1 Temat przez edd82

  • edd82
  • Użytkownik
  • Nieaktywny
  • Skąd: Zabrze
  • Zarejestrowany: 2011-08-30
  • Posty: 30

Temat: Po instalacji racoon nie pinguje adresu lokalnego routerka z LAN

Witam

Mam TP-Linka1043N wgrałem do niego OpenWRT i wszystko było ok. Doinstalowałem racoon-a, aby zestawić VPN-a.
I teraz tak. Jak jest włączony racoon "/etc/init.d/racoon enable" i /etc/init.d/racoon start" przestaje pingować routerek. Komunikacja między komputerami połączonymi przez WiFi jest. Dostęp na adres lokalny routerka ze zdalnej lokalizacji jest bez problemu, tak samo jak na komputer w mojej sieci.

Adresy w mojej sieci to 10.0.210.0/24 a połączenie jest zestawione z 10.0.0.0/8.

Ja dokładnie łącze się z siecią 10.0.0.0/24 jednak z tej sieci są kolejne VPN-y na adresy 10.0.x.0/24 i 10.97.0.0/16.

TP-Link Archer C5 + Dysk + racoon

2 Odpowiedź przez Cezary

  • Skąd: Warszawa
  • Zarejestrowany: 2006-02-25
  • Posty: 116,075

Odp: Po instalacji racoon nie pinguje adresu lokalnego routerka z LAN

Firewall zmieniasz? Trasy domyślne?

Masz niepotrzebny router, uszkodzony czy nie - chętnie przygarnę go.

Cezary's Strona

3 Odpowiedź przez edd82 (edytowany przez edd82 2011-08-31 09:32:24)

  • edd82
  • Użytkownik
  • Nieaktywny
  • Skąd: Zabrze
  • Zarejestrowany: 2011-08-30
  • Posty: 30

Odp: Po instalacji racoon nie pinguje adresu lokalnego routerka z LAN

Jedyne co modyfikowałem w firewallu to wpisy wg instrukcji ze strony rpc i dodatkowo otwarłem sobie dostęp do routerka z pracy, abym mógł się do niego połączyć przez VPN lub zewn. IP (praca - routerek).

Problem znika wraz z wyłączeniem racoona i restartem urządzenia.

Konfiguracja firewalla

#VPN
config 'rule'
        option 'src' 'wan'
        option 'proto' 'esp'
        option 'target' 'ACCEPT'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'ah'
        option 'target' 'ACCEPT'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'ipcomp'
        option 'target' 'ACCEPT'

config 'rule'
        option 'dest_port' '500'
        option 'proto' 'udp'
        option 'target' 'ACCEPT'

config 'rule'
        option 'dest_port' '4500'
        option 'proto' 'udp'
        option 'target' 'ACCEPT'
#Koniec VPN
config 'defaults'
        option 'syn_flood' '1'
        option 'input' 'ACCEPT'
        option 'output' 'ACCEPT'
        option 'forward' 'REJECT'

config 'zone'
        option 'name' 'lan'
        option 'network' 'lan'
        option 'input' 'ACCEPT'
        option 'output' 'ACCEPT'
        option 'forward' 'REJECT'

config 'zone'
        option 'name' 'wan'
        option 'network' 'wan'
        option 'input' 'REJECT'
        option 'output' 'ACCEPT'
        option 'forward' 'REJECT'

config 'forwarding'
        option 'src' 'lan'
        option 'dest' 'wan'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'udp'
        option 'dest_port' '68'
        option 'target' 'ACCEPT'
        option 'family' 'ipv4'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'icmp'
        option 'icmp_type' 'echo-request'
        option 'family' 'ipv4'
        option 'target' 'ACCEPT'

config 'rule'
        option 'src' 'wan'
        option 'proto' 'icmp'
        list 'icmp_type' 'echo-request'
        list 'icmp_type' 'destination-unreachable'
        list 'icmp_type' 'packet-too-big'
        list 'icmp_type' 'time-exceeded'
        list 'icmp_type' 'bad-header'
        list 'icmp_type' 'unknown-header-type'
        list 'icmp_type' 'router-solicitation'
        list 'icmp_type' 'neighbour-solicitation'
        option 'limit' '1000/sec'
        option 'family' 'ipv6'
        option 'target' 'ACCEPT'

config 'rule'
        option 'src' 'wan'
        option 'dest' '*'
        option 'proto' 'icmp'
        list 'icmp_type' 'echo-request'
        list 'icmp_type' 'destination-unreachable'
        list 'icmp_type' 'packet-too-big'
        list 'icmp_type' 'time-exceeded'
        list 'icmp_type' 'bad-header'
        list 'icmp_type' 'unknown-header-type'
        option 'limit' '1000/sec'
        option 'family' 'ipv6'
        
        option 'target' 'ACCEPT'

config 'include'
        option 'path' '/etc/firewall.user'

config 'rule'
        option '_name' 'OPS'
        option 'src' 'wan'
        option 'target' 'ACCEPT'
        option 'src_ip' '81.*.*.42'
        option 'src_ip' '10.0.0.210'

Oraz firewall.user

iptables -I FORWARD --src 10.0.0.0/8 -j ACCEPT
iptables -I FORWARD --dst 10.0.0.0/8 -j ACCEPT
iptables -t nat -I POSTROUTING -s 10.0.210.0/24 -d 10.0.0.0/8 -j ACCEPT
iptables -t nat -I POSTROUTING -p ipcomp -j ACCEPT
iptables -t nat -I POSTROUTING -p ah -j ACCEPT
iptables -t nat -I POSTROUTING -p esp -j ACCEPT

Jeżeli chodzi o trasy to nic nie modyfikuje.

Czy po uruchomieniu połączenia VPN należy dodać jakieś dodatkowe trasy albo polityki w firewallu aby móc się połączyć z sieci LAN do routera po adresie 10.0.210.1 ??

TP-Link Archer C5 + Dysk + racoon

4 Odpowiedź przez edd82 (edytowany przez edd82 2011-08-31 22:32:54)

  • edd82
  • Użytkownik
  • Nieaktywny
  • Skąd: Zabrze
  • Zarejestrowany: 2011-08-30
  • Posty: 30

Odp: Po instalacji racoon nie pinguje adresu lokalnego routerka z LAN

Dodam jeszcze, że w momencie zestawienia się tunelu traci się całkowicie łączność z routerkiem. Nie przydziela adresów z DHCP (tylko zaraz po starcie da adresy urządzeniom, które są połączone, jeżeli jakieś dopnie się później to już nie), router jako DNS w ogóle nie działa (ale to wynika m.in. z braku pinga do urządzenia). Dodatkowo zauważyłem, że przy próbie konfiguracji DHCP-a (dodanie hosta) z poziomu LUCI DHCP się wyłącza na LAN i już nic nie przydziela.

Firmware  Backfire 10.03.x by obsy (najnowszy, który był na stronie bez GUI.

Chyba, że proponujecie zmianę Firmwara na inny to mogę jeszcze coś pokombinować w taki sposób.

Sory za post pod postem, ale chciałem odrazu podnieść temat.

TP-Link Archer C5 + Dysk + racoon

5 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: Po instalacji racoon nie pinguje adresu lokalnego routerka z LAN

Firewall nie ma nic do tego
źle skonfigurowany racoon na 100%.

pokaż wpisy setkey jakie masz bo prawie jestem pewny że tu tkwi problem utraty łączności

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

6 Odpowiedź przez edd82 (edytowany przez edd82 2011-09-02 07:40:22)

  • edd82
  • Użytkownik
  • Nieaktywny
  • Skąd: Zabrze
  • Zarejestrowany: 2011-08-30
  • Posty: 30

Odp: Po instalacji racoon nie pinguje adresu lokalnego routerka z LAN

#!/usr/sbin/setkey -f

flush;
spdflush;

#FPW
spdadd 10.0.210.0/24 10.0.0.0/8 any -P out ipsec
esp/tunnel/178.235.x.x-81.18.y.y/require;

spdadd 10.0.0.0/8 10.0.210.0/24 any -P in ipsec
esp/tunnel/81.18.y.y-178.235.x.x/require;

Mam jeszcze pytanie czy najnowsza Gargoyla ma wgrane moduły z IPSEC bo nie działa racoon.

Mam taki komunikat

pfkey_open: Address family not supported by protocol

Z tego co wyczytałem to jest brak modułów od ipseca.

Wydaje mi się, że będzie już wszystko działać. Teraz mogę już odpalić plik setkey.conf (to faktycznie po jego uruchomieniu przestawała działać sieć).
Jednak na moje oko wina leżała po stronie pokrywających się lanów. Mój 10.0.210.0/24 i tunel z 10.0.0.0/8. Po zmianie mojej sieci na 192.168.100.1 plik się odpala a połączenie z routerkiem dalej jest.

Teraz zagadka dla bardziej wtajemniczonych dlaczego tak się dzieje. Mam w pracy zestawionych 6 tuneli w taki sposób że sieci się pokrywają i tam wszystko działa, jednak jest to na oryginalnym sofcie z D-Linka.

TP-Link Archer C5 + Dysk + racoon

7 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: Po instalacji racoon nie pinguje adresu lokalnego routerka z LAN

To nie tak. Łącząc dwie podsieci powinno się dać :
1. albo dwie różne sieci
2. Albo jedną sieć podzieloną na dwie podsieci (aby się nie pokrywała)

Wszystko zależny od tego jak to jest zrobione na dlinkach. Mogli wymyślić coś swojego.
Dałoby się dojść co ale trzeba włączyć racoon w tryb debugu i obejrzeć jakie ida komunikaty.
Najprostszy test odpal tcpdump i zobacz jak banglają pakiety

Co do twojego problemu to ipsec po prostu nie wiedział gdzie ma wysłać/odebrać pakiety. Przecież sieć /24 mieści się w /8
Mogłeś np. dopisać kilka reguł dla każdej z podsieci z drugiej strony tunelu ale w masce /24 Wtedy powinno działać.

Nawet jak robi się routing w routerach to trzeba wyłączyć sumaryzację bo inaczej pakiety nie będą przechodziły.

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

8 Odpowiedź przez edd82 (edytowany przez edd82 2011-09-02 18:50:23)

  • edd82
  • Użytkownik
  • Nieaktywny
  • Skąd: Zabrze
  • Zarejestrowany: 2011-08-30
  • Posty: 30

Odp: Po instalacji racoon nie pinguje adresu lokalnego routerka z LAN

Dokładnie to ją łącze się z juniperem ssg5. Dlinki też się z nim łączą. Z jubilera jest połączenie do sieci 10.97.0.0/16. Na juniperze jest sieć 10.0.0.0/24. Na dlinkach są sieci 10.0.x.0/24.
Z dlinkow jest połączenie vpn do ssg5. Sieć lokalna to 10.0.*.0/24 sieć zdalna to 10.0.0.0/8. I dzięki temu mamy połączenie z siecią 10.97.0.0/16.
Na dlinkach jest vpn na ipsec bardzo podobnie zrealizowane do tego co mam na racoonie.

Najdziwniejsze jest to, że host z hostem się komunikowaly. Natomiast nie było połączenia tylko z mojej sieci do routerka, a z sieci zdalnej połączenie było bez problemów. Może musiałbym jedynie dopisać jakiś routing albo zasady w firewallu, ale niestety nie znam się aż tak bardzo na linuxie.

TP-Link Archer C5 + Dysk + racoon

9 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: Po instalacji racoon nie pinguje adresu lokalnego routerka z LAN

no to dopisz w konsoli na próbę jeszcze to
iptables -I FORWARD --dst 10.0.0.0/8 -j ACCEPT
iptables -i FORWARD --src 10.0.0.0/8 -j ACCEPT

i zobacz wtedy

trzeba by było jeszcze nata przeanalizować bo tam może być jeszcze myk. Musiałbyś tablice swoje pokazać

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona

10 Odpowiedź przez lukaszp

  • Zarejestrowany: 2011-02-02
  • Posty: 61

Odp: Po instalacji racoon nie pinguje adresu lokalnego routerka z LAN

Cześć kolego,
Ja walczyłem z racoonem i niestety nie udało mi się go zmusić do poprawnej pracy.
Zmieniłem raconna na strongswan'a i muszę powiedzieć, że zadziałało i jest również proste w konfiguracji.
Bardzo pomocna była strona kolegi RPC, ale racoon'a nie okiełznałem.
Także polecam sprawdzić strongswana.

Pozdrawiam

Łukasz

11 Odpowiedź przez edd82

  • edd82
  • Użytkownik
  • Nieaktywny
  • Skąd: Zabrze
  • Zarejestrowany: 2011-08-30
  • Posty: 30

Odp: Po instalacji racoon nie pinguje adresu lokalnego routerka z LAN

Udało mi się znaleźć trochę czasu i wymęczyłem racoona.

Zgodnie z informacją problem leżał po stronie setkey.conf

Zmodyfikowałem go w taki sposób i wszystko bangla jak należy.

#!/usr/sbin/setkey -f

flush;
spdflush;

#
spdadd 10.0.210.0/24 10.0.0.0/24 any -P out ipsec
esp/tunnel/178.235.xx-81.18.xx/require;

spdadd 10.0.0.0/24 10.0.210.0/24 any -P in ipsec
esp/tunnel/81.18.xx-178.235.xx/require;

#
spdadd 10.0.210.0/24 10.0.0.0/17 any -P out ipsec
esp/tunnel/178.235.xx-81.18.xx/require;

spdadd 10.0.0.0/17 10.0.210.0/24 any -P in ipsec
esp/tunnel/81.18.xx-178.235.xx/require;


#
spdadd 10.0.210.0/24 10.97.0.0/24 any -P out ipsec
esp/tunnel/178.235.xx-81.18.xx/require;

spdadd 10.97.0.0/24 10.0.210.0/24 any -P in ipsec
esp/tunnel/81.18.xx-178.235.xx/require;
TP-Link Archer C5 + Dysk + racoon

12 Odpowiedź przez rpc

  • rpc
  • Użytkownik
  • Nieaktywny
  • Skąd: Wolbórz
  • Zarejestrowany: 2009-11-02
  • Posty: 581

Odp: Po instalacji racoon nie pinguje adresu lokalnego routerka z LAN

@lukaszp

Pamiętam tamtą dyskusję. Mam zestawione cisco z racoon i pracuje poprawnie smile Oczywiście w przeciwieństwie do tego gościa coś rozmawiał dało się ustawić phase1 i phase2 oddzielnie - znaczy się lifetime (u mnie też wykładowcy twierdzili, że jest tylko jeden lifetime ale poszperałem w necie i jednak są dwa). A domyślnie jest 3600 w cisco więc po godzinie miałeś zonka.

crypto isakmp policy 10
 encr 3des
 authentication pre-share
 group 2
 lifetime 28800

a phase2 jest domyślnie na 3600 więc nic nie zmieniałem

@edd82
no i wywaliłeś maskę /8 i dobrze bo to za wiele hostów i tylko same problemy.

Pozdrawiam
Rafał
http://rpc.one.pl
http://openrouter.info

rpc's Strona