|
Тема |
IPSEC м/у 2 FreeBSD-ta 5.4 ...помагайте в борбата |
|
Автор | amp; (Нерегистриран) | |
Публикувано | 09.11.05 19:35 |
|
|
Привет...значи ситуацията и организацията е следната:
Хост 1 FreeBSD: една лан карта с реален адрес A.B.C.D и с фалшив 192.168.10.1
Хост 2 FreeBSD: една лан карта с реален адрес E.F.G.H и с фалшив 192.168.20.1
На Хост 1: ifconfig gif0 create
ifconfig gif0 tunnel A.B.C.D E.F.G.H
ifconfig gif0 inet 192.168.10.1 192.168.20.1 netmask 255.255.255.255
На Хост 2: съответно обратното.
До тук добре имам си прекрасен тунел от A.B.C.D пингвам 192.168.20.1 и съоветно от E.F.G.H 192.168.10.1
сега иде ред на криптирането където мисля че бъркам нещо в ipsec файла..прилагам го:
spdadd 192.168.10.1/32 192.168.20.1/32 ipencap -P out ipsec esp/tunnel/A.B.C.D-E.F.G.H/require;
spdadd 192.168.20.1/32 192.168.10.1/32 ipencap -P in ipsec esp/tunnel/E.F.G.H-A.B.C.D/require;
някъде пише че трябва да са адресите от вътрешната мрежа другаде пише че трябва да са реалните адреси....не знам вече как трябва да е.
Сикретите съм ги сетнал в psk.txt файла:
A.B.C.D xxxxxxx
прилагам конфа на ракуна:
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
#path certificate "/usr/local/etc/racoon/cert";
log debug;
#
# "padding" defines some parameter of padding. You should not touch these.
#
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
# if no listen directive is specified, racoon will listen to all
# available interface addresses.
listen
{
#isakmp ::1 [7000];
#isakmp 202.249.11.124 [500];
#admin [7002]; # administrative's port by kmpstat.
#strict_address; # required all addresses must be bound.
}
# Specification of default various timer.
timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per a send.
# timer for waiting to complete each phase.
phase1 30 sec;
phase2 15 sec;
}
remote anonymous
{
exchange_mode main,aggressive;
doi ipsec_doi;
situation identity_only;
#my_identifier address;
#my_identifier user_fqdn "sakane@kame.net";
#peers_identifier user_fqdn "sakane@kame.net";
#certificate_type x509 "mycert" "mypriv";
nonce_size 16;
lifetime time 24 hour; # sec,min,hour
initial_contact on;
support_mip6 on;
proposal_check obey; # obey, strict or claim
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key ;
dh_group 2 ;
}
}
sainfo anonymous
{
pfs_group 1;
lifetime time 24 hour;
encryption_algorithm 3des ;
authentication_algorithm hmac_md5;
compression_algorithm deflate ;
}
и след като стартна ракуна в лога имам само:
Nov 9 15:22:23 nf racoon: DEBUG: grabmyaddr.c:206:grab_myaddrs(): my interface: A.B.C.D (rl0)
Nov 9 15:22:23 nf racoon: DEBUG: grabmyaddr.c:206:grab_myaddrs(): my interface: 192.168.10.1 (rl0)
Nov 9 15:22:23 nf racoon: DEBUG: grabmyaddr.c:206:grab_myaddrs(): my interface: 127.0.0.1 (lo0)
Nov 9 15:22:23 nf racoon: DEBUG: grabmyaddr.c:206:grab_myaddrs(): my interface: 192.168.10.1 (gif0)
Nov 9 15:22:23 nf racoon: DEBUG: grabmyaddr.c:474:autoconf_myaddrsport(): configuring default isakmp port.
Nov 9 15:22:23 nf racoon: DEBUG: grabmyaddr.c:496:autoconf_myaddrsport(): 4 addrs are configured successfully
Nov 9 15:22:23 nf racoon: DEBUG: pfkey.c:197:pfkey_handler(): get pfkey X_SPDDUMP message
Nov 9 15:22:23 nf racoon: DEBUG: pfkey.c:197:pfkey_handler(): get pfkey X_SPDDUMP message
Nov 9 15:22:23 nf racoon: DEBUG: policy.c:184:cmpspidxstrict(): sub:0xbfbfea80: 192.168.10.1/32[0] 192.168.20.1/32[0] proto=4 dir=out
Nov 9 15:22:23 nf racoon: DEBUG: policy.c:185:cmpspidxstrict(): db :0x809dc08: 192.168.20.1/32[0] 192.168.10.1/32[0] proto=4 dir=in
на другия Хост е същото..продължава да има пинг но не е криптирана връзката...
Благодаря за всяка идея.
|
| |
|
|
|