26 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: IPsec a nowy kernel 2.6.32.27

@lukaszp
zdefiniuj wpisy w pliku setkey.conf albo pokaż tu jego zawartość bo się pluje. (wpisy policy)

jak rozumiem po twojej stronie jest racoon a po drugiej stronie co stoi ? openwrt z racoon, router sprzętowy z ipsec ?
możliwości może być wiele
jeśli z drugiej strony stoi racoon to szukałbym na początek problemu w firewallu lub postroutingu
jeśli jest to router sprzętowy to no cóż nie każdy umożliwia dostanie się do portu LAN routera na którym stoi ipsec. Pingnij jakiś host w odległej sieci LAN nie router i zobacz wtedy

wspomóż się iptraf/Wireshark/tcpdump. Zobacz jak ida pakiety czy sa pakiety icmp echo/request.

@roland
z tym poradzeniem z natem to bym polemizował
musisz mieć pewne przekierowanie portów niekoniecznie 500 ale musi być. Poza tym jeśli twój dostawca przepuścił konfigurację przez POSTROUTING może nie być komunikacji.
Jeśli chodzi o traversal NAT to jeśli ty masz adres z lan a druga strona ma adres publiczny powinieneś byc stroną inicjującą połaczenie
odpuść sobie plik etc/racoon/backupsa.txt w konfiguracji chyba że masz zapasowy serwer ipsec

policy jak wyżej w pliku setkey.conf się znajduje

masz załadowane moduły pf i af ?

Generalnie od obu poproszę pełne konfigi bo to wróżenie z fusów. Do tego jeszcze mały opis z czym się łączycie. jeśli to linux to config z drugiej strony
do tego na poczatek

lsmod
setkey -D
setkey -DP
Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

27 Odpowiedź przez lukaszp

  • Zarejestrowany: 2011-02-02
  • Posty: 61

Odp: IPsec a nowy kernel 2.6.32.27

Witaj,
Moja sieć wygląda tak:

(172.20.35.0/27)Jakiś DLINK(217.97.*.174) <=============> (83.220.*.58)OpenWRT-racoon(192.168.223.0/24)

rpc napisał/a:

jeśli jest to router sprzętowy to no cóż nie każdy umożliwia dostanie się do portu LAN routera na którym stoi ipsec. Pingnij jakiś host w odległej sieci LAN nie router i zobacz wtedy

Pingowałem i router i hosta w sieci, nie ma przejścia.

Oto moje configi:

setkey.conf

#!/usr/sbin/setkey -f

flush;
spdflush;

#FPW
spdadd 192.168.223.0/27 172.20.35.0/27 any -P out ipsec
esp/tunnel/83.220.*.58-217.97.*.174/require;

spdadd 172.20.35.0/27 192.168.223.0/27 any -P in ipsec
esp/tunnel/217.97.*.174-83.220.*.58/require;

racoon.conf

path pre_shared_key "/etc/racoon/psk.txt";
#path certificate "/etc/racoon/certs";

log info;
listen
{
isakmp 83.220.*.58     [500];
isakmp_natt 83.220.*.58 [4500];
strict_address;
}

remote 217.97.*.174 {
exchange_mode main;
doi ipsec_doi;
situation_identity_only;
lifetime time 86400 sec;
my_identifier address;
passive off;
initial_contact on;
#       ike_frag=on;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
generate_policy on;
}

sainfo anonymous {
pfs_group 2;
lifetime time 3600 sec;
encryption_algorithm 3des ;
authentication_algorithm  hmac_md5  ;
compression_algorithm deflate;
}

lsmod

root@Gargoyle:~# lsmod
Module                  Size  Used by    Not tainted
ipcomp                  1440  0
xfrm4_tunnel            1008  0
xfrm4_mode_tunnel       1152 16
xfrm4_mode_transport      656  0
xfrm4_mode_beet         1392  0
esp4                    4064  8
ah4                     2960  0
tunnel4                 1616  1 xfrm4_tunnel
authenc                 5216  8
xfrm_user              15600  0
xfrm_ipcomp             2640  1 ipcomp
af_key                 24432  2
sha1_generic            1376  0
md5                     4112  8
hmac                    2304 16
des_generic            19152  8
fuse                   46192  0
sierra                  6672  0
option                 17504  1
ums_usbat               8464  0
ums_sddr55              5136  0
ums_sddr09              8928  0
ums_karma               1488  0
ums_jumpshot            3616  0
ums_isd200              4480  0
ums_freecom             1952  0
ums_datafab             4624  0
ums_cypress             1808  0
ums_alauda              8512  0
usbserial              24352  4 sierra,option
leds_wndr3700_usb        688  0
ebt_arpnat              3584  0
ebt_redirect             832  0
ebt_mark                 688  0
ebt_vlan                1520  0
ebt_stp                 1760  0
ebt_pkttype              512  0
ebt_mark_m               576  0
ebt_limit                928  0
ebt_among               2128  0
ebt_802_3                672  0
ebtable_nat              848  0
ebtable_filter           864  0
ebtable_broute           688  0
ebtables               14848  3 ebtable_nat,ebtable_filter,ebtable_broute
xt_IMQ                   704  0
imq                     3728  0
ipt_weburl             14960  0
ipt_webmon             12944  0
ipt_timerange            848  0
nf_nat_tftp              432  0
nf_conntrack_tftp       2400  1 nf_nat_tftp
nf_nat_irc               816  0
nf_conntrack_irc        2512  1 nf_nat_irc
nf_nat_ftp              1328  0
nf_conntrack_ftp        4640  1 nf_nat_ftp
xt_iprange              1024  0
xt_HL                   1280  0
xt_hl                    896  0
xt_MARK                  496  0
ipt_ECN                 1312  0
xt_CLASSIFY              496  0
xt_time                 1552  0
xt_tcpmss                992  0
xt_statistic             816  0
xt_mark                  512  0
xt_length                672  0
ipt_ecn                  976  0
xt_DSCP                 1392  0
xt_dscp                 1008  0
xt_string                880  0
xt_layer7              10368  0
ipt_bandwidth          17200 30
ipt_REDIRECT             672  0
ipt_NETMAP               672  0
ipt_MASQUERADE           992  1
iptable_nat             2768  1
nf_nat                 10160  7 nf_nat_tftp,nf_nat_irc,nf_nat_ftp,ipt_REDIRECT,ipt_NETMAP,ipt_MASQUERADE,iptable_nat
xt_CONNMARK              768  0
xt_recent               5536  0
xt_helper                816  0
xt_conntrack            2016  0
xt_connmark              656  0
xt_connbytes            1232  0
xt_NOTRACK               544  0
iptable_raw              656  1
xt_state                 768  3
nf_conntrack_ipv4       7376  6 iptable_nat,nf_nat
nf_defrag_ipv4           656  1 nf_conntrack_ipv4
nf_conntrack           37744 18 nf_nat_tftp,nf_conntrack_tftp,nf_nat_irc,nf_conntrack_irc,nf_nat_ftp,nf_conntrack_ftp,xt_layer7,ipt_MASQUERADE,iptable_nat,nf_nat,xt_CONNMARK,xt_helper,xt_conntrack,xt_connmark,xt_connbytes,xt_NOTRACK,xt_state,nf_conntrack_ipv4
pppoe                   8304  0
pppox                   1216  1 pppoe
ipt_REJECT              1712  2
xt_TCPMSS               1856  2
ipt_LOG                 4272  0
xt_comment               464  0
xt_multiport            1792  0
xt_mac                   576  0
xt_limit                1008  1
iptable_mangle           992  1
iptable_filter           768  1
ip_tables               8544  4 iptable_nat,iptable_raw,iptable_mangle,iptable_filter
xt_tcpudp               1760 11
x_tables                9296 53 ebt_arpnat,ebt_redirect,ebt_mark,ebt_vlan,ebt_stp,ebt_pkttype,ebt_mark_m,ebt_limit,ebt_among,ebt_802_3,ebtables,xt_IMQ,ipt_weburl,ipt_webmon,ipt_timerange,xt_iprange,xt_HL,xt_hl,xt_MARK,ipt_ECN,xt_CLASSIFY,xt_time,xt_tcpmss,xt_statistic,xt_mark,xt_length,ipt_ecn,xt_DSCP,xt_dscp,xt_string,xt_layer7,ipt_bandwidth,ipt_REDIRECT,ipt_NETMAP,ipt_MASQUERADE,iptable_nat,xt_CONNMARK,xt_recent,xt_helper,xt_conntrack,xt_connmark,xt_connbytes,xt_NOTRACK,xt_state,ipt_REJECT,xt_TCPMSS,ipt_LOG,xt_comment,xt_multiport,xt_mac,xt_limit,ip_tables,xt_tcpudp
nfsd                   74992  0
nfs                   124000  0
msdos                   5680  0
ppp_async               6400  1
ppp_generic            18848  7 pppoe,pppox,ppp_async
slhc                    4160  1 ppp_generic
vfat                    7712  0
fat                    42496  2 msdos,vfat
lockd                  52896  2 nfsd,nfs
sunrpc                146288  4 nfsd,nfs,lockd
ath9k                  72496  0
ath9k_common            1088  1 ath9k
ath9k_hw              255840  2 ath9k,ath9k_common
ath                    11264  2 ath9k,ath9k_hw
nls_utf8                 816  0
nls_koi8_r              3856  0
nls_iso8859_2           3344  0
nls_iso8859_15          3344  0
nls_iso8859_13          3344  0
nls_iso8859_1           2832  0
nls_cp866               3856  0
nls_cp852               3600  0
nls_cp850               3600  0
nls_cp775               3856  0
nls_cp437               4368  0
nls_cp1251              3600  0
nls_cp1250              3856  0
mac80211              199248  1 ath9k
ts_fsm                  2608  0
ts_bm                   1456  0
ts_kmp                  1344  0
exportfs                2688  1 nfsd
crc_ccitt                976  1 ppp_async
cfg80211              118416  2 ath9k,mac80211
compat_firmware_class     4688  0
compat                  7616  3 ath9k,mac80211,cfg80211
arc4                     816  2
aes_generic            30256  0
deflate                 1360  0
ecb                     1328  2
cbc                     2016  8
usb_storage            32720 10 ums_usbat,ums_sddr55,ums_sddr09,ums_karma,ums_jumpshot,ums_isd200,ums_freecom,ums_datafab,ums_cypress,ums_alauda
ehci_hcd               31456  0
sd_mod                 21696  0
ext2                   42224  0
ext3                   91248  0
jbd                    31376  1 ext3
ext4                  210400  0
jbd2                   36544  1 ext4
usbcore                97584 16 sierra,option,ums_usbat,ums_sddr55,ums_sddr09,ums_karma,ums_jumpshot,ums_isd200,ums_freecom,ums_datafab,ums_cypress,ums_alauda,usbserial,usb_storage,ehci_hcd
scsi_mod               68256  3 ums_cypress,usb_storage,sd_mod
nls_base                4800 16 vfat,fat,nls_utf8,nls_koi8_r,nls_iso8859_2,nls_iso8859_15,nls_iso8859_13,nls_iso8859_1,nls_cp866,nls_cp852,nls_cp850,nls_cp775,nls_cp437,nls_cp1251,nls_cp1250,usbcore
mbcache                 3920  1 ext4
crc16                    976  1 ext4
leds_gpio               1456  0
button_hotplug          2576  0
gpio_buttons            2128  0
input_polldev           1360  1 gpio_buttons
input_core             17056  4 button_hotplug,gpio_buttons,input_polldev

setkey -D

83.220.*.58 217.97.*.174
        esp mode=tunnel spi=766749057(0x2db3a981) reqid=0(0x00000000)
        E: 3des-cbc  31f7c5ee aeebda03 41fe8935 9ce796ae af62bddb 5537bf95
        A: hmac-md5  220fbd07 acb7ca9a 2aa475ba 6b99b8c0
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Feb  9 08:01:41 2011   current: Feb  9 08:02:06 2011
        diff: 25(s)     hard: 3600(s)   soft: 2880(s)
        last: Feb  9 08:01:50 2011      hard: 0(s)      soft: 0(s)
        current: 64(bytes)      hard: 0(bytes)  soft: 0(bytes)
        allocated: 2    hard: 0 soft: 0
        sadb_seq=1 pid=16272 refcnt=0
217.97.*.174 83.220.*.58
        esp mode=tunnel spi=23663695(0x0169144f) reqid=0(0x00000000)
        E: 3des-cbc  81a68ec0 a6a7f2d1 e66ebfb7 d52bf571 68ca80fa 6e9472d0
        A: hmac-md5  6c5ecd30 df451046 9d21dafd 4a85c878
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Feb  9 08:01:41 2011   current: Feb  9 08:02:06 2011
        diff: 25(s)     hard: 3600(s)   soft: 2880(s)
        last: Feb  9 08:01:50 2011      hard: 0(s)      soft: 0(s)
        current: 64(bytes)      hard: 0(bytes)  soft: 0(bytes)
        allocated: 2    hard: 0 soft: 0
        sadb_seq=2 pid=16272 refcnt=0
217.97.*.174 83.220.*.58
        esp mode=tunnel spi=190680201(0x0b5d8c89) reqid=0(0x00000000)
        E: 3des-cbc  d1f7e4d8 d9470d13 a477f9de 0c1fc9c6 12f5bdc3 7ae18c51
        A: hmac-md5  d2a062b2 b6f404e6 106b5402 39780ad3
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Feb  9 07:49:42 2011   current: Feb  9 08:02:06 2011
        diff: 744(s)    hard: 3600(s)   soft: 2880(s)
        last: Feb  9 07:49:52 2011      hard: 0(s)      soft: 0(s)
        current: 2336(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 73   hard: 0 soft: 0
        sadb_seq=3 pid=16272 refcnt=0
217.97.*.174 83.220.*.58
        esp mode=tunnel spi=195623178(0x0ba8f90a) reqid=0(0x00000000)
        E: 3des-cbc  19a0a938 4d76ec14 ced3ad52 76a35931 03718dd5 a9ab2138
        A: hmac-md5  cabe50c7 1b095ce9 bb7b82c7 6cb76ee2
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Feb  9 07:33:42 2011   current: Feb  9 08:02:06 2011
        diff: 1704(s)   hard: 3600(s)   soft: 2880(s)
        last: Feb  9 07:33:43 2011      hard: 0(s)      soft: 0(s)
        current: 2976(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 93   hard: 0 soft: 0
        sadb_seq=4 pid=16272 refcnt=0
217.97.*.174 83.220.*.58
        esp mode=tunnel spi=191938700(0x0b70c08c) reqid=0(0x00000000)
        E: 3des-cbc  5e26ddc0 a2b9798f f82ffcb1 23977a5c 5116cff3 636d1955
        A: hmac-md5  aef53818 4d323dea 10ab8a6c 47975ea2
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Feb  9 07:31:40 2011   current: Feb  9 08:02:06 2011
        diff: 1826(s)   hard: 3600(s)   soft: 2880(s)
        last: Feb  9 07:31:45 2011      hard: 0(s)      soft: 0(s)
        current: 288(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 9    hard: 0 soft: 0
        sadb_seq=5 pid=16272 refcnt=0
217.97.*.174 83.220.*.58
        esp mode=tunnel spi=21567784(0x01491928) reqid=0(0x00000000)
        E: 3des-cbc  c0885b31 448c8675 0dd49dc8 4ffd3a39 a665b24d eae86cd9
        A: hmac-md5  c0ab137e 02b56c6e 23e62464 6afdd432
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Feb  9 07:27:39 2011   current: Feb  9 08:02:06 2011
        diff: 2067(s)   hard: 3600(s)   soft: 2880(s)
        last: Feb  9 07:27:47 2011      hard: 0(s)      soft: 0(s)
        current: 672(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 21   hard: 0 soft: 0
        sadb_seq=6 pid=16272 refcnt=0
217.97.*.174 83.220.*.58
        esp mode=tunnel spi=34138985(0x0208eb69) reqid=0(0x00000000)
        E: 3des-cbc  fb711774 6ed88af6 e61dbfa7 1527b1ce e04f5a57 12a6d360
        A: hmac-md5  df82d1af f4a79dfb 0b8bd562 9d9cd8db
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Feb  9 07:26:44 2011   current: Feb  9 08:02:06 2011
        diff: 2122(s)   hard: 3600(s)   soft: 2880(s)
        last: Feb  9 07:26:50 2011      hard: 0(s)      soft: 0(s)
        current: 128(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 4    hard: 0 soft: 0
        sadb_seq=7 pid=16272 refcnt=0
217.97.*.174 83.220.*.58
        esp mode=tunnel spi=22473286(0x0156ea46) reqid=0(0x00000000)
        E: 3des-cbc  ffac3b11 54cf5a96 3eb3de8a 11e584f9 99bf2b85 9b7ecd26
        A: hmac-md5  d8fd6382 25aea1f3 126bc79b 054f551a
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Feb  9 07:14:42 2011   current: Feb  9 08:02:06 2011
        diff: 2844(s)   hard: 3600(s)   soft: 2880(s)
        last: Feb  9 07:14:51 2011      hard: 0(s)      soft: 0(s)
        current: 1920(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 60   hard: 0 soft: 0
        sadb_seq=0 pid=16272 refcnt=0

setkey -DP

192.168.223.0/27[any] 172.20.35.0/27[any] any
        out prio def ipsec
        esp/tunnel/83.220.8.58-217.97.*.174/require
        created: Feb  9 08:01:41 2011  lastused: Feb  9 08:03:50 2011
        lifetime: 3600(s) validtime: 0(s)
        spid=625 seq=1 pid=16275
        refcnt=3
172.20.35.0/27[any] 192.168.223.0/27[any] any
        fwd prio def ipsec
        esp/tunnel/217.97.*.174-83.220.*.58/require
        created: Feb  9 08:01:41 2011  lastused:
        lifetime: 3600(s) validtime: 0(s)
        spid=618 seq=2 pid=16275
        refcnt=2
172.20.35.0/27[any] 192.168.223.0/27[any] any
        in prio def ipsec
        esp/tunnel/217.97.*.174-83.220.*.58/require
        created: Feb  9 08:01:41 2011  lastused: Feb  9 08:03:50 2011
        lifetime: 3600(s) validtime: 0(s)
        spid=608 seq=3 pid=16275
        refcnt=3
(per-socket policy)
        Policy:[Invalid direciton]
        created: Feb  8 22:13:11 2011  lastused: Feb  9 08:01:40 2011
        lifetime: 0(s) validtime: 0(s)
        spid=268 seq=4 pid=16275
        refcnt=1
(per-socket policy)
        Policy:[Invalid direciton]
        created: Feb  8 22:13:11 2011  lastused: Feb  9 08:01:41 2011
        lifetime: 0(s) validtime: 0(s)
        spid=259 seq=5 pid=16275
        refcnt=1
(per-socket policy)
        Policy:[Invalid direciton]
        created: Feb  8 22:13:11 2011  lastused:
        lifetime: 0(s) validtime: 0(s)
        spid=252 seq=6 pid=16275
        refcnt=1
(per-socket policy)
        Policy:[Invalid direciton]
        created: Feb  8 22:13:11 2011  lastused:
        lifetime: 0(s) validtime: 0(s)
        spid=243 seq=7 pid=16275
        refcnt=1
(per-socket policy)
        Policy:[Invalid direciton]
        created: Feb  8 22:13:11 2011  lastused:
        lifetime: 0(s) validtime: 0(s)
        spid=236 seq=8 pid=16275
        refcnt=1
(per-socket policy)
        Policy:[Invalid direciton]
        created: Feb  8 22:13:11 2011  lastused:
        lifetime: 0(s) validtime: 0(s)
        spid=227 seq=0 pid=16275
        refcnt=1

Powyżej z setkey -DP widać,  że coś mu brakuje, ale też spędziłem parę dni na szukaniu błędów, ale nic nie znalazłem.
Dzięki rpc

28 Odpowiedź przez rpc (edytowany przez rpc 2011-02-09 10:39:25)

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: IPsec a nowy kernel 2.6.32.27

zdecyduj się jakie masz maski bo raz piszesz /27 a raz /24

z czego wynika maska /27. Masz tylko 30 użyteczne adresy+siec i brodcast ?
Czyli jak rozumiem masz siec co ma maksymalnie 30 hostów. Ale kombinujesz

co to za dlink ? można jakieś zrzuty tego dlinka ?

przestaw opcje na

generate_policy off;

i pokaż logi z racoon z debug

tym w DP się nie przejmuj tak jest ok. Najważniejsze że widać że masz zestawione in,out,fw

co do pingowania w jedną strone stawiałbym na firewalla
tutaj pomoże tylko tcpdump-mini na routerku

tcpdump icmp

pingnij z jednej sieci lan do drugiej i pokaż wynik

ew. na chwilkę wydaj z konsoli komendę

iptables -I FORWARD -j ACCEPT

i zobacz czy ping odpowiada

a jak już można podać logi z firewalla

iptables -t nat -L -v
iptables -L -v
Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

29 Odpowiedź przez lukaszp

  • Zarejestrowany: 2011-02-02
  • Posty: 61

Odp: IPsec a nowy kernel 2.6.32.27

Witaj,

rpc napisał/a:

zdecyduj się jakie masz maski bo raz piszesz /27 a raz /24

Omyłkowo podałem to 24, obie maski są 27, no tak jakoś bo komputerów mamy mało w podsieci LAN i zawęzilismy maskę.
Kolega używa dlinka DFl210, nie mam teraz dostępu do logów
Zrobiłem co sugerowałeś, ale nic się nie zmieniło w kwestii pingów, po zmianie parametru 

generate_policy off

nie mam tych błędów z IPSec'a.

Wracając do sedna czyli łączności

 racoon -F -v -f /etc/racoon/racoon.conf
Foreground mode.
2011-02-09 15:18:01: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
2011-02-09 15:18:01: INFO: @(#)This product linked OpenSSL 0.9.8p 16 Nov 2010 (http://www.openssl.org/)
2011-02-09 15:18:01: INFO: Reading configuration from "/etc/racoon/racoon.conf"
2011-02-09 15:18:01: INFO: 83.220.*.58[4500] used as isakmp port (fd=7)
2011-02-09 15:18:01: INFO: 83.220.*.58[4500] used for NAT-T
2011-02-09 15:18:01: INFO: 83.220.*.58[500] used as isakmp port (fd=8)
2011-02-09 15:18:01: INFO: 83.220.*.58[500] used for NAT-T
2011-02-09 15:18:07: INFO: respond new phase 1 negotiation: 83.220.*.58[500]<=>217.97.*.174[500]
2011-02-09 15:18:07: INFO: begin Identity Protection mode.
2011-02-09 15:18:07: INFO: received Vendor ID: DPD
2011-02-09 15:18:07: WARNING: ignore INITIAL-CONTACT notification, because it is only accepted after phase1.
2011-02-09 15:18:07: INFO: ISAKMP-SA established 83.220.*.58[500]-217.97.*.174[500] spi:d2cc0b71aaf60c75:c854241c56a85cc0
2011-02-09 15:18:07: INFO: respond new phase 2 negotiation: 83.220.*.58[500]<=>217.97.*.174[500]
2011-02-09 15:18:08: INFO: IPsec-SA established: ESP/Tunnel 217.97.*.174[0]->83.220.*.58[0] spi=119677828(0x7222384)
2011-02-09 15:18:08: INFO: IPsec-SA established: ESP/Tunnel 83.220.*.58[500]->217.97.*.174[500] spi=3333473169(0xc6b0c391)

tcpdump nie pokazuje mi nic, jak zrobię ifconfig to moje interface'y to:

root@Gargoyle:~# ifconfig
3g-wan    Link encap:Point-to-Point Protocol
          inet addr:83.220.*.58  P-t-P:10.64.64.64  Mask:255.255.255.255
          UP POINTOPOINT RUNNING NOARP MULTICAST  MTU:1500  Metric:1
          RX packets:2857 errors:0 dropped:0 overruns:0 frame:0
          TX packets:2631 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:3
          RX bytes:2619807 (2.4 MiB)  TX bytes:321400 (313.8 KiB)

br-lan    Link encap:Ethernet  HWaddr 94:0C:6D:FE:5A:2E
          inet addr:192.168.223.1  Bcast:192.168.223.31  Mask:255.255.255.224
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:3180 errors:0 dropped:0 overruns:0 frame:0
          TX packets:3199 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:387197 (378.1 KiB)  TX bytes:2471613 (2.3 MiB)

eth0      Link encap:Ethernet  HWaddr 94:0C:6D:FE:5A:2E
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5192 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5074 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:753496 (735.8 KiB)  TX bytes:3543105 (3.3 MiB)
          Interrupt:4

eth0.1    Link encap:Ethernet  HWaddr 94:0C:6D:FE:5A:2E
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:5113 errors:0 dropped:0 overruns:0 frame:0
          TX packets:5073 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:670945 (655.2 KiB)  TX bytes:3542062 (3.3 MiB)

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:400 errors:0 dropped:0 overruns:0 frame:0
          TX packets:400 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:31335 (30.6 KiB)  TX bytes:31335 (30.6 KiB)

mon.wlan0 Link encap:UNSPEC  HWaddr 94-0C-6D-FE-5A-2E-00-00-00-00-00-00-00-00-00-00
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:783 errors:0 dropped:0 overruns:0 frame:0
          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:52847 (51.6 KiB)  TX bytes:0 (0.0 B)

wlan0     Link encap:Ethernet  HWaddr 94:0C:6D:FE:5A:2E
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:0 errors:0 dropped:0 overruns:0 frame:0
          TX packets:111 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:0 (0.0 B)  TX bytes:20694 (20.2 KiB)

Przy takiej konfiguracji tcpdump zwraca mi:

root@Gargoyle:~# tcpdump icmp
tcpdump: WARNING: eth0: no IPv4 address assigned
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), capture size 96 bytes
^C
0 packets captured
0 packets received by filter
0 packets dropped by kernel

Wpisywałem mu parametr -i br-lan, oto wyniki:

root@Gargoyle:~# tcpdump -i br-lan icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br-lan, link-type EN10MB (Ethernet), capture size 96 bytes
15:32:46.237308 IP PLRE-PULAWAL.lan > 172.20.35.6: ICMP echo request, id 512, seq 9984, length 40
15:32:51.737268 IP PLRE-PULAWAL.lan > 172.20.35.6: ICMP echo request, id 512, seq 10240, length 40
15:32:57.237250 IP PLRE-PULAWAL.lan > 172.20.35.6: ICMP echo request, id 512, seq 10496, length 40
15:33:02.737267 IP PLRE-PULAWAL.lan > 172.20.35.6: ICMP echo request, id 512, seq 10752, length 40
15:33:08.237244 IP PLRE-PULAWAL.lan > 172.20.35.6: ICMP echo request, id 512, seq 11008, length 40
^C
5 packets captured
6 packets received by filter
0 packets dropped by kernel

Odpowiedzi ping'a nie dostałem, ale ruch w sieci był.

Wyniki z firewalla dodam dzisiaj podwieczór, mam nadzieję, że to trochę sprawę wyjaśni.

Dzięki pozdrawiam

Łukasz

30 Odpowiedź przez rpc (edytowany przez rpc 2011-02-09 19:57:51)

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: IPsec a nowy kernel 2.6.32.27

lukaszp napisał/a:
rpc napisał/a:

zdecyduj się jakie masz maski bo raz piszesz /27 a raz /24

Omyłkowo podałem to 24, obie maski są 27, no tak jakoś bo komputerów mamy mało w podsieci LAN i zawęzilismy maskę.

niepotrzebnie tak kombinujecie przecież to wasze lany

lukaszp napisał/a:

Kolega używa dlinka DFl210, nie mam teraz dostępu do logów
Zrobiłem co sugerowałeś, ale nic się nie zmieniło w kwestii pingów, po zmianie parametru 

generate_policy off

nie mam tych błędów z IPSec'a.

to miało tylko wyeliminować ERRORy a nie naprawić problem

lukaszp napisał/a:
root@Gargoyle:~# tcpdump -i br-lan icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br-lan, link-type EN10MB (Ethernet), capture size 96 bytes
15:32:46.237308 IP PLRE-PULAWAL.lan > 172.20.35.6: ICMP echo request, id 512, seq 9984, length 40
15:32:51.737268 IP PLRE-PULAWAL.lan > 172.20.35.6: ICMP echo request, id 512, seq 10240, length 40
15:32:57.237250 IP PLRE-PULAWAL.lan > 172.20.35.6: ICMP echo request, id 512, seq 10496, length 40
15:33:02.737267 IP PLRE-PULAWAL.lan > 172.20.35.6: ICMP echo request, id 512, seq 10752, length 40
15:33:08.237244 IP PLRE-PULAWAL.lan > 172.20.35.6: ICMP echo request, id 512, seq 11008, length 40
^C
5 packets captured
6 packets received by filter
0 packets dropped by kernel

Odpowiedzi ping'a nie dostałem, ale ruch w sieci był.

Wyniki z firewalla dodam dzisiaj podwieczór, mam nadzieję, że to trochę sprawę wyjaśni.

Ja to widzę tak:
1)
Jeśli zdalny host z odległej sieci może Ciebie pingować czyli hosta wewnątrz twojej sieci LAN a ty nie to bardzo prawdopodobne że zablokowany jest ruch wejściowy na dlink DFL210.
Potwierdza to test pinga wysłany z Twojej sieci do jego.
Idą pakiety icmp request natomiast nie otrzymujesz pakietów echo reply zwrotnie
Dlaczego on może a ty nie ? Pewnie dlatego że jego firewall ma regułę w firewallu RELATED,ESTABLISHED i dozwolony ruch w twoją stronę a zablokowany od Ciebie
JA bym zaczął szukać problemu w tym dlinku przynajmniej na razie wszystko na to wskazuje


Zrób tak na wszelki wypadek i dla pewności test u siebie czyli

iptables -I FORWARD -j ACCEPT
ping -c 4 -I 192.168.223.1 217.97.*.174
ping -c 4 -I 192.168.223.1 172.20.35.1
ping -c 4 -I 192.168.223.1 172.20.35.10

gdzie zakłądam że:
217.97.*.174 - adres WAN dlinka
172.20.35.1 - adres LAN dlinka
172.20.35.10 - adres jakiegoś hosta w sieci za dlink
192.168.223.1 - adres IP LAN Twojego openwrt

oczywiście z tego logi

tcpdump -i br-lan icmp
tcpdump -i eth0.2 icmp #generalnie interfejs wan
Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

31 Odpowiedź przez roland

  • roland
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-12-08
  • Posty: 18

Odp: IPsec a nowy kernel 2.6.32.27

A więc u mnie to wygląda tak:

Łącze się z OpenWrt Gargoyle racoon do routera Netgear FVS318v3. Wspomnę, zę FVS318v3 ma obecnie aktywne i działające połączenia vpn z dwoma innymi FVS318v3.  FVS318v3 ma adres WAN 83.15.166.226 i LAN 192.168.11.0/24. Racoon ma WAN 192.168.25.13/24 przekierowany na 78.131.142.72, a LAN 192.168.1.0/24.

Konfiguracja FVS318v3:

Ustawienia1 vpn  FVS318v3
Ustawienia2 vpn  FVS318v3


setkey -D

root@Gargoyle:~# setkey -D
192.168.25.13 83.15.166.226
        esp mode=tunnel spi=4010673336(0xef0e04b8) reqid=0(0x00000000)
        E: 3des-cbc  66137e2a 6ee706a2 24fb11e9 4b5a2ad7 db598faa f0419bb2
        A: hmac-sha1  d7ee3e42 8f8a961d de21c02b 4acfedd7 4ea62e6d
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Feb  9 20:28:02 2011   current: Feb  9 20:40:47 2011
        diff: 765(s)    hard: 28800(s)  soft: 23040(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=1 pid=13717 refcnt=0
83.15.166.226 192.168.25.13
        esp mode=tunnel spi=54069143(0x03390797) reqid=0(0x00000000)
        E: 3des-cbc  cee9e645 0e119b15 b8c1f3ed 979d7f44 3daa1d17 2f60fbe5
        A: hmac-sha1  a10646e6 33cfcd5d d51c8abc c6aab6aa af68d09e
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Feb  9 20:28:02 2011   current: Feb  9 20:40:47 2011
        diff: 765(s)    hard: 28800(s)  soft: 23040(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=0 pid=13717 refcnt=0

setkey -DP

root@Gargoyle:~# setkey -DP
192.168.1.0/24[any] 192.168.11.0/24[any] any
        out prio def ipsec
        esp/tunnel/192.168.25.13-83.15.166.226/require
        created: Feb  9 20:28:02 2011  lastused: Feb  9 20:38:07 2011
        lifetime: 28800(s) validtime: 0(s)
        spid=873 seq=1 pid=13720
        refcnt=4
192.168.11.0/24[any] 192.168.1.0/24[any] any
        fwd prio def ipsec
        esp/tunnel/83.15.166.226-192.168.25.13/require
        created: Feb  9 20:28:02 2011  lastused:
        lifetime: 28800(s) validtime: 0(s)
        spid=866 seq=2 pid=13720
        refcnt=2
192.168.11.0/24[any] 192.168.1.0/24[any] any
        in prio def ipsec
        esp/tunnel/83.15.166.226-192.168.25.13/require
        created: Feb  9 20:28:02 2011  lastused:
        lifetime: 28800(s) validtime: 0(s)
        spid=856 seq=3 pid=13720
        refcnt=2
(per-socket policy)
        Policy:[Invalid direciton]
        created: Feb  9 20:27:44 2011  lastused: Feb  9 20:28:01 2011
        lifetime: 0(s) validtime: 0(s)
        spid=908 seq=4 pid=13720
        refcnt=1
(per-socket policy)
        Policy:[Invalid direciton]
        created: Feb  9 20:27:44 2011  lastused: Feb  9 20:28:19 2011
        lifetime: 0(s) validtime: 0(s)
        spid=899 seq=5 pid=13720
        refcnt=1
(per-socket policy)
        Policy:[Invalid direciton]
        created: Feb  9 20:27:44 2011  lastused:
        lifetime: 0(s) validtime: 0(s)
        spid=892 seq=6 pid=13720
        refcnt=1
(per-socket policy)
        Policy:[Invalid direciton]
        created: Feb  9 20:27:44 2011  lastused:
        lifetime: 0(s) validtime: 0(s)
        spid=883 seq=0 pid=13720
        refcnt=1

racoon.conf

path pre_shared_key "/etc/racoon/psk.txt";

log info;

listen
{
isakmp 192.168.25.13 [500];
isakmp_natt 192.168.25.13 [4500];
strict_address;
}

remote 83.15.166.226 {
nat_traversal on;
exchange_mode main;
doi ipsec_doi;
situation_identity_only;
lifetime time 86400sec;
my_identifier address;
passive off;
initial_contact on;
#      ike_frag=on;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group 2;
}
generate_policy on;
}

sainfo anonymous {
pfs_group 2;
#lifetime time 28800 sec;
encryption_algorithm 3des ;
authentication_algorithm hmac_sha1, hmac_md5;
compression_algorithm deflate;
}

psk.txt

83.15.166.226 moje_haslo
192.168.25.13 moje_haslo
78.131.142.72 moje_haslo

setkey.conf

#!/usr/sbin/setkey -f

flush;
spdflush;

#FPW
spdadd 192.168.11.0/24 192.168.1.0/24 any -P in ipsec
esp/tunnel/ 83.15.166.226-192.168.25.13 /require;

spdadd 192.168.1.0/24 192.168.11.0/24 any -P out ipsec
esp/tunnel/ 192.168.25.13-83.15.166.226 /require;

lsmod

Module                  Size  Used by    Not tainted
fuse                   46192  0
sierra                  6672  0
option                 17504  0
ums_usbat               8464  0
ums_sddr55              5136  0
ums_sddr09              8928  0
ums_karma               1488  0
ums_jumpshot            3616  0
ums_isd200              4480  0
ums_freecom             1952  0
ums_datafab             4624  0
ums_cypress             1808  0
ums_alauda              8512  0
usb_storage            32720 10 ums_usbat,ums_sddr55,ums_sddr09,ums_karma,ums_jumpshot,ums_isd200,ums_freecom,ums_datafab,ums_cypress,ums_alauda
usbserial              24352  2 sierra,option
leds_wndr3700_usb        688  0
ebt_arpnat              3584  0
ebt_redirect             832  0
ebt_mark                 688  0
ebt_vlan                1520  0
ebt_stp                 1760  0
ebt_pkttype              512  0
ebt_mark_m               576  0
ebt_limit                928  0
ebt_among               2128  0
ebt_802_3                672  0
ebtable_nat              848  0
ebtable_filter           864  0
ebtable_broute           688  0
ebtables               14848  3 ebtable_nat,ebtable_filter,ebtable_broute
xt_IMQ                   704  0
imq                     3728  0
ipt_weburl             14960  0
ipt_webmon             12944  0
ipt_timerange            848  0
nf_nat_tftp              432  0
nf_conntrack_tftp       2400  1 nf_nat_tftp
nf_nat_irc               816  0
nf_conntrack_irc        2512  1 nf_nat_irc
nf_nat_ftp              1328  0
nf_conntrack_ftp        4640  1 nf_nat_ftp
xt_iprange              1024  0
xt_HL                   1280  0
xt_hl                    896  0
xt_MARK                  496  0
ipt_ECN                 1312  0
xt_CLASSIFY              496  0
xt_time                 1552  0
xt_tcpmss                992  0
xt_statistic             816  0
xt_mark                  512  0
xt_length                672  0
ipt_ecn                  976  0
xt_DSCP                 1392  0
xt_dscp                 1008  0
xt_string                880  0
xt_layer7              10368  0
ipt_bandwidth          17200 30
ipt_REDIRECT             672  1
ipt_NETMAP               672  0
ipt_MASQUERADE           992  7
iptable_nat             2768  1
nf_nat                 10160  7 nf_nat_tftp,nf_nat_irc,nf_nat_ftp,ipt_REDIRECT,ipt_NETMAP,ipt_MASQUERADE,iptable_nat
xt_CONNMARK              768  0
xt_recent               5536  2
xt_helper                816  0
xt_conntrack            2016  0
xt_connmark              656  0
xt_connbytes            1232  0
xt_NOTRACK               544  0
iptable_raw              656  1
xt_state                 768  3
nf_conntrack_ipv4       7376  6 iptable_nat,nf_nat
nf_defrag_ipv4           656  1 nf_conntrack_ipv4
nf_conntrack           37744 18 nf_nat_tftp,nf_conntrack_tftp,nf_nat_irc,nf_conntrack_irc,nf_nat_ftp,nf_conntrack_ftp,xt_layer7,ipt_MASQUERADE,iptable_nat,nf_nat,xt_CONNMARK,xt_helper,xt_conntrack,xt_connmark,xt_connbytes,xt_NOTRACK,xt_state,nf_conntrack_ipv4
ehci_hcd               31456  0
sd_mod                 21696  0
pppoe                   8304  0
pppox                   1216  1 pppoe
ipt_REJECT              1712  2
xt_TCPMSS               1856  2
ipt_LOG                 4272  0
xt_comment               464  0
xt_multiport            1792  0
xt_mac                   576  0
xt_limit                1008  1
iptable_mangle           992  1
iptable_filter           768  1
ip_tables               8544  4 iptable_nat,iptable_raw,iptable_mangle,iptable_filter
xt_tcpudp               1760 58
x_tables                9296 53 ebt_arpnat,ebt_redirect,ebt_mark,ebt_vlan,ebt_stp,ebt_pkttype,ebt_mark_m,ebt_limit,ebt_among,ebt_802_3,ebtables,xt_IMQ,ipt_weburl,ipt_webmon,ipt_timerange,xt_iprange,xt_HL,xt_hl,xt_MARK,ipt_ECN,xt_CLASSIFY,xt_time,xt_tcpmss,xt_statistic,xt_mark,xt_length,ipt_ecn,xt_DSCP,xt_dscp,xt_string,xt_layer7,ipt_bandwidth,ipt_REDIRECT,ipt_NETMAP,ipt_MASQUERADE,iptable_nat,xt_CONNMARK,xt_recent,xt_helper,xt_conntrack,xt_connmark,xt_connbytes,xt_NOTRACK,xt_state,ipt_REJECT,xt_TCPMSS,ipt_LOG,xt_comment,xt_multiport,xt_mac,xt_limit,ip_tables,xt_tcpudp
nfsd                   74992  0
nfs                   124000  0
msdos                   5680  0
ipcomp                  1440  0
xfrm4_tunnel            1008  0
xfrm4_mode_tunnel       1152  4
xfrm4_mode_transport      656  0
xfrm4_mode_beet         1392  0
esp4                    4064  2
ah4                     2960  0
ext2                   42224  0
tunnel4                 1616  1 xfrm4_tunnel
ext3                   91248  0
jbd                    31376  1 ext3
ppp_async               6400  0
ppp_generic            18848  3 pppoe,pppox,ppp_async
slhc                    4160  1 ppp_generic
xfrm_user              15600  0
xfrm_ipcomp             2640  1 ipcomp
af_key                 24432  2
vfat                    7712  0
fat                    42496  2 msdos,vfat
lockd                  52896  2 nfsd,nfs
sunrpc                146288  4 nfsd,nfs,lockd
ext4                  210400  0
jbd2                   36544  1 ext4
ath9k                  72496  0
ath9k_common            1088  1 ath9k
ath9k_hw              255840  2 ath9k,ath9k_common
ath                    11264  2 ath9k,ath9k_hw
nls_utf8                 816  0
nls_koi8_r              3856  0
nls_iso8859_2           3344  0
nls_iso8859_15          3344  0
nls_iso8859_13          3344  0
nls_iso8859_1           2832  0
nls_cp866               3856  0
nls_cp852               3600  0
nls_cp850               3600  0
nls_cp775               3856  0
nls_cp437               4368  0
nls_cp1251              3600  0
nls_cp1250              3856  0
mac80211              199248  1 ath9k
usbcore                97584 16 sierra,option,ums_usbat,ums_sddr55,ums_sddr09,ums_karma,ums_jumpshot,ums_isd200,ums_freecom,ums_datafab,ums_cypress,ums_alauda,usb_storage,usbserial,ehci_hcd
ts_fsm                  2608  0
ts_bm                   1456  0
ts_kmp                  1344  0
scsi_mod               68256  3 ums_cypress,usb_storage,sd_mod
nls_base                4800 16 vfat,fat,nls_utf8,nls_koi8_r,nls_iso8859_2,nls_iso8859_15,nls_iso8859_13,nls_iso8859_1,nls_cp866,nls_cp852,nls_cp850,nls_cp775,nls_cp437,nls_cp1251,nls_cp1250,usbcore
mbcache                 3920  1 ext4
exportfs                2688  1 nfsd
crc16                    976  1 ext4
crc_ccitt                976  1 ppp_async
cfg80211              118416  2 ath9k,mac80211
compat_firmware_class     4688  0
compat                  7616  3 ath9k,mac80211,cfg80211
sha1_generic            1376  2
md5                     4112  0
hmac                    2304  4
des_generic            19152  2
authenc                 5216  2
arc4                     816  2
aes_generic            30256  5
deflate                 1360  0
ecb                     1328  2
cbc                     2016  2
leds_gpio               1456  0
button_hotplug          2576  0
gpio_buttons            2128  0
input_polldev           1360  1 gpio_buttons
input_core             17056  4 button_hotplug,gpio_buttons,input_polldev

Log racoon podczas próby zestawienia połączenia VPN

2011-02-09 21:33:01: INFO: @(#)ipsec-tools 0.7.3 (http://ipsec-tools.sourceforge.net)
2011-02-09 21:33:01: INFO: @(#)This product linked OpenSSL 0.9.8p 16 Nov 2010 (http://www.openssl.org/)
2011-02-09 21:33:01: INFO: Reading configuration from "/etc/racoon/racoon.conf"
2011-02-09 21:33:01: INFO: 192.168.25.13[4500] used as isakmp port (fd=7)
2011-02-09 21:33:01: INFO: 192.168.25.13[4500] used for NAT-T
2011-02-09 21:33:01: INFO: 192.168.25.13[500] used as isakmp port (fd=8)
2011-02-09 21:33:01: INFO: 192.168.25.13[500] used for NAT-T
2011-02-09 21:33:08: INFO: respond new phase 1 negotiation: 192.168.25.13[500]<=>83.15.166.226[500]
2011-02-09 21:33:08: INFO: begin Identity Protection mode.
2011-02-09 21:33:12: INFO: ISAKMP-SA established 192.168.25.13[500]-83.15.166.226[500] spi:cda1b6a6f77e4f06:c434e5ba37bf6b72
2011-02-09 21:33:23: INFO: respond new phase 2 negotiation: 192.168.25.13[500]<=>83.15.166.226[500]
2011-02-09 21:33:23: INFO: no policy found, try to generate the policy : 192.168.11.0/24[0] 192.168.1.0/24[0] proto=any dir=in
2011-02-09 21:33:25: INFO: IPsec-SA established: ESP/Tunnel 83.15.166.226[0]->192.168.25.13[0] spi=94262733(0x59e55cd)
2011-02-09 21:33:25: INFO: IPsec-SA established: ESP/Tunnel 192.168.25.13[500]->83.15.166.226[500] spi=3239823795(0xc11bc9b3)
2011-02-09 21:33:25: ERROR: such policy does not already exist: "192.168.11.0/24[0] 192.168.1.0/24[0] proto=any dir=in"
2011-02-09 21:33:25: ERROR: such policy does not already exist: "192.168.11.0/24[0] 192.168.1.0/24[0] proto=any dir=fwd"
2011-02-09 21:33:25: ERROR: such policy does not already exist: "192.168.1.0/24[0] 192.168.11.0/24[0] proto=any dir=out"
2011-02-09 21:33:30: INFO: respond new phase 2 negotiation: 192.168.25.13[500]<=>83.15.166.226[500]
2011-02-09 21:33:30: ERROR: failed to pre-process packet.
2011-02-09 21:33:35: INFO: respond new phase 2 negotiation: 192.168.25.13[500]<=>83.15.166.226[500]
2011-02-09 21:33:35: ERROR: failed to pre-process packet.
2011-02-09 21:33:40: INFO: respond new phase 2 negotiation: 192.168.25.13[500]<=>83.15.166.226[500]
2011-02-09 21:33:40: ERROR: failed to pre-process packet.

Może teraz uda się jakoś ugryźć ten problem

32 Odpowiedź przez lukaszp

  • Zarejestrowany: 2011-02-02
  • Posty: 61

Odp: IPsec a nowy kernel 2.6.32.27

Cześć roland
Sprawdź swój plik setkey.conf, jak dla mnie tam masz babola

#!/usr/sbin/setkey -f

flush;
spdflush;

#FPW
spdadd 192.168.11.0/24 192.168.1.0/24 any -P in ipsec
esp/tunnel/ 83.15.166.226-192.168.25.13 /require;

spdadd 192.168.1.0/24 192.168.11.0/24 any -P out ipsec
esp/tunnel/ 192.168.25.13-83.15.166.226 /require;

wg instrukcji w dolnym wierszu jest adres zewnętrzny strony I - adres zewnętrzny strony II
U Ciebie jest zewnętrzny strony I - wewnętrzny strony II
Nie wiem jak zrobiłeś to przekierowanie, ale co to jakiś DMZ za głównym gateway'em?
ja bym ten plik zrobił tak:

#!/usr/sbin/setkey -f

flush;
spdflush;

#FPW
spdadd 192.168.11.0/24 192.168.1.0/24 any -P in ipsec
esp/tunnel/ 83.15.166.226-78.131.142.72 /require;

spdadd 192.168.1.0/24 192.168.11.0/24 any -P out ipsec
esp/tunnel/ 78.131.142.72-83.15.166.226 /require;

Generalnie ja korzystam z dwóch adresów zewnętrznych stałych.

@rpc - zrobiłem co proponowałeś, ale jest pewne nieporozumienie, kolega od strony dlinka może tylko pingować i wejść na mój router o adresie lokalnym 192.168.223.1, ale komputery w podsieci są dla niego nie widoczne.
Ja natomiast ciągle nie mogę pingować niczego po drugiej stronie routera dlink, mogę pingowac jego adres zewnętrzny IP.
tcpdump pisze, że przez br-lan wyszły pakiety i tyle

root@Gargoyle:~# tcpdump -i br-lan icmp
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on br-lan, link-type EN10MB (Ethernet), capture size 96 bytes
21:30:07.861416 IP PLRE-PULAWAL.lan > 217.97.156.174: ICMP echo request, id 512, seq 256, length 40
21:30:08.000470 IP 217.97.*.174 > PLRE-PULAWAL.lan: ICMP echo reply, id 512, seq 256, length 40
21:30:08.871528 IP PLRE-PULAWAL.lan > 217.97.156.174: ICMP echo request, id 512, seq 512, length 40
21:30:09.000424 IP 217.97.*.174 > PLRE-PULAWAL.lan: ICMP echo reply, id 512, seq 512, length 40
21:30:09.871581 IP PLRE-PULAWAL.lan > 217.97.156.174: ICMP echo request, id 512, seq 768, length 40
21:30:09.970457 IP 217.97.*.174 > PLRE-PULAWAL.lan: ICMP echo reply, id 512, seq 768, length 40
21:30:10.871522 IP PLRE-PULAWAL.lan > 217.97.156.174: ICMP echo request, id 512, seq 1024, length 40
21:30:10.970413 IP 217.97.*.174 > PLRE-PULAWAL.lan: ICMP echo reply, id 512, seq 1024, length 40
21:31:06.362303 IP PLRE-PULAWAL.lan > 172.20.35.1: ICMP echo request, id 512, seq 1280, length 40
21:31:11.730554 IP PLRE-PULAWAL.lan > 172.20.35.1: ICMP echo request, id 512, seq 1536, length 40
21:31:17.231071 IP PLRE-PULAWAL.lan > 172.20.35.1: ICMP echo request, id 512, seq 1792, length 40
21:31:22.730588 IP PLRE-PULAWAL.lan > 172.20.35.1: ICMP echo request, id 512, seq 2048, length 40
21:31:48.164028 IP PLRE-PULAWAL.lan > 172.20.35.5: ICMP echo request, id 512, seq 2304, length 40
21:31:53.230341 IP PLRE-PULAWAL.lan > 172.20.35.5: ICMP echo request, id 512, seq 2560, length 40
21:31:58.731089 IP PLRE-PULAWAL.lan > 172.20.35.5: ICMP echo request, id 512, seq 2816, length 40
21:32:04.230320 IP PLRE-PULAWAL.lan > 172.20.35.5: ICMP echo request, id 512, seq 3072, length 40
^C
16 packets captured
17 packets received by filter
0 packets dropped by kernel

Ciekawe, że jak wpisze tcpdump -i 3g-wan to pisze ze jakiś błąd

root@Gargoyle:~# tcpdump -i 3g-wan icmp
tcpdump: unsupported data link type LINUX_SLL

@roland - napisz czy to coś dało

33 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: IPsec a nowy kernel 2.6.32.27

@roland
te logi ... coś mi pachnie przechodzeniem pakietów przez POSTROUTING a tu generalnie powinno omijać się NAT
sprawdź czy router obsługuje nat_traversal jeśli tak załącz go bo coś mi się widzi że pakiety u twojego dostawcy idą przez POSTROUTING. Owszem zrobił przekierowanie ale pakiety NIE MOGĄ przechodzić przez POSTROUTING bo są modyfikowane i dlatego się wykszacza

jak router obsługuje nat_traversal to trzeba go tylko w pliku configuracyjnym załączyć i powinno być ok nawet bez przekierowań
pokaż swojego firewalla

@lukaszp
nie wiem czy masz miejsce ale jak możesz zainstaluj sobie zamiast tcpdump-mini pełne tcpdump
i wtedy

tcpdump -i 3g-wan icmp

będzie działał

interesuje mnie czy przychodzą pakiety z powrotem

Generalnie u Ciebie bez analizy dokładnej logów racoon i pakietów nie wiesz czy problem jest u Ciebie czy u Kolegi

Można jeszcze wspomóc się poniższymi wierszami

racoon -F -f /etc/racoon/racoon.conf
racoon -F -v -f /etc/racoon/racoon.conf

najpierw wyłącz racoon tak aby nie pracował
a potem odpal pierwszy z wierszy (to drugie to daje o wiele potężniejszy log)
nie wyłączając konsoli wykonaj coś na komputerze wewnątrz lan
wklej zawartość tutaj oczywiści pingnij drugą stronę aby tunel się zestawił zupełnie

daj jeszcze loga z

iptables -t nat -L -v
iptables -L -v
Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

34 Odpowiedź przez roland

  • roland
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-12-08
  • Posty: 18

Odp: IPsec a nowy kernel 2.6.32.27

@lukaszp
To nie to. Już wcześniej próbowałem zmienić adresy w setkey. Rezultat ten sam.

@rpc
Jeżeli chodzi o firewall na Netgear to tam nic nie zmieniałem. W zasadzie nie ma tam za wiele do konfiguracji, bo jest tylko GUI.
Jeżeli inne vpn-y działają to raczej jest ok.

Na openwrt firewall wygląda tak:

config 'defaults'
        option 'syn_flood' '1'
        option 'input' 'ACCEPT'
        option 'output' 'ACCEPT'
        option 'forward' 'REJECT'
        option 'force_router_dns' '1'

config 'zone'
        option 'name' 'lan'
        option 'input' 'ACCEPT'
        option 'output' 'ACCEPT'
        option 'forward' 'REJECT'

config 'zone'
        option 'name' 'wan'
        option 'input' 'REJECT'
        option 'output' 'ACCEPT'
        option 'forward' 'REJECT'
        option 'masq' '1'
        option 'mtu_fix' '1'

config 'forwarding'
        option 'src' 'lan'
        option 'dest' 'wan'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'udp'
        option 'dest_port' '68'
        option 'target' 'ACCEPT'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'icmp'
        option 'icmp_type' 'echo-request'
        option 'target' 'ACCEPT'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'esp'
        option 'target' 'ACCEPT'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'ah
        option 'target' 'ACCEPT'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'ipcomp'
        option 'target' 'ACCEPT'

config 'rule'
        option 'dest_port' '500'
        option 'proto' 'udp'
        option 'target' 'ACCEPT'

config 'rule'
        option 'dest_port' '4500'
        option 'proto' 'udp'
        option 'target' 'ACCEPT'

config 'include'
        option 'path' '/etc/firewall.user'

config 'include'
        option 'path' '/usr/lib/gargoyle_firewall_util/gargoyle_additions.firewall'

config 'remote_accept' 'ra_22_22'
        option 'local_port' '22'
        option 'remote_port' '22'
        option 'proto' 'tcp'
        option 'zone' 'wan'

config 'redirect' 'redirect_enabled_number_0'
        option 'name' 'DISKSTAT'
        option 'src' 'wan'
        option 'dest' 'lan'
        option 'proto' 'tcp'
        option 'src_dport' '5001'
        option 'dest_ip' '192.168.1.200'
        option 'dest_port' '5001'

config 'redirect' 'redirect_enabled_number_1'
        option 'name' 'DISKSTAT'
        option 'src' 'wan'
        option 'dest' 'lan'
        option 'proto' 'udp'
        option 'src_dport' '5001'
        option 'dest_ip' '192.168.1.200'
        option 'dest_port' '5001'

config 'redirect' 'redirect_enabled_number_2'
        option 'name' 'FTP Pasv'
        option 'src' 'wan'
        option 'dest' 'lan'
        option 'proto' 'tcp'
        option 'src_dport' '55535-55537'
        option 'dest_port' '55535-55537'
        option 'dest_ip' '192.168.1.200'

config 'redirect' 'redirect_enabled_number_3'
        option 'name' 'FTP Pasv'
        option 'src' 'wan'
        option 'dest' 'lan'
        option 'proto' 'udp'
        option 'src_dport' '55535-55537'
        option 'dest_port' '55535-55537'
        option 'dest_ip' '192.168.1.200'

config 'redirect' 'redirect_enabled_number_4'
        option 'name' 'FTP Activ'
        option 'src' 'wan'
        option 'dest' 'lan'
        option 'proto' 'tcp'
        option 'src_dport' '20-21'
        option 'dest_port' '20-21'
        option 'dest_ip' '192.168.1.200'

config 'redirect' 'redirect_enabled_number_5'
        option 'name' 'FTP Activ'
        option 'src' 'wan'
        option 'dest' 'lan'
        option 'proto' 'udp'
        option 'src_dport' '20-21'
        option 'dest_port' '20-21'
        option 'dest_ip' '192.168.1.200'

firewall.user

iptables -I forwarding_rule -p tcp --src 192.168.11.0/24 -j ACCEPT
iptables -I forwarding_rule --dst 192.168.11.0/24 -j ACCEPT
iptables -t nat -I postrouting_rule -s 192.168.1.0/24 -d 192.168.11.0/24 -j ACCEPT
iptables -t nat -I postrouting_rule -p ipcomp -j ACCEPT
iptables -t nat -I postrouting_rule -p ah -j ACCEPT
iptables -t nat -I postrouting_rule -p esp -j ACCEPT

35 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: IPsec a nowy kernel 2.6.32.27

@roland
jakie inne vpn działąją ? ipsec czy inna technologia ? U ciebie czy u kogoś ?poszerz temat

generalnie to jest tak jak nie wiadomo jaki powinien być setkey ustawia się opcje

generate_policy on

i czyta logi

odpal racoon w debug podobnie jak opisałem lukaszb

racoon -F -f /etc/racoon/racoon.conf
Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

36 Odpowiedź przez roland

  • roland
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-12-08
  • Posty: 18

Odp: IPsec a nowy kernel 2.6.32.27

Tak IPsec. Ten router do którego się łączę, łączy się jeszcze z dwoma innymi takimi samymi routerami po IPSec.

Co do postrutingu to od admina mojej sieci otrzymałem taką odpowiedz:

"Postrouting jest tablicą firewala i zawsze w każdym urządzeniu gdzie jest
aktywny firewall pakiety przez tą tabelę przechodzą, natomiast my nic nie
blokujemy w tej tablicy zarówno jeśli chodzi o ruch wychodzący i przychodzący
czyli ona sama w sobie nie wpływa na przepływ pakietów. Połączenie VPN jest
zwykłym połączeniem IP więc działają tu takie same zasady jak przy innych
połączeniach i jeśli np p2p działa poprawnie VPN także powinien się poprawnie
zestawić. Nie powiniem mieć na to wpływu nawet NAT - oczywiście przy
połączeniach wychodzących jak Pan napisał.
"
Co do trybu debug to chyba się odpala to tak:

racoon -D -F -f /etc/racoon/racoon.conf

Z resztą cały czas odpalam racona w ten sposób (do testów): 

racoon -F -f /etc/racoon/racoon.conf

Co można jeszcze zrobić, aby zlokalizować problem?

37 Odpowiedź przez lukaszp

  • Zarejestrowany: 2011-02-02
  • Posty: 61

Odp: IPsec a nowy kernel 2.6.32.27

Cześć,

Dzisaj trochę potestowałem moje połączenie, mianowicie udało mi się zorganizować router DFL210 dlinka z taka samą konfiguracją jak poprzednia. Spiąłem je po wan'ie kablem i ustawiłem dwa hosty, jeden po jedniej stronie, a drugi po drugiej.

Przekonfigurowałem racoon'a i udało mi  się zestawić tunel TYLKO z włączoną opcją generate policies(miałem takie błędy jak kolega ROLAND), dodatkowo z hosta podłączonego do dlinka pingowałem wrt'ka i ping przechodził, ale jak chciałem spingować hosta za wrt'kiem to już tcpdump zeznawał że port jest nieosiągalny (nie ip tylko port), więc kliknąłem 

iptables -I FORWARD -j ACCEPT

i ping pięknie przechodzi ping...
To ubicie firewalla przynosi tylko efekty podczas połączonego tunelu.

Co do nieprzechodzenia pingów do Dlink to sprawa jest w toku, bo w logach dlinka widać, że dostaje pakiet i go odrzuca
pisze "DROPED", wiec problem jest gdzieś w firewall'u DFL210.

Dlaczego "iptables -I FORWARD -j ACCEPT " zadziałał tylko wtedy, gdy tunel był zestawiony?
Może tylko było wtedy widać efekty działania tego polecenia.

Pozdrawiam

Łukasz

38 Odpowiedź przez roland

  • roland
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-12-08
  • Posty: 18

Odp: IPsec a nowy kernel 2.6.32.27

Witam.

Doszukałem się błędu w moim pliku firewall. Brakowało jednego apostrofu.
Mam jeszcze jeden komunikat i nie wiem co jest przyczyną. Może ktoś wie?

root@Gargoyle:~# /etc/init.d/firewall restart
Loading defaults
Loading synflood protection
Adding custom chains
Loading zones
Loading forwarding
Loading redirects
Loading rules
Loading includes
sh: missing ]
Loading zone defaults

Po kombinacjach w ustawieniach firewall w FVS318 mogę pingować 192.168.1.1(router openwrt), ale już nie żadne gohosta w tej sieci. Natomiast pingi z openwrt do 192.168.11.1 nie idą wcale.

39 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,039

Odp: IPsec a nowy kernel 2.6.32.27

Masz brakujący nawias smile

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

40 Odpowiedź przez lukaszp

  • Zarejestrowany: 2011-02-02
  • Posty: 61

Odp: IPsec a nowy kernel 2.6.32.27

Cześć,

Sprawdź, czy będziesz miał taki sam objaw. Uruchomiłem w trybie debug ipsec'a i zacząłem pingować openwrt(na drugiej konsoli), ping wrócił, wiec zacząłem pingować hosta w lanie za openwrt i nic, tcpdump zeznawał, że nie ma takiego portu. Wpisałem regółkę iptables żeby przepuszczał ruch i ping się pojawił z hosta za openwrt. Sprawdź w takiej kolejności, może gdzieś mamy ten sam błąd..

Pozdrawiam

Łukasz

41 Odpowiedź przez roland

  • roland
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-12-08
  • Posty: 18

Odp: IPsec a nowy kernel 2.6.32.27

@Cezary
Bardzo śmieszne smile Może powiesz jeszcze gdzie ma być ten nawias? Bo ja w wszystkich ładowanych plikach nie widzę żadnych nawiasów.

@Lukaszp
Sprawdzę to. Obecnie mogę pingować router openwrt i hosty za nim z routera FVS318. Ale w drugą stronę ani rusz.
Nie wiem czy słusznie ale wydaje mi się, że to złe ustawienie firewalla na openwrt.

42 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,039

Odp: IPsec a nowy kernel 2.6.32.27

Gdzieś w okolicach /etc/firewall.user. Albo w tym pliku, albo bezpośrednio w tym w którym jest w/w ładowany.

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

43 Odpowiedź przez rpc (edytowany przez rpc 2011-02-11 07:44:40)

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: IPsec a nowy kernel 2.6.32.27

pakiety przechodzą przez postrouting to fakt ale jak nie da się im ACCEPT przed MASQUERADE to będą modyfikowane przez NAT i o to mi chodziło. A ipsec ma wiadome problemy z tym. Generalnie jest obciążone tym że na początku wymagało publicznych adresów IP. Szybko okazało się że są problemy z natem bo oczywiście dostawcy nie dawali każdemu publicznego adresu IP. Więc wymyślono coś takiego jak travelsat_nat w ipsec. Jest to wszystko niby dopracowane ale nie zawsze działa. Zbawieniem będzie tutaj ipv6 bo tam nie będzie wreszcie takich problemów.
Zresztą co ja będę się rozpisywał widzę że lepiej wiecie...


Najlepiej to obaj dajcie logi z 

iptables -L -v
iptables -t nat -L -v

do tej pory nic nie pokazaliście mimo że wcześniej prosiłem. Jak wina firewalla to tam będzie to widać pod razu.

bez tego ciężko zobaczyć gdzie są błędy

@lukaszp
ja domyślnie swoje reguły dodałem do reguł postrouting_rule i forwarding_rule. Uważam że to bardziej elegancki sposób na dodawanie reguł jak prosto do łańcuchów głównych
mogło się zdarzyć że developerzy coś pozmieniali w kolejności ładowania poszczególnych reguł. OpenWrt ciągle ewaluuje
Więc błędem nie będzie jak lekko przerobisz swoje reguły i zamienisz poszczególne słowa
postrouting_rule -> POSTROUTING
forwarding_rule -> FORWARD
czyli

iptables -I FORWARD --src 172.20.35.0/27 -j ACCEPT
iptables -I FORWARD --dst 172.20.35.0/27 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.223.0/27 -d 172.20.35.0/27 -j ACCEPT
iptables -t nat -I POSTROUTING -p ipcomp -j ACCEPT
iptables -t nat -I POSTROUTING -p ah -j ACCEPT
iptables -t nat -I POSTROUTING -p esp -j ACCEPT


jeśli to wina firewalla to powinna ta zmiana rozwiązać sytuację

jeszcze w prosty sposób wyjaśnię wpisy w setkey.conf na przykładzie lukaszp

spdadd 192.168.223.0/27 172.20.35.0/27 any -P out ipsec
esp/tunnel/83.220.*.58-217.97.*.174/require;

Powyższy wpis oznacza:
jeśli pakiety idą z sieci 192.168.223.0/27 i jednocześnie idą do sieci 172.20.35.0/27 to są to pakiety wychodzące OUT z naszego routera. VPN zestawiony poprzez adresy końcowe (83.220.*.58-217.97.*.174). Typ VPN to tunnel

spdadd 172.20.35.0/27 192.168.223.0/27 any -P in ipsec
esp/tunnel/217.97.*.174-83.220.*.58/require;

jeśli pakiety idą z sieci 172.20.35.0/27 i jednocześnie ią do sieci 192.168.223.0/27 to są to pakiety przychodzące IN do naszego routera. VPN zestawiony poprzez adresy końcowe (217.97.*.174-83.220.*.58). Typ VPN to tunnel

@roland
u ciebie podobnie

iptables -I  FORWARD --src 192.168.11.0/24 -j ACCEPT
iptables -I FORWARD --dst 192.168.11.0/24 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -d 192.168.11.0/24 -j ACCEPT
iptables -t nat -I POSTROUTING -p ipcomp -j ACCEPT
iptables -t nat -I POSTROUTING -p ah -j ACCEPT
iptables -t nat -I POSTROUTING -p esp -j ACCEPT

Wyjaśnię jeszcze sprawę opcji "generate policies"
Używa się jej tylko do wygenerowania reguł. Jeśli są one poprawnie zdefiniowane po obu stronach nie ma potrzeby używać tej opcji. Nie wiesz jak naprawdę dlink rozwiązał opcję generacji tych reguł. Nie wiesz nawet czy na swoim pokładzie ma racoon. Równie dobrze może mieć openswana(on inaczej troszkę działa) lub inne rozwiązanie
Może być tak (tak widziadłem w jednym z routerów) że nie chce im się pisać skryptów generujących wpisy w setkey.conf i po prostu włączają tą opcję na on a resztą zajmuje się opcja generowania. Ale to nie jest elegancki sposób na to.

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

44 Odpowiedź przez roland

  • roland
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-12-08
  • Posty: 18

Odp: IPsec a nowy kernel 2.6.32.27

@rpc
Już podaje.
Sprawa ma się teraz tak, że z hosta w sieci 192.168.11.0 mogę połączyć się z hostem w sieci 192.168.1.0.
Natomiast odwrotnie nie da rady. Dlaczego? Przecież jeżeli z jednej strony jest komunikacja to pakiety potwierdzająca muszą wrócić z przeciwnego kierunku. A tu można się łączyc tylko z jednej strony tunelu.

iptables -t nat -L -v

root@Gargoyle:~# iptables -t nat -L -v
Chain PREROUTING (policy ACCEPT 1297 packets, 178K bytes)
 pkts bytes target     prot opt in     out     source               destination
  203 21402 zone_wan_prerouting  all  --  eth0.2 any     anywhere             anywhere
 1094  157K zone_lan_prerouting  all  --  br-lan any     anywhere             anywhere
 1298  178K prerouting_rule  all  --  any    any     anywhere             anywhere

Chain POSTROUTING (policy ACCEPT 246 packets, 18433 bytes)
 pkts bytes target     prot opt in     out     source               destination
  854 61486 zone_wan_nat  all  --  any    eth0.2  anywhere             anywhere
    1    84 zone_lan_nat  all  --  any    br-lan  anywhere             anywhere
    0     0 ACCEPT     esp  --  any    any     anywhere             anywhere
    0     0 ACCEPT     ah   --  any    any     anywhere             anywhere
    0     0 ACCEPT     ipcomp--  any    any     anywhere             anywhere
    0     0 ACCEPT     all  --  any    any     192.168.1.0/24       192.168.11.0/24
  246 18433 postrouting_rule  all  --  any    any     anywhere             anywhere

Chain OUTPUT (policy ACCEPT 335 packets, 24908 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain nat_reflection_in (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  any    any     192.168.1.0/24       192.168.25.13       tcp dpt:5001 to:192.168.1.200:5001
    0     0 DNAT       udp  --  any    any     192.168.1.0/24       192.168.25.13       udp dpt:5001 to:192.168.1.200:5001
    0     0 DNAT       tcp  --  any    any     192.168.1.0/24       192.168.25.13       tcp dpts:55535:55537 to:192.168.1.200:55535-55537
    0     0 DNAT       udp  --  any    any     192.168.1.0/24       192.168.25.13       udp dpts:55535:55537 to:192.168.1.200:55535-55537
    0     0 DNAT       tcp  --  any    any     192.168.1.0/24       192.168.25.13       tcp dpts:20:21 to:192.168.1.200:20-21
    0     0 DNAT       udp  --  any    any     192.168.1.0/24       192.168.25.13       udp dpts:20:21 to:192.168.1.200:20-21

Chain nat_reflection_out (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 SNAT       tcp  --  any    any     192.168.1.0/24       192.168.1.200       tcp dpt:5001 to:192.168.1.1
    0     0 SNAT       udp  --  any    any     192.168.1.0/24       192.168.1.200       udp dpt:5001 to:192.168.1.1
    0     0 SNAT       tcp  --  any    any     192.168.1.0/24       192.168.1.200       tcp dpts:55535:55537 to:192.168.1.1
    0     0 SNAT       udp  --  any    any     192.168.1.0/24       192.168.1.200       udp dpts:55535:55537 to:192.168.1.1
    0     0 SNAT       tcp  --  any    any     192.168.1.0/24       192.168.1.200       tcp dpts:20:21 to:192.168.1.1
    0     0 SNAT       udp  --  any    any     192.168.1.0/24       192.168.1.200       udp dpts:20:21 to:192.168.1.1

Chain postrouting_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination
  246 18433 nat_reflection_out  all  --  any    any     anywhere             anywhere

Chain prerouting_lan (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain prerouting_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination
 1297  178K nat_reflection_in  all  --  any    any     anywhere             anywhere

Chain prerouting_wan (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain zone_lan_nat (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain zone_lan_prerouting (1 references)
 pkts bytes target     prot opt in     out     source               destination
 1094  157K prerouting_lan  all  --  any    any     anywhere             anywhere

Chain zone_wan_nat (1 references)
 pkts bytes target     prot opt in     out     source               destination
  854 61486 MASQUERADE  all  --  any    any     anywhere             anywhere

Chain zone_wan_prerouting (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  any    any     anywhere             anywhere            tcp dpt:5001 to:192.168.1.200:5001
    0     0 DNAT       udp  --  any    any     anywhere             anywhere            udp dpt:5001 to:192.168.1.200:5001
    0     0 DNAT       tcp  --  any    any     anywhere             anywhere            tcp dpts:55535:55537 to:192.168.1.200:55535-55537
    0     0 DNAT       udp  --  any    any     anywhere             anywhere            udp dpts:55535:55537 to:192.168.1.200:55535-55537
    0     0 DNAT       tcp  --  any    any     anywhere             anywhere            tcp dpts:20:21 to:192.168.1.200:20-21
    0     0 DNAT       udp  --  any    any     anywhere             anywhere            udp dpts:20:21 to:192.168.1.200:20-21
  203 21402 prerouting_wan  all  --  any    any     anywhere             anywhere

iptables -L -v

root@Gargoyle:~# iptables -L -v
Chain INPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 1234 97266 ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
  297 22143 ACCEPT     all  --  lo     any     anywhere             anywhere
   14   656 syn_flood  tcp  --  any    any     anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN
  155 16620 input_rule  all  --  any    any     anywhere             anywhere
  155 16620 input      all  --  any    any     anywhere             anywhere

Chain FORWARD (policy DROP 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
   71  4048 ACCEPT     all  --  any    any     anywhere             192.168.11.0/24
   10   808 ACCEPT     all  --  any    any     192.168.11.0/24      anywhere
12475 3146K zone_wan_MSSFIX  all  --  any    any     anywhere             anywhere
11493 3062K ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
  982 84132 forwarding_rule  all  --  any    any     anywhere             anywhere
  982 84132 forward    all  --  any    any     anywhere             anywhere
    0     0 reject     all  --  any    any     anywhere             anywhere

Chain OUTPUT (policy ACCEPT 0 packets, 0 bytes)
 pkts bytes target     prot opt in     out     source               destination
 1138  341K ACCEPT     all  --  any    any     anywhere             anywhere            state RELATED,ESTABLISHED
  297 22143 ACCEPT     all  --  any    lo      anywhere             anywhere
 1109 92116 output_rule  all  --  any    any     anywhere             anywhere
 1109 92116 output     all  --  any    any     anywhere             anywhere

Chain forward (1 references)
 pkts bytes target     prot opt in     out     source               destination
  982 84132 zone_lan_forward  all  --  br-lan any     anywhere             anywhere
    0     0 zone_wan_forward  all  --  eth0.2 any     anywhere             anywhere

Chain forwarding_lan (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain forwarding_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination
  982 84132 nat_reflection_fwd  all  --  any    any     anywhere             anywhere

Chain forwarding_wan (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain input (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:500
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:500
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:4500
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:4500
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:10000
    0     0 ACCEPT     tcp  --  any    any     anywhere             anywhere            tcp dpt:10000
   74  8471 zone_lan   all  --  br-lan any     anywhere             anywhere
   81  8149 zone_wan   all  --  eth0.2 any     anywhere             anywhere

Chain input_lan (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain input_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain input_wan (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain nat_reflection_fwd (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     tcp  --  any    any     192.168.1.0/24       192.168.1.200       tcp dpt:5001
    0     0 ACCEPT     udp  --  any    any     192.168.1.0/24       192.168.1.200       udp dpt:5001
    0     0 ACCEPT     tcp  --  any    any     192.168.1.0/24       192.168.1.200       tcp dpts:55535:55537
    0     0 ACCEPT     udp  --  any    any     192.168.1.0/24       192.168.1.200       udp dpts:55535:55537
    0     0 ACCEPT     tcp  --  any    any     192.168.1.0/24       192.168.1.200       tcp dpts:20:21
    0     0 ACCEPT     udp  --  any    any     192.168.1.0/24       192.168.1.200       udp dpts:20:21

Chain output (1 references)
 pkts bytes target     prot opt in     out     source               destination
 1109 92116 zone_lan_ACCEPT  all  --  any    any     anywhere             anywhere
 1109 92116 zone_wan_ACCEPT  all  --  any    any     anywhere             anywhere

Chain output_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain reject (5 references)
 pkts bytes target     prot opt in     out     source               destination
   14   656 REJECT     tcp  --  any    any     anywhere             anywhere            reject-with tcp-reset
   66  7357 REJECT     all  --  any    any     anywhere             anywhere            reject-with icmp-port-unreachable

Chain syn_flood (1 references)
 pkts bytes target     prot opt in     out     source               destination
   14   656 RETURN     tcp  --  any    any     anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN limit: avg 25/sec burst 50
    0     0 DROP       all  --  any    any     anywhere             anywhere

Chain zone_lan (1 references)
 pkts bytes target     prot opt in     out     source               destination
   74  8471 input_lan  all  --  any    any     anywhere             anywhere
   74  8471 zone_lan_ACCEPT  all  --  any    any     anywhere             anywhere

Chain zone_lan_ACCEPT (2 references)
 pkts bytes target     prot opt in     out     source               destination
   74  8471 ACCEPT     all  --  br-lan any     anywhere             anywhere
    0     0 ACCEPT     all  --  any    br-lan  anywhere             anywhere

Chain zone_lan_DROP (0 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  br-lan any     anywhere             anywhere
    0     0 DROP       all  --  any    br-lan  anywhere             anywhere

Chain zone_lan_MSSFIX (0 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 TCPMSS     tcp  --  any    br-lan  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU

Chain zone_lan_REJECT (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 reject     all  --  br-lan any     anywhere             anywhere
    0     0 reject     all  --  any    br-lan  anywhere             anywhere

Chain zone_lan_forward (1 references)
 pkts bytes target     prot opt in     out     source               destination
  982 84132 zone_wan_ACCEPT  all  --  any    any     anywhere             anywhere
    0     0 forwarding_lan  all  --  any    any     anywhere             anywhere
    0     0 zone_lan_REJECT  all  --  any    any     anywhere             anywhere

Chain zone_wan (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     udp  --  any    any     anywhere             anywhere            udp dpt:68
    0     0 ACCEPT     icmp --  any    any     anywhere             anywhere            icmp echo-request
    1   136 ACCEPT     esp  --  any    any     anywhere             anywhere
    0     0 ACCEPT     ah   --  any    any     anywhere             anywhere
    0     0 ACCEPT     ipcomp--  any    any     anywhere             anywhere
   80  8013 input_wan  all  --  any    any     anywhere             anywhere
   80  8013 zone_wan_REJECT  all  --  any    any     anywhere             anywhere

Chain zone_wan_ACCEPT (2 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     all  --  eth0.2 any     anywhere             anywhere
 2091  176K ACCEPT     all  --  any    eth0.2  anywhere             anywhere

Chain zone_wan_DROP (0 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DROP       all  --  eth0.2 any     anywhere             anywhere
    0     0 DROP       all  --  any    eth0.2  anywhere             anywhere

Chain zone_wan_MSSFIX (1 references)
 pkts bytes target     prot opt in     out     source               destination
  366 19008 TCPMSS     tcp  --  any    eth0.2  anywhere             anywhere            tcp flags:SYN,RST/SYN TCPMSS clamp to PMTU

Chain zone_wan_REJECT (2 references)
 pkts bytes target     prot opt in     out     source               destination
   80  8013 reject     all  --  eth0.2 any     anywhere             anywhere
    0     0 reject     all  --  any    eth0.2  anywhere             anywhere

Chain zone_wan_forward (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     udp  --  any    any     anywhere             192.168.1.200       udp dpts:20:21
    0     0 ACCEPT     tcp  --  any    any     anywhere             192.168.1.200       tcp dpts:20:21
    0     0 ACCEPT     udp  --  any    any     anywhere             192.168.1.200       udp dpts:55535:55537
    0     0 ACCEPT     tcp  --  any    any     anywhere             192.168.1.200       tcp dpts:55535:55537
    0     0 ACCEPT     udp  --  any    any     anywhere             192.168.1.200       udp dpt:5001
    0     0 ACCEPT     tcp  --  any    any     anywhere             192.168.1.200       tcp dpt:5001
    0     0 forwarding_wan  all  --  any    any     anywhere             anywhere
    0     0 zone_wan_REJECT  all  --  any    any     anywhere             anywhere

45 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: IPsec a nowy kernel 2.6.32.27

@roland
nie podobają mi się reguły w POSTROUTING są w złym miejscu
pokaż jeszcze 

/etc/firewall.user

bo tam oczywiście dodawałeś te reguły ?
nasze reguły muszą być pierwsze a są po masquerade co może psuć nam wszystko

muszę zobaczyć jak wpisałeś reguły

a w zasadzie to zrób taki test
z konsoli po pełnym uruchomieniu openwrt wpisz ręcznie poniższe wiersze

iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -d 192.168.11.0/24 -j ACCEPT
iptables -t nat -I POSTROUTING -p ipcomp -j ACCEPT
iptables -t nat -I POSTROUTING -p ah -j ACCEPT
iptables -t nat -I POSTROUTING -p esp -j ACCEPT

po tym wszystkim pokaż 

iptables -t nat -L -v

no i sprawdź czy można pingować

sprawdź również firewall w FVS318v3
jak masz włączony to dodaj regułę że pozwalasz na ruch pakietów z drugiej sieci i do drugiej sieci
sorry nie znam interfejsu tego routera wiec jaśniej tego nie napiszę

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

46 Odpowiedź przez roland

  • roland
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-12-08
  • Posty: 18

Odp: IPsec a nowy kernel 2.6.32.27

To jest wynik po wprowadzeniu tych poleceń:

root@Gargoyle:~# iptables -t nat -L -v
Chain PREROUTING (policy ACCEPT 11 packets, 620 bytes)
 pkts bytes target     prot opt in     out     source               destination
10907 1179K zone_wan_prerouting  all  --  eth0.2 any     anywhere             anywhere
 4900  723K zone_lan_prerouting  all  --  br-lan any     anywhere             anywhere
15717 1897K prerouting_rule  all  --  any    any     anywhere             anywhere

Chain POSTROUTING (policy ACCEPT 81 packets, 5912 bytes)
 pkts bytes target     prot opt in     out     source               destination
    0     0 ACCEPT     esp  --  any    any     anywhere             anywhere
    0     0 ACCEPT     ah   --  any    any     anywhere             anywhere
    0     0 ACCEPT     ipcomp--  any    any     anywhere             anywhere
    0     0 ACCEPT     all  --  any    any     192.168.1.0/24       192.168.11.0/24
 4220  251K zone_wan_nat  all  --  any    eth0.2  anywhere             anywhere
  134  8732 zone_lan_nat  all  --  any    br-lan  anywhere             anywhere
    0     0 ACCEPT     esp  --  any    any     anywhere             anywhere
    0     0 ACCEPT     ah   --  any    any     anywhere             anywhere
    0     0 ACCEPT     ipcomp--  any    any     anywhere             anywhere
    0     0 ACCEPT     all  --  any    any     192.168.1.0/24       192.168.11.0/24
  215 14644 postrouting_rule  all  --  any    any     anywhere             anywhere

Chain OUTPUT (policy ACCEPT 84 packets, 6084 bytes)
 pkts bytes target     prot opt in     out     source               destination

Chain nat_reflection_in (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  any    any     192.168.1.0/24       192.168.25.13       tcp dpt:5001 to:192.168.1.200:5001
    0     0 DNAT       udp  --  any    any     192.168.1.0/24       192.168.25.13       udp dpt:5001 to:192.168.1.200:5001
    0     0 DNAT       tcp  --  any    any     192.168.1.0/24       192.168.25.13       tcp dpts:55535:55537 to:192.168.1.200:55535-55537
    0     0 DNAT       udp  --  any    any     192.168.1.0/24       192.168.25.13       udp dpts:55535:55537 to:192.168.1.200:55535-55537
    0     0 DNAT       tcp  --  any    any     192.168.1.0/24       192.168.25.13       tcp dpts:20:21 to:192.168.1.200:20-21
    0     0 DNAT       udp  --  any    any     192.168.1.0/24       192.168.25.13       udp dpts:20:21 to:192.168.1.200:20-21

Chain nat_reflection_out (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 SNAT       tcp  --  any    any     192.168.1.0/24       192.168.1.200       tcp dpt:5001 to:192.168.1.1
    0     0 SNAT       udp  --  any    any     192.168.1.0/24       192.168.1.200       udp dpt:5001 to:192.168.1.1
    0     0 SNAT       tcp  --  any    any     192.168.1.0/24       192.168.1.200       tcp dpts:55535:55537 to:192.168.1.1
    0     0 SNAT       udp  --  any    any     192.168.1.0/24       192.168.1.200       udp dpts:55535:55537 to:192.168.1.1
    0     0 SNAT       tcp  --  any    any     192.168.1.0/24       192.168.1.200       tcp dpts:20:21 to:192.168.1.1
    0     0 SNAT       udp  --  any    any     192.168.1.0/24       192.168.1.200       udp dpts:20:21 to:192.168.1.1

Chain pf_loopback_A (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 DNAT       tcp  --  any    any     anywhere             anywhere            tcp dpt:5001 to:192.168.1.200:5001
    0     0 DNAT       udp  --  any    any     anywhere             anywhere            udp dpt:5001 to:192.168.1.200:5001
    0     0 DNAT       tcp  --  any    any     anywhere             anywhere            tcp dpts:55535:55537 to:192.168.1.200:55535-55537
    0     0 DNAT       udp  --  any    any     anywhere             anywhere            udp dpts:55535:55537 to:192.168.1.200:55535-55537
    0     0 DNAT       tcp  --  any    any     anywhere             anywhere            tcp dpts:20:21 to:192.168.1.200:20-21
    0     0 DNAT       udp  --  any    any     anywhere             anywhere            udp dpts:20:21 to:192.168.1.200:20-21

Chain pf_loopback_C (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 MASQUERADE  tcp  --  any    any     192.168.1.0/24       192.168.1.200       tcp dpt:5001
    0     0 MASQUERADE  udp  --  any    any     192.168.1.0/24       192.168.1.200       udp dpt:5001
    0     0 MASQUERADE  tcp  --  any    any     192.168.1.0/24       192.168.1.200       tcp dpts:55535:55537
    0     0 MASQUERADE  udp  --  any    any     192.168.1.0/24       192.168.1.200       udp dpts:55535:55537
    0     0 MASQUERADE  tcp  --  any    any     192.168.1.0/24       192.168.1.200       tcp dpts:20:21
    0     0 MASQUERADE  udp  --  any    any     192.168.1.0/24       192.168.1.200       udp dpts:20:21

Chain postrouting_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination
  134  8732 pf_loopback_C  all  --  any    br-lan  anywhere             anywhere
  215 14644 nat_reflection_out  all  --  any    any     anywhere             anywhere

Chain prerouting_lan (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain prerouting_rule (1 references)
 pkts bytes target     prot opt in     out     source               destination
15712 1897K nat_reflection_in  all  --  any    any     anywhere             anywhere

Chain prerouting_wan (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain zone_lan_nat (1 references)
 pkts bytes target     prot opt in     out     source               destination

Chain zone_lan_prerouting (1 references)
 pkts bytes target     prot opt in     out     source               destination
    0     0 pf_loopback_A  all  --  any    any     anywhere             192.168.25.13
 4900  723K prerouting_lan  all  --  any    any     anywhere             anywhere

Chain zone_wan_nat (1 references)
 pkts bytes target     prot opt in     out     source               destination
 4220  251K MASQUERADE  all  --  any    any     anywhere             anywhere

Chain zone_wan_prerouting (1 references)
 pkts bytes target     prot opt in     out     source               destination
   93  4836 DNAT       tcp  --  any    any     anywhere             anywhere            tcp dpt:5001 to:192.168.1.200:5001
    0     0 DNAT       udp  --  any    any     anywhere             anywhere            udp dpt:5001 to:192.168.1.200:5001
    0     0 DNAT       tcp  --  any    any     anywhere             anywhere            tcp dpts:55535:55537 to:192.168.1.200:55535-55537
    0     0 DNAT       udp  --  any    any     anywhere             anywhere            udp dpts:55535:55537 to:192.168.1.200:55535-55537
    1    60 DNAT       tcp  --  any    any     anywhere             anywhere            tcp dpts:20:21 to:192.168.1.200:20-21
    0     0 DNAT       udp  --  any    any     anywhere             anywhere            udp dpts:20:21 to:192.168.1.200:20-21
10813 1174K prerouting_wan  all  --  any    any     anywhere             anywhere

firewall.user

iptables -I FORWARD --src 192.168.11.0/24 -j ACCEPT
iptables -I FORWARD --dst 192.168.11.0/24 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -d 192.168.11.0/24 -j ACCEPT
iptables -t nat -I POSTROUTING -p ipcomp -j ACCEPT
iptables -t nat -I POSTROUTING -p ah -j ACCEPT
iptables -t nat -I POSTROUTING -p esp -j ACCEPT

Niestety ping nadlej nie idzie. W firewall na FSV318  próbowałem już różnych ustawień, ale bez skutku. Może nie w tym rzecz.

47 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: IPsec a nowy kernel 2.6.32.27

no niestety bez bezposredniego zerknięcia niewiele pomogę
według mnie jest wszystko ok

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

48 Odpowiedź przez roland

  • roland
  • Użytkownik
  • Nieaktywny
  • Zarejestrowany: 2010-12-08
  • Posty: 18

Odp: IPsec a nowy kernel 2.6.32.27

Po dokładnych testach okazało się, że między innymi te komendy wydane w konsoli pomogły.
Udało mi się uruchomić pełną komunikacje między Netgear i Openwrt racoon.
Nie wiem jeszcze czy do końca tak jest, ale żeby nawiązać komunikację trzeba najpierw coś przesłać z sieci 192.168.11.0 do  ....1.0. Potem już działa obustronnie.

Najpierw chciał bym się uprać z firewallem.

Jak zmienić plik firewall aby te reguły były w odpowiednim miejscu?

49 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: IPsec a nowy kernel 2.6.32.27

wpisz te reguły do pliku

/etc/rc.local

zamiast do /etc/firewall.user

tak na początek
to powinno odpowiednio wstawić reguły

wadą rozwiązania jest to że nie przeładujesz reguł firewalla poprawnie bo zmiany nie będą uwzględniane

inną możliwością jest napisanie własnego skryptu w stylu

touch /etc/init.d/racoon
chmod +x /etc/init.d/racoon

o zawartości:

#!/bin/sh /etc/rc.common

START=98

start() {
echo Laduje reguly iptables dla ipsec
iptables -I FORWARD --src 192.168.11.0/24 -j ACCEPT
iptables -I FORWARD --dst 192.168.11.0/24 -j ACCEPT
iptables -t nat -I POSTROUTING -s 192.168.1.0/24 -d 192.168.11.0/24 -j ACCEPT
iptables -t nat -I POSTROUTING -p ipcomp -j ACCEPT
iptables -t nat -I POSTROUTING -p ah -j ACCEPT
iptables -t nat -I POSTROUTING -p esp -j ACCEPT

echo Uruchamiam tunel ipsec racoon...

if [ ! -e /var/racoon ]
then
mkdir /var/racoon
fi
setkey -f /etc/racoon/setkey.conf
racoon -f /etc/racoon/racoon.conf

}

stop() {
iptables -D FORWARD --src 192.168.11.0/24 -j ACCEPT
iptables -D FORWARD --dst 192.168.11.0/24 -j ACCEPT
iptables -t nat -D POSTROUTING -s 192.168.1.0/24 -d 192.168.11.0/24 -j ACCEPT
iptables -t nat -D POSTROUTING -p ipcomp -j ACCEPT
iptables -t nat -D POSTROUTING -p ah -j ACCEPT
iptables -t nat -D POSTROUTING -p esp -j ACCEPT

killall racoon
}

potem

/etc/init.d/racoon enable
/etc/init.d/racoon start

jak widzisz trochę przerobiłem skrypt uruchamiający racoon i przeniosłem reguły firewalla dotyczące ipsec
teraz reguły winny znaleźć się tam gdzie trzeba
teraz po restarcie firewalla powinieneś zrestartować racoon i powinno być git

co do przesłania pakietów
w takim układzie źle są składane reguły w setkey.conf albo po stronie racoon albo po stronie netgeara. To one decydują o tym jak kierowane są pakiety
Trzeba by było obejrzeć szczegółowe logi z połączeń te bardzo szczegółowe

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

50 Odpowiedź przez lukaszp

  • Zarejestrowany: 2011-02-02
  • Posty: 61

Odp: IPsec a nowy kernel 2.6.32.27

Cześć,

Trochę mnie nie było, ale nie miałem jak przetestować proponowanych zmian.
Dzisiaj już jestem po testach tunelu i mam kilka spostrzeżeń. Muszę Ci Roland przyznać rację, że ruch zaczyna działać w pełni dopiero po wpisaniu w konsoli tych reguł, które sugerował RPC.
Zauważyłem też rzeczy raczej oczywiste, mianowicie tunel się nie zestawia jak nic nie jest podłączone po jego stronie LAN, dopiero podłączenie komputera w lanie powoduje, że tunel się zestawia.

Wracając do firewall'a to wiem już na pewno, że problem przesyłania pakietów w tunelu jest po stronie openwrt. Przy standardowych ustawieniach (wzorowanych na tych ze strony rpc.one.pl) tunel się zestawia, pingi przechodzą, ale jak już kolega chciał coś przesłać po FTP to się wywalało, wpisałem reguły w konsoli i ruch FTP zaczął działać. Zamiana forwarding_rule na FORWARD w pliku /etc/firewall.user też nie dało oczekiwanych efektów.
Zrobiłem więc skrypt, taki jak proponował RPC i faktycznie po każdym włączeniu racoon wszystko przechodzi przez tunel.
Może macie koledzy jakieś teorie na ten temat? W czym może być przyczyna..
Dodam jeszcze, że moje doświadczenia dotyczą WR1043ND i modemu 3G w erze, mam stałe IP i łączę się z jakimś routerem CISCO, przyznam, że wcześniejsze próby na dlinku dawały jakieś błędy w trakcie uruchamiania racoona w trybie debug, a podłączenie do CISCO odbyło się bez problemów i z wyłączoną opcją generate_policies (kłopot dotyczył reguł firewalla, o których pisałem wyżej)

Łukasz