:17:52 bigboy pluto[14312]: | state hash entry 1
Oct  6 22:17:52 bigboy pluto[14312]: | next event EVENT_REINIT_SECRET in 3462 seconds
Вернуться наверх
 Профиль  
 
danilovav
 Заголовок сообщения:
СообщениеДобавлено: Чт окт 07, 2010 05:28 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Я не знаю strongswan, но могу предположить, что судя по "dlink" #1: received ModeCfg message when in state STATE_MAIN_I4, and we aren't
mode config client у вас банальное рассогласование параметров. Проверяйте на сервере параметры шифрования (medium по умолчанию соответствуют 3DES, AES, Blowfish, Twofish, CAST128, MD5, SHA1), параметры IPsec - IKE group, PFS.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
gzhukov
 Заголовок сообщения:
СообщениеДобавлено: Пт окт 08, 2010 16:37 
Не в сети

Зарегистрирован: Пт июл 02, 2010 11:42
Сообщений: 19
да перепроверил уже все, поигрался с настройками PFS, SA, Keep-alive, DPD. Попробовал в strongswan разные алгоритмы шифрования и хеш-функции. Ничего не помогает. Сервер и длинк находятся в одной подсети в одном влане. Т.ч. вообще уже не знаю на что грешить.
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 9 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 701

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB