1

(99 odpowiedzi, napisanych Oprogramowanie / Software)

Ok zatrzymałem i mam takie oto komunikaty

root@Gargoyle:~$ /etc/init.d/racoon stop
Terminated
root@Gargoyle:~$ racoon -F -v -f /etc/racoon/racoon.conf
Foreground mode.
2011-05-06 16:49:39: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
2011-05-06 16:49:39: INFO: @(#)This product linked OpenSSL 0.9.8p 16 Nov 2010 (http://www.openssl.org/)
2011-05-06 16:49:39: INFO: Reading configuration from "/etc/racoon/racoon.conf"
2011-05-06 16:49:40: INFO: 127.0.0.1[500] used as isakmp port (fd=7)
2011-05-06 16:49:40: INFO: 127.0.0.1[500] used for NAT-T
2011-05-06 16:49:40: INFO: 192.168.254.1[500] used as isakmp port (fd=8)
2011-05-06 16:49:40: INFO: 192.168.254.1[500] used for NAT-T
2011-05-06 16:49:40: INFO: 192.168.4.1[500] used as isakmp port (fd=9)
2011-05-06 16:49:40: INFO: 192.168.4.1[500] used for NAT-T
2011-05-06 16:49:40: INFO: 83.30.153.133[500] used as isakmp port (fd=10)
2011-05-06 16:49:40: INFO: 83.30.153.133[500] used for NAT-T

Coś wam to mówi? Ja widze żę coś tam faktycznie używa tego portu [500] no ale jak zrobić by zmienić porty dla tych usług bądź dla ipsec-a?

2

(99 odpowiedzi, napisanych Oprogramowanie / Software)

Jakieś pomysły by jednak mógł nasłuchiwać?

3

(99 odpowiedzi, napisanych Oprogramowanie / Software)

Zawartość jest dokładnie taka jak podałeś wcześniej

Zawartość pliku setkey.conf

#!/usr/sbin/setkey -f

flush;
spdflush;


Zawartość pliku racoon.conf

path pre_shared_key "/etc/racoon/psk.txt";
#path certificate "/etc/racoon/certs";

log info;

remote anonymous {                                   
exchange_mode aggressive;
doi ipsec_doi;
situation_identity_only;
lifetime time 28800 sec;
my_identifier fqdn "vpn2.dyndns.org";
peers_identifier fqdn "vpn1.dyndns.org";
passive on;
initial_contact off;
#       ike_frag=on;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
generate_policy on;
}

sainfo anonymous {
pfs_group 2;
lifetime time 3600 sec;
encryption_algorithm 3des ;
authentication_algorithm hmac_sha1, hmac_md5  ;
compression_algorithm deflate;
}




Zawartość pliku psk.key

vpn1.dyndns.org     moje_tajne_haslo
adres_ip_wrv082    moje_tajne_haslo

i komunikat:

root@Gargoyle:~$ racoon -F -v -f /etc/racoon/racoon.conf
Foreground mode.
2011-05-05 15:20:28: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
2011-05-05 15:20:28: INFO: @(#)This product linked OpenSSL 0.9.8p 16 Nov 2010 (http://www.openssl.org/)
2011-05-05 15:20:28: INFO: Reading configuration from "/etc/racoon/racoon.conf"
2011-05-05 15:20:28: ERROR: failed to bind to address 127.0.0.1[500] (Address already in use).
2011-05-05 15:20:28: ERROR: failed to bind to address 192.168.254.1[500] (Address already in use).
2011-05-05 15:20:28: ERROR: failed to bind to address 192.168.4.1[500] (Address already in use).
2011-05-05 15:20:28: ERROR: failed to bind to address 83.30.159.118[500] (Address already in use).
2011-05-05 15:20:28: ERROR: no address could be bound.

Co to znaczy "failed to bind to address"? Z google tłumacza, wygląda na to że coś się nie wiąże, no ale te wszystkie adresy, które wyskoczyły w błędach to są adresy w mojej sieci, nawet mój IP. To co to ma znaczyć że się z czymś nie wiąże?

4

(99 odpowiedzi, napisanych Oprogramowanie / Software)

No nie wierze, nikt nie ma pomysłów jak by można ustanowić połączenie VPN IPsec między dwoma ruterami z zewnętrznym dynamicznym adresem?

5

(99 odpowiedzi, napisanych Oprogramowanie / Software)

Witam
No to od nowa smile
przy ustawieniu takim jak mi zasugerowałeś mam tak

root@Gargoyle:~$ /etc/init.d/racoon start
Uruchamiam tunel ipsec racoon...
root@Gargoyle:~$ ps ax | grep racoon
 2062 root      1352 S N  grep racoon
 9479 root      2844 S N  racoon -f /etc/racoon/racoon.conf
root@Gargoyle:~$ racoon -F -v -f /etc/racoon/racoon.conf
Foreground mode.
2011-05-03 11:42:48: INFO: @(#)ipsec-tools 0.7.3 ([url]http://ipsec-tools.sourceforge.net[/url])
2011-05-03 11:42:48: INFO: @(#)This product linked OpenSSL 0.9.8p 16 Nov 2010 ([url]http://www.openssl.org/[/url])
2011-05-03 11:42:48: INFO: Reading configuration from "/etc/racoon/racoon.conf"
2011-05-03 11:42:48: ERROR: failed to bind to address 127.0.0.1[500] (Address already in use).
2011-05-03 11:42:48: ERROR: failed to bind to address 192.168.254.1[500] (Address already in use).
2011-05-03 11:42:48: ERROR: failed to bind to address 192.168.4.1[500] (Address already in use).
2011-05-03 11:42:48: ERROR: failed to bind to address 83.30.*.121[500] (Address already in use).
2011-05-03 11:42:48: ERROR: no address could be bound.

Wszystkie te adresy to jest moja sieć
Przedzwoniłem do kumpla i dostałem od niego aktualny adres zewnętrzny gdy wprowadzam go do ustawień też jest klops.

Ustawienia jeśli chodzi o komputer do którego się łącze są takie
http://nerdboys.com/wp-content/uploads/ … tings2.jpg włączając w to nawet hasło
IP tego rutera 83.26.*.62 z przyczyn oczywistych nie mogę podać do końca smile

6

(99 odpowiedzi, napisanych Oprogramowanie / Software)

Sory za post pod postem.

Jeśli nie da się uruchomić ipsec, to czy jest szansa by spiąć sieci za pośrednictwem protokołu PPTP? Lub też zakres konkretnych adresów IP z sieci wewnętrznej w serwerze i kliencie, oczywiście tak jak wcześniej oba to adresy dynamiczne

7

(99 odpowiedzi, napisanych Oprogramowanie / Software)

Właśnie tak mi się zdawało że czegoś nie ma po przeglądając wpisy po komendzie lsmod nie miałem modułów o których była mowa we wcześniejszych postach, mimo iż normalnie wklepałem w ruter komendy
opkg install ipsec-tools kmod-crypto-aead kmod-crypto-aes kmod-crypto-authenc kmod-crypto-core kmod-crypto-des kmod-crypto-hmac kmod-crypto-md5 kmod-crypto-sha1 kmod-ipsec kmod-ipsec4

i pokazało że się wszystko zainstalowało. Mimo tego widać nie wszystko.
Reasumując czy ktoś mógłby mi podać linka ze skompilowanym Openwrt z gargulcem i ipsec-iem?
Widze że na początku tematu kolega łukasz chyba, miał podobny problem i ktoś mu podesłał linka.
Będę wdzięczny jeśli ktoś mi podeśle to samo.

Acha nie podałem istotnej informacji. Oczywiście do TP-linka TL-WR1043ND



OK Ponownie wgrałem openwrt przygotowanym przez kolege cezarego, no ale po spróbowaniu wszystkich opcji, nie pozostaje mi chyba nic innego jak powiedzieć klapa na całego.
Nie chce się zestawić tunel. Wyskakuje taki komunikat

Uruchamiam tunel ipsec racoon...
racoon: failed to parse configuration file.

8

(99 odpowiedzi, napisanych Oprogramowanie / Software)

Niestety za każdym razem, w każdej możliwej konfiguracji mam ten sam komunikat.

pfkey_open: Address family not supported by protocol
racoon: something error happened while pfkey initializing.

Kolega na samym początku tego wątku miał podobny komunikat, no ale rozwiązania tego problemu nie podał. Powiedział że dostał jakiś openwrt z ipsec skompilowanym i tyle. Czy jest jakaś opcja pobrania takiego gotowca skompilowanego? Może faktycznie nie mam jakiegoś modułu.

root@Gargoyle:~$ lsmod
Module                  Size  Used by    Not tainted
tunnel4                 1616  0
authenc                 5216  0
sha1_generic            1376  0
md5                     4112  0
hmac                    2304  0
des_generic            19152  0
fuse                   46192  2
sierra                  6672  0
option                 17504  0
ums_usbat               8464  0
ums_sddr55              5136  0
ums_sddr09              8928  0
ums_karma               1488  0
ums_jumpshot            3616  0
ums_isd200              4480  0
ums_freecom             1952  0
ums_datafab             4624  0
ums_cypress             1808  0
ums_alauda              8512  0
usb_storage            32720 11 ums_usbat,ums_sddr55,ums_sddr09,ums_karma,ums_jumpshot,ums_isd200,ums_freecom,ums_datafab,ums_cypress,ums_alauda
usbserial              23840  2 sierra,option
ebt_arpnat              3584  0
ebt_redirect             832  0
ebt_mark                 688  0
ebt_vlan                1520  0
ebt_stp                 1760  0
ebt_pkttype              512  0
ebt_mark_m               576  0
ebt_limit                928  0
ebt_among               2128  0
ebt_802_3                672  0
ebtable_nat              848  0
ebtable_filter           864  0
ebtable_broute           688  0
ebtables               14848  3 ebtable_nat,ebtable_filter,ebtable_broute
xt_IMQ                   704  0
imq                     3728  0
ipt_weburl             14960  0
ipt_webmon             12944  1
ipt_timerange            848  0
nf_nat_tftp              432  0
nf_conntrack_tftp       2400  1 nf_nat_tftp
nf_nat_irc               816  0
nf_conntrack_irc        2512  1 nf_nat_irc
nf_nat_ftp              1328  0
nf_conntrack_ftp        4640  1 nf_nat_ftp
xt_iprange              1024  0
xt_HL                   1280  0
xt_hl                    896  0
xt_MARK                  496  0
ipt_ECN                 1312  0
xt_CLASSIFY              496  0
xt_time                 1552  0
xt_tcpmss                992  0
xt_statistic             816  0
xt_mark                  512  0
xt_length                672  0
ipt_ecn                  976  0
xt_DSCP                 1392  0
xt_dscp                 1008  0
xt_string                880  0
xt_layer7              10368  0
ipt_bandwidth          17760 20
ipt_REDIRECT             672  3
ipt_NETMAP               672  0
ipt_MASQUERADE           992  2
iptable_nat             2256  1
nf_nat                 10160  7 nf_nat_tftp,nf_nat_irc,nf_nat_ftp,ipt_REDIRECT,ipt_NETMAP,ipt_MASQUERADE,iptable_nat
xt_CONNMARK              768  0
xt_recent               5536  2
xt_helper                816  0
xt_conntrack            2016  0
xt_connmark              656  0
xt_connbytes            1232  0
xt_NOTRACK               544  0
iptable_raw              656  1
xt_state                 768  3
nf_conntrack_ipv4       7376  6 iptable_nat,nf_nat
nf_defrag_ipv4           656  1 nf_conntrack_ipv4
nf_conntrack           37744 18 nf_nat_tftp,nf_conntrack_tftp,nf_nat_irc,nf_conntrack_irc,nf_nat_ftp,nf_conntrack_ftp,xt_layer7,ipt_MASQUERADE,iptable_nat,nf_nat,xt_CONNMARK,xt_helper,xt_conntrack,xt_connmark,xt_connbytes,xt_NOTRACK,xt_state,nf_conntrack_ipv4
ehci_hcd               31456  0
sd_mod                 21696  2
pppoe                   8304  2
pppox                   1216  1 pppoe
ipt_REJECT              1712  2
xt_TCPMSS               1856  2
ipt_LOG                 4272  0
xt_comment               464  0
xt_multiport            1792  0
xt_mac                   576  0
xt_limit                1008  1
iptable_mangle           992  1
iptable_filter           768  1
ip_tables               8544  4 iptable_nat,iptable_raw,iptable_mangle,iptable_filter
xt_tcpudp               1760 10
x_tables                9296 53 ebt_arpnat,ebt_redirect,ebt_mark,ebt_vlan,ebt_stp,ebt_pkttype,ebt_mark_m,ebt_limit,ebt_among,ebt_802_3,ebtables,xt_IMQ,ipt_weburl,ipt_webmon,ipt_timerange,xt_iprange,xt_HL,xt_hl,xt_MARK,ipt_ECN,xt_CLASSIFY,xt_time,xt_tcpmss,xt_statistic,xt_mark,xt_length,ipt_ecn,xt_DSCP,xt_dscp,xt_string,xt_layer7,ipt_bandwidth,ipt_REDIRECT,ipt_NETMAP,ipt_MASQUERADE,iptable_nat,xt_CONNMARK,xt_recent,xt_helper,xt_conntrack,xt_connmark,xt_connbytes,xt_NOTRACK,xt_state,ipt_REJECT,xt_TCPMSS,ipt_LOG,xt_comment,xt_multiport,xt_mac,xt_limit,ip_tables,xt_tcpudp
nfsd                   74992  4
nfs                   124000  0
msdos                   5680  0
ext2                   42224  0
ext3                   91248  0
jbd                    31376  1 ext3
ppp_async               6400  0
ppp_generic            18848  7 pppoe,pppox,ppp_async
slhc                    4160  1 ppp_generic
vfat                    7712  0
fat                    42496  2 msdos,vfat
lockd                  52896  2 nfsd,nfs
sunrpc                146288  9 nfsd,nfs,lockd
ext4                  210400  0
jbd2                   36544  1 ext4
autofs4                17984  0
ath9k                  74800  0
ath9k_common            1200  1 ath9k
ath9k_hw              240880  2 ath9k,ath9k_common
ath                    11696  2 ath9k,ath9k_hw
nls_utf8                 816  0
nls_koi8_r              3856  0
nls_iso8859_2           3344  0
nls_iso8859_15          3344  0
nls_iso8859_13          3344  0
nls_iso8859_1           2832  0
nls_cp866               3856  0
nls_cp852               3600  0
nls_cp850               3600  0
nls_cp775               3856  0
nls_cp437               4368  0
nls_cp1251              3600  0
nls_cp1250              3856  0
mac80211              206096  1 ath9k
usbcore                97584 16 sierra,option,ums_usbat,ums_sddr55,ums_sddr09,ums_karma,ums_jumpshot,ums_isd200,ums_freecom,ums_datafab,ums_cypress,ums_alauda,usb_storage,usbserial,ehci_hcd
ts_fsm                  2608  0
ts_bm                   1456  0
ts_kmp                  1344  0
scsi_mod               68256  3 ums_cypress,usb_storage,sd_mod
nls_base                4800 16 vfat,fat,nls_utf8,nls_koi8_r,nls_iso8859_2,nls_iso8859_15,nls_iso8859_13,nls_iso8859_1,nls_cp866,nls_cp852,nls_cp850,nls_cp775,nls_cp437,nls_cp1251,nls_cp1250,usbcore
mbcache                 3920  1 ext4
exportfs                2688  1 nfsd
crc16                    976  1 ext4
crc_ccitt                976  1 ppp_async
cfg80211              119392  2 ath9k,mac80211
compat_firmware_class     4688  0
compat                  7632  3 ath9k,mac80211,cfg80211
arc4                     816  2
aes_generic            30256  3
deflate                 1360  0
ecb                     1328  0
cbc                     2016  0
leds_gpio               1456  0
button_hotplug          2576  0
gpio_buttons            2128  0
input_polldev           1360  1 gpio_buttons
input_core             17056  4 button_hotplug,gpio_buttons,input_polldev

9

(99 odpowiedzi, napisanych Oprogramowanie / Software)

Acha jeszcze jedno

rpc napisał/a:

duża uwaga co do setkey użyj generate_policy a plik zostaw pusty
w ten sposób co zrobiłeś (0.0.0.0) najprawdopodobniej po nawiązaniu jakiegokolwiek połączenia stracisz w ogóle net

z wielką chęcią tak uczynię, jednak jak to zrobić? Może jakaś mała instrukcja jak tego dokonać? Tak jak powiedziałem, linuksem zajmuje się od 2 dni smile

10

(99 odpowiedzi, napisanych Oprogramowanie / Software)

Dzięki za wskazówki, jednak jeśli chodzi o wiedzę dotyczącą linuksa jestem cieniutki jak kluska smile Oczywiście zastosuje się do rad i przetestuje.
Wcześniej miałem ten tunel ustawiony na airlive wn-300arm-vpn i tam ustawienie go było proste i ograniczało się do wpisania danych w tabelki i po kłopocie. Tutaj to już wyższa szkoła jazdy.

Przyszło mi do głowy jeszcze takie coś

#FPW
spdadd 192.168.5.0/24 192.168.21.0/24 any -P out ipsec
esp/tunnel/vpn2.dyndns.org-vpn1.dyndns.org/require;

spdadd 192.168.21.0/24 192.168.5.0/24 any -P in ipsec
esp/tunnel/vpn1.dyndns.org-vpn2.dyndns.org/require;


Czy to może zadziałać?

11

(99 odpowiedzi, napisanych Oprogramowanie / Software)

Neostrada, rutery wpięte w modem speedstream 4101b ustawiony w tryb rfc bridge


Na podstawie podanego wcześniej tutoriala ustawiłem takie coś.

Zawartość pliku setkey.conf

#!/usr/sbin/setkey -f

flush;
spdflush;

#FPW
spdadd 192.168.5.0/24 192.168.21.0/24 any -P out ipsec
esp/tunnel/0.0.0.0-0.0.0.0/require;

spdadd 192.168.21.0/24 192.168.5.0/24 any -P in ipsec
esp/tunnel/0.0.0.0-0.0.0.0/require;



Zawartość pliku racoon.conf

path pre_shared_key "/etc/racoon/psk.txt";
#path certificate "/etc/racoon/certs";

log info;

remote anonymous {                                   -zastanawiam się czy w tym miejscu nie powinno być    fqdn "vpn1.dyndns.org"
exchange_mode aggressive;
doi ipsec_doi;
situation_identity_only;
lifetime time 28800 sec;
my_identifier fqdn "vpn2.dyndns.org";
peers_identifier fqdn "vpn1.dyndns.org";
passive off;
initial_contact on;
#       ike_frag=on;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
}

sainfo anonymous {
pfs_group 2;
lifetime time 3600 sec;
encryption_algorithm 3des ;
authentication_algorithm hmac_sha1, hmac_md5  ;
compression_algorithm deflate;
}





Zawartość pliku psk.key

vpn1.dyndns.org     moje_tajne_haslo





Plik /etc/init.d/racoon winien zawierać:


#!/bin/sh /etc/rc.common

START=60

start() {
echo Uruchamiam tunel ipsec racoon...

if [ ! -e /var/racoon ]
then
mkdir /var/racoon
fi
setkey -f /etc/racoon/setkey.conf
racoon -f /etc/racoon/racoon.conf
}

stop() {
killall racoon
}



a następnie wykonać


/etc/init.d/racoon enable
/etc/init.d/racoon start

12

(99 odpowiedzi, napisanych Oprogramowanie / Software)

Niestety OpenVPN już testowałem i nie działa. Linksys jakby nie widzi certyfikatu z openVPN i nie śmiga.
Nie ma możliwości wgrania openwrt na linksysa bo ten już realizuje 2 tunele izwyczajnie taka możliwość odpada.
Połączenie musi być po IPsec, czyli taki normalny VPN.
Gdyby ktoś zechciał pomóc byłbym wdzięczny

13

(99 odpowiedzi, napisanych Oprogramowanie / Software)

Witam.

Korzystając z okazji, bo wątek już trochę się postarzał, chciałbym poprosić o pomoc, bo problem mój jest nieco podobnej natury, jak ten w poście.

Otóż chciałbym spiąć dwie sieci za pośrednictwem VPN.
W sieci natknąłem się na stronę
http://www.rpc.one.pl/index.php/lista-a … dynamiczny
gdzie podany jest przykład wraz z konfigiem jak spiąć dwie sieci z których jedna dysponuje adresem zewnętrznym a druga wewnętrznym.

Mój problem polega na tym że chciałbym spiąć dwie sieci bez adresów zewnętrznych, czyli oba urządzenia mają ustawione DynDNS-y. Czy ktoś byłby w stanie pomóc mi w przekonfigurowaniu tego tutoriala ze strony pod moje potrzeby?

Założenia
Ruter do którego się podłączam to Linksys RV082 powiedzmy adres i maska 192.168.21.0/24 no i oczywiście VPN1.dyndns.org
ruter który nawiązuje połączenie to TP-Link TL-WR1043ND powiedzmy adres i maska 192.168.5.0/24        VPN2.dyndns.org

Z góry serdecznie dziękuje za pomoc.