D-Link • Просмотр темы - IPSec туннель между Linux и DFL-800.

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

IPSec туннель между Linux и DFL-800.

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 1

[ Сообщений: 4 ]

Предыдущая тема | Следующая тема

Автор

Сообщение

yohimba

Заголовок сообщения: IPSec туннель между Linux и DFL-800.

Добавлено: Пт сен 14, 2012 03:58

Зарегистрирован: Пн сен 20, 2010 04:21
Сообщений: 11

Помогите решить проблему с IPSec в связке DFL-800 + Linux.

Туннель перестает передавать пакеты каждые 8 часов! Требуется перезапуск racoon на Linux.

Если перезапуск не делать, то через некоторое время racoon начинает сыпать в логи сообщение: "ERROR: S.S.S.S give up to get IPsec-SA due to time up to wait.", то есть racoon не может соединиться с WAN портом DFL-800. Хотя порт без проблем пингуется.

На стороне Linux динамический белый IP (D.D.D.D - соединение PPPoE), на стороне DFL-800 статический белый IP (S.S.S.S ).
За линуксом локальная сеть 192.168.4.0/24, за DFL-800 192.168.5.0/24

Версия аппаратного обеспечения DFL-800: 2.26.00.06-12649 Sep 23 2009
На Linux используется пакет ipsec-tools-0.8.0, в принципе 0.7.3 тоже был попробован, результат точно такой же.
Ядра на Linux тоже менял перепробовал все от 2.6.x, до 3.3.8, это не помогает, ровно через 8 часов IPSec-туннель умирает.

Я специально написал скрипт который проверяет туннель каждые пять минут.

Конфигурация на DFL-800:

Код:

Удаленная точка: (None)
Режим инкапсуляции: Tunnel
IKE Config Mode Pool: (None)

Алгоритмы IKE: Medium
Время жизни IKE: 28800 секунд (т. е. 8 часов)
Алгоритмы IPsec: Medium
Время жизни IPsec: 3600 секунд
Время жизни IPsec: 0 килобайт

Конфиг racoon:

Код:

# sync
# sync
# cat racoon.conf
# auto generated by /etc/init.d/racoon
path pre_shared_key "/var/racoon/psk.txt";
path certificate "/var/racoon/cert";
padding {
  maximum_length 20; randomize off;
  strict_check off; exclusive_tail off;
}
timer {
  counter 5; interval 20 sec; persend 1;
  phase1 30 sec; phase2 15 sec;
}

listen {
  isakmp D.D.D.D;
  isakmp_natt D.D.D.D [4500];
}

remote S.S.S.S {
  exchange_mode aggressive,main;
  proposal_check obey;
  nat_traversal on;
  proposal {
    lifetime time 28800 sec;
    encryption_algorithm aes 128;
    hash_algorithm sha1;
    authentication_method pre_shared_key;
    dh_group 2;
  }
}
sainfo address 192.168.4.0/24 any address 192.168.5.0/24 any {
  pfs_group 2;
  lifetime time 3600 sec;
  encryption_algorithm aes 128;
  authentication_algorithm hmac_sha1;
  compression_algorithm deflate;
}

Как лечить это безобразие? Вроде DFL-800 недешевая железка, должна же по идее нормально работать с ipsec-tools?

Вернуться наверх

yohimba

Заголовок сообщения: Re: IPSec туннель между Linux и DFL-800.

Добавлено: Ср сен 26, 2012 07:26

Зарегистрирован: Пн сен 20, 2010 04:21
Сообщений: 11

yohimba писал(а):

Как лечить это безобразие? Вроде DFL-800 недешевая железка, должна же по идее нормально работать с ipsec-tools?

Лечится конфигом отсюда - viewtopic.php?f=3&t=131866#p693685

Вернуться наверх

yohimba

Заголовок сообщения: Re: IPSec туннель между Linux и DFL-800.

Добавлено: Сб сен 29, 2012 04:05

Зарегистрирован: Пн сен 20, 2010 04:21
Сообщений: 11

Рано радовался, оказывается разрыв через каждые 8 часов есть. Просто я его не заметил, он длится примерно 15-20 минут. После чего туннель опять сам поднимается. Что за ерунда то такая? Вроде теперь все по науке:

Код:

# auto generated by /etc/init.d/racoon
path pre_shared_key "/var/racoon/psk.txt";
path certificate "/var/racoon/cert";
padding {
  maximum_length 20; randomize off;
  strict_check off; exclusive_tail off;
}
timer {
  counter 5; interval 20 sec; persend 1;
  phase1 30 sec; phase2 15 sec;
}

listen {
  isakmp D.D.D.D;
  isakmp_natt D.D.D.D [4500];
}

remote S.S.S.S {
  my_identifier address "D.D.D.D";
  peers_identifier address "S.S.S.S";
  exchange_mode main, aggressive;
  proposal_check obey;
  nat_traversal off;
  lifetime time 28800 sec;
  doi ipsec_doi;
  situation identity_only;
  initial_contact on;
  proposal {
    lifetime time 28800 sec;
    encryption_algorithm aes 128;
    hash_algorithm sha1;
    authentication_method pre_shared_key;
    dh_group 2;
  }
}
sainfo address 192.168.4.0/24 any address 192.168.5.0/24 any {
  pfs_group 2;
  lifetime time 3600 sec;
  encryption_algorithm aes 128;
  authentication_algorithm hmac_sha1;
  compression_algorithm deflate;
}

Господа технические специалисты напишите пожалуйста правильные настройки для ipsec-tools-0.8.0 и DFL-800.

Вернуться наверх

yohimba

Заголовок сообщения: Re: IPSec туннель между Linux и DFL-800.

Добавлено: Сб сен 29, 2012 12:02

Зарегистрирован: Пн сен 20, 2010 04:21
Сообщений: 11

Добавил к выше приведенному конфигу такие опции в секции remote:

Код:

dpd_delay 15;
dpd_retry 5;
dpd_maxfail 5;

И вместо proposal_check obey поставил proposal_check strict.

Racoon был перезапущен с этими опциями сегодня в 00:00 по UTC. Первые 8 часов туннель с этими опциями выдержал. Специально зашел на Linux и начал пинговать удаленную сеть с без двух минут 8-го по UTC до 08:05. Потерь при пинговании не было.

Информация из лога Linux на момент обмена:

Код:

Sep 29 08:00:36 linux daemon.info racoon: [S.S.S.S] INFO: DPD: remote (ISAKMP-SA spi=8b56dad2aec82d95:b50641044bc8ac85) seems to be dead.
Sep 29 08:00:36 linux daemon.info racoon: INFO: purging ISAKMP-SA spi=8b56dad2aec82d95:b50641044bc8ac85.
Sep 29 08:00:36 linux daemon.info racoon: INFO: purged ISAKMP-SA spi=8b56dad2aec82d95:b50641044bc8ac85.
Sep 29 08:00:36 linux daemon.info racoon: INFO: ISAKMP-SA deleted D.D.D.D[500]-S.S.S.S[500] spi:8b56dad2aec82d95:b50641044bc8ac85
Sep 29 08:00:58 linux daemon.info racoon: [S.S.S.S] ERROR: unknown Informational exchange received.
Sep 29 08:01:20 linux daemon.info racoon: INFO: IPsec-SA expired: ESP/Tunnel S.S.S.S[500]->D.D.D.D[500] spi=2952802(0x2d0e62)
Sep 29 08:01:20 linux daemon.info racoon: INFO: initiate new phase 2 negotiation: D.D.D.D[500]<=>S.S.S.S[500]
Sep 29 08:01:20 linux daemon.info racoon: INFO: IPsec-SA expired: ESP/Tunnel D.D.D.D[500]->S.S.S.S[500] spi=2115611150(0x7e19aa0e)
Sep 29 08:01:20 linux daemon.info racoon: INFO: IPsec-SA established: ESP/Tunnel D.D.D.D[500]->S.S.S.S[500] spi=123273803(0x759024b)
Sep 29 08:01:20 linux daemon.info racoon: INFO: IPsec-SA established: ESP/Tunnel D.D.D.D[500]->S.S.S.S[500] spi=3577191788(0xd5379d6c)
Sep 29 08:01:58 linux daemon.info racoon: INFO: purged IPsec-SA proto_id=ESP spi=2115611150

В 08:00:36 DFL-800 перестал отвечать и сработала технология DPD которая реанимировала соединение. Если бы не эта фича, туннель бы опять перестал существовать.

Я так понимаю вместо обмена ключами от DFL-800 прилетает "ERROR: unknown Informational exchange received."

Похоже DPD это хоть какое-то решение проблемы, но все таки хотелось бы получить ответ на вопрос: "Почему DFL-800 не начинает обмен ключами даже с конфигом который предложен техническим специалистом D-LINK?"

P. S.
Возможно кому-нибудь поможет данная информация, и ему не придется как мне, в течение двух недель наугад перебирать конфиги при скрещивании Linux и DFL.

А вообще конечно странно, что на форуме полно сотрудников D-LINK, и никто не в курсе как интегрировать их оборудование с Linux. Можно подумать Linux в наше время нигде не используется на серверах. Приходится как слепому котенку отгадывать опции для соединения.

Вернуться наверх

Страница 1 из 1

[ Сообщений: 4 ]

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: Google [Bot] и гости: 306

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения