+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

IPsec и Freeswan

IPsec и Freeswan, RouterOS

rastod Guest	#1 0 08.03.2006 14:23:00 Может, кто-нибудь подскажет, как настроить IPsec-туннель между MikroTIK и Freeswan IP Sec?

Tonda Guest	#2 0 08.03.2006 15:11:00 Ты смотрел в мануал? Там есть пример: http://www.mikrotik.com/docs/ros/2.9/ip/ipsec

rastod Guest	#3 0 08.03.2006 15:13:00 Да, сделал, информации о FreeSwan нет. Чтобы работать с FreeSwan, мне нужно определить безопасный ключ, а на Mikrotik нет места, где это можно сделать.

mag Guest	#4 0 08.03.2006 15:16:00 http://www.mikrotik.com/docs/ros/2.9/ip/ipsec.content#5.44.8.4 "MikroTik Router и Linux FreeS/WAN" – это же то, что ты ищешь?

rastod Guest	#5 0 08.03.2006 21:38:00 Нет, не работает.

andrewluck Guest	#6 0 09.03.2006 18:37:00 Итак, выкладывайте свои конфигурации для каждой стороны вместе с логами ISAKMP и IPSEC. С уважением, Andrew

rastod

Guest

10.03.2006 15:34:00

Да, буду очень благодарен, если вы сможете помочь. Вот что получилось:

Linux Debian side: /etc/ipsec.conf - файл конфигурации IPsec FreeS/WAN
RCSID $Id: ipsec.conf.in,v 1.11 2003/06/13 23:28:41 sam Exp $
Базовая конфигурация:
config setup
forwardcontrol=yes
interfaces="ipsec0=eth0"
Отладка логирования:
"none" — для (почти) без отладки, "all" — для большого количества.
klipsdebug=all
klipsdebug=none
uniqueids=yes
plutodebug=all
crlcheckinterval=600
strictcrlpolicy=yes
conn %default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
conn orakor_zv
authby=secret
auto=start
compress=no
left=11.87.214.163
leftid=@11.87.214.163
leftnexthop=11.87.214.161
leftsubnet=131.0.0.0/24
pfs=no
right=11.87.217.30
rightid=@11.87.217.30
rightnexthop=11.87.208.19
rightsubnet=192.168.1.0/24

And MikroTIk side:
[admin@MikroTik] ip ipsec> policy print
Flags: X - disabled, D - dynamic, I - invalid
0 src-address=192.168.1.0/24:any dst-address=131.0.0.0/24:any protocol=all action=encrypt level=require ipsec-protocols=esp tunnel=yes sa-src-address=11.87.217.30 sa-dst-address=11.87.214.163 proposal=test1 manual-sa=none dont-fragment=clear
[admin@MikroTik] ip ipsec> peer print
Flags: X - disabled
0 address=11.87.214.163/32:500 secret=“test1” generate-policy=yes exchange-mode=main send-initial-contact=yes proposal-check=obey hash-algorithm=md5 enc-algorithm=3des dh-group=modp1024 lifetime=1d lifebytes=0
[admin@MikroTik] ip ipsec> proposal print
Flags: X - disabled
0 name=“test1” auth-algorithms=md5 enc-algorithms=3des lifetime=0s lifebytes=0 pfs-group=modp1024

rastod

Guest

10.03.2006 16:07:00

Извини, забыл написать, как работает эта конфигурация. Когда я пытаюсь пропинговать друг друга, на Mikrotik я вижу: IPsec counters: Out Accepter: увеличивается Out Dropped: увеличивается Out Encrypted: 0 In Accepted: увеличивается In Dropped: 0 In Decrypted: 0 ISAKP Out Accepter: увеличивается ISAKPM In Accepted: увеличивается В лог-файле я вижу: ipsec info: ipsec packet discarded: src=92.168.1.7 dst=131.0.0.200

andrewluck

Guest

12.03.2006 08:38:00

Вы аутентифицируетесь, используя общий секрет. На стороне MT это определено как ‘test1’, но я не вижу эту настройку на стороне Debian. Уверен, что вам нужно убрать @ из строк идентификаторов на стороне Debian. `generate policy=yes` используется только для динамических IPSEC-соединений. Поскольку подключаемый IP-адрес меняется, измените это на =no. Я бы посоветовал перепроверить документацию FreeSwan, так как я не вижу никаких IPSEC-предложений в вашей настройке соединения, например, чего-то, что относится к md5, 3DES, если только эти значения не являются значениями по умолчанию. Включите отладку ISAKMP на MT и опубликуйте лог подключения. С уважением, Andrew.

mag Guest	#10 0 12.03.2006 15:58:00 Как можно включить отладку IPSec?

andrewluck Guest	#11 0 13.03.2006 13:39:00 Журнал системы> добавить topics=ike action=память С уважением Эндрю

rastod

Guest

#12

15.03.2006 13:55:00

Вот мои логи: На Mikrotik, когда я начинаю пинговать вторую сторону туннеля, получаю следующие сообщения: 21:43:21 ipsec,ike,info queuing SA request, phase 1 with peer 11.87.214.163 will be established first 21:43:21 ipsec,ike,info initiating phase 1, starting mode Identity Protection (local 11.87.208.78:500) (remote unknown) 21:43:21 ipsec,info ipsec packet discarded: src=192.168.1.7 dst=131.0.0.200 21:43:22 ipsec,info ipsec packet discarded: src=192.168.1.7 dst=131.0.0.200 21:43:23 ipsec,info ipsec packet discarded: src=192.168.1.7 dst=131.0.0.200 21:43:52 ipsec,ike,info dequeuing SA request to 80.87.214.163, phase 1 wait timed out На стороне Debian вижу следующие сообщения в логах: Mar 15 10:59:07 proxy pluto[22383]: “orakor_zv” #274: responding to Main Mode Mar 15 10:59:07 proxy pluto[22383]: “orakor_zv” #274: peer requested 86400 seconds which exceeds our limit 28800 seconds. Attribute OAKLEY_LIFE_DURATION (variable length) Mar 15 10:59:07 proxy pluto[22383]: “orakor_zv” #274: no acceptable Oakley Transform Mar 15 10:59:07 proxy pluto[22383]: “orakor_zv” #274: sending notification NO_PROPOSAL_CHOSEN to 11.87.208.78:500 Mar 15 10:59:07 proxy pluto[22383]: ERROR: asynchronous network error report on eth0 for message to 11.87.208.78 port 500, complainant 11.87.208.78: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]

cmit

Guest

#13

15.03.2006 14:36:00

В логах Debian всё говорит само за себя: пир запросил 86400 секунд, что превышает наш лимит 28800 секунд. Так что машина Debian жалуется, что MikroTik хочет использовать ключ шифрования на более длительный срок, чем Debian позволяет по умолчанию, и соединение отклонено. Так что либо нужно уменьшить срок жизни пира в MikroTik со стандартного 1 день (это 86400 секунд в логе ошибки) до чего-то ниже 28800 секунд (8 часов), либо настроить срок жизни на стороне Debian, чтобы он принимал срок жизни в 1 день (что стандартно в MikroTik). Я бы посоветовал понизить до 8 часов (или меньше) на стороне RouterOS. С уважением, Christian Meis

rastod

Guest

#14

15.03.2006 15:31:00

Я поменял лимит времени на стороне MikrotTIK и теперь вижу: В логах Mikrotik то же самое, что и раньше. В логах Debian: 15 мар 12:40:12 proxy pluto[22383]: “orakor_zv” #300: достигнуто максимальное количество повторных передач (20) STATE_MAIN_I1. Нет ответа (или нет приемлемого ответа) на наше первое IKE сообщение. 15 мар 12:40:12 proxy pluto[22383]: “orakor_zv” #300: начатка попытка подбора ключей 76 из неограниченного количества. 15 мар 12:40:12 proxy pluto[22383]: “orakor_zv” #311: запуск режима Main для замены #300. 15 мар 12:40:12 proxy pluto[22383]: “orakor_zv” #311: ОШИБКА: отчет об асинхронной сетевой ошибке на eth0 для сообщения на 11.87.208.78 порт 500, сообщивший 11.87.208.78: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]. 15 мар 12:40:42 proxy последнее сообщение повторилось 2 раза.

cmit Guest	#15 0 16.03.2006 16:17:00 Ну, просто смотреть на логи больше не поможет. Похоже, настройки шифрования с обеих сторон несовместимы… С наилучшими пожеланиями, Christian Meis.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры