forum.opennet.ru - "Нестабильная работа IPSec канала между PIX и FreeBSD 6" (7)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"Нестабильная работа IPSec канала между PIX и FreeBSD 6"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"Нестабильная работа IPSec канала между PIX и FreeBSD 6"
Сообщение от Pavel (??) on 13-Июн-06, 11:49
Всем привет. Столкнулся с такой проблемой: Есть несколько офисов, подключенных к головному по IPSec/racoon Головная - циска филиалы: часть машин FreeBSD 6.0-RELEASE-p6, ipsec-tools-0.6.5_1 остальные FreeBSD 5.3-RELEASE-p5, racoon-20050510a Вот на 5.3 все работает как часы. а на 6-ке началась вот такая катавасия (конфигурация настроек ракуна и тунеля одинаковые, кроме систем и версий) Как собстно выглядит проблема. После поднятия тоннеля, он живет какое-то время, потом делает сброс и больше не поднимает его, до тех пор пока не будет сделан запрос из филиала в головной офис по внутренней сети. Как только появляется запрос, канал снова поднимается нормально, но потом опять падает, и ждет запроса. На какие либо запросы из головного офиса, действий ПОЧТИ никаких, только мат сплошной в логи на то, что нет связки spi. ПОЧТИ значит, что иногда он реагирует, как видно по логам, раз в час, и поднимает тоннель по in запросу от циски. Может кто сталкивался, и может ответить что из всей этой связки пудрит мозги фря, ракун или ещё что. ============================================================================== Jun 13 05:46:37 myhost racoon: INFO: respond new phase 1 negotiation: freebsd[500]<=>ciscopix[500] Jun 13 05:46:37 myhost racoon: INFO: begin Identity Protection mode. Jun 13 05:46:37 myhost racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-07 Jun 13 05:46:37 myhost racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03 Jun 13 05:46:37 myhost racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02 Jun 13 05:46:37 myhost racoon: INFO: received Vendor ID: CISCO-UNITY Jun 13 05:46:37 myhost racoon: INFO: received Vendor ID: DPD Jun 13 05:46:37 myhost racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt Jun 13 05:46:37 myhost racoon: WARNING: ignore INITIAL-CONTACT notification, because it is only accepted after phase1. Jun 13 05:46:37 myhost racoon: INFO: ISAKMP-SA established freebsd[500]-ciscopix[500] spi:3ad39bfeca4e7bd0:e0f354e23e9a2afe Jun 13 05:46:37 myhost racoon: INFO: respond new phase 2 negotiation: freebsd[0]<=>ciscopix[0] Jun 13 05:46:37 myhost kernel: WARNING: pseudo-random number generator used for IPsec processing Jun 13 05:46:37 myhost racoon: INFO: IPsec-SA established: ESP/Tunnel ciscopix[0]->freebsd[0] spi=59922166(0x39256f6) Jun 13 05:46:37 myhost racoon: INFO: IPsec-SA established: ESP/Tunnel freebsd[0]->ciscopix[0] spi=635323422(0x25de441e) Jun 13 06:34:38 myhost racoon: INFO: IPsec-SA expired: ESP/Tunnel freebsd[0]->ciscopix[0] spi=635323422(0x25de441e) Jun 13 06:34:38 myhost racoon: INFO: IPsec-SA expired: ESP/Tunnel ciscopix[0]->freebsd[0] spi=59922166(0x39256f6) Jun 13 06:44:31 myhost racoon: INFO: respond new phase 2 negotiation: freebsd[0]<=>ciscopix[0] Jun 13 06:44:31 myhost racoon: INFO: IPsec-SA established: ESP/Tunnel ciscopix[0]->freebsd[0] spi=251828307(0xf029853) Jun 13 06:44:31 myhost racoon: INFO: IPsec-SA established: ESP/Tunnel freebsd[0]->ciscopix[0] spi=630362017(0x25928fa1) Jun 13 06:46:36 myhost racoon: INFO: purging ISAKMP-SA spi=3ad39bfeca4e7bd0:e0f354e23e9a2afe. Jun 13 06:46:36 myhost racoon: INFO: purged IPsec-SA spi=630362017. Jun 13 06:46:36 myhost racoon: INFO: purged IPsec-SA spi=635323422. Jun 13 06:46:36 myhost racoon: INFO: purged IPsec-SA spi=251828307. Jun 13 06:46:36 myhost racoon: INFO: purged IPsec-SA spi=59922166. Jun 13 06:46:36 myhost racoon: INFO: purged ISAKMP-SA spi=3ad39bfeca4e7bd0:e0f354e23e9a2afe. Jun 13 06:46:37 myhost kernel: IPv4 ESP input: no key association found for spi 251828307 Jun 13 06:46:37 myhost racoon: INFO: ISAKMP-SA deleted freebsd[500]-ciscopix[500] spi:3ad39bfeca4e7bd0:e0f354e23e9a2afe Jun 13 06:46:38 myhost kernel: IPv4 ESP input: no key association found for spi 251828307 Jun 13 06:46:39 myhost kernel: IPv4 ESP input: no key association found for spi 251828307 Jun 13 06:46:40 myhost kernel: IPv4 ESP input: no key association found for spi 251828307 .... Jun 13 07:41:35 myhost kernel: IPv4 ESP input: no key association found for spi 251828307 Jun 13 07:42:05 myhost racoon: INFO: respond new phase 1 negotiation: freebsd[500]<=>ciscopix[500] Jun 13 07:42:05 myhost racoon: INFO: begin Identity Protection mode. Jun 13 07:42:05 myhost racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-07 Jun 13 07:42:05 myhost racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03 Jun 13 07:42:05 myhost racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02 Jun 13 07:42:05 myhost racoon: INFO: received Vendor ID: CISCO-UNITY Jun 13 07:42:05 myhost racoon: INFO: received Vendor ID: DPD Jun 13 07:42:05 myhost racoon: INFO: received Vendor ID: draft-ietf-ipsra-isakmp-xauth-06.txt Jun 13 07:42:05 myhost racoon: INFO: ISAKMP-SA established freebsd[500]-ciscopix[500] spi:3ad39bfe7053ed38:438d6d760fae08f9 Jun 13 07:42:05 myhost racoon: INFO: respond new phase 2 negotiation: freebsd[0]<=>ciscopix[0] Jun 13 07:42:05 myhost racoon: INFO: IPsec-SA established: ESP/Tunnel ciscopix[0]->freebsd[0] spi=237833446(0xe2d0ce6) Jun 13 07:42:05 myhost racoon: INFO: IPsec-SA established: ESP/Tunnel freebsd[0]->ciscopix[0] spi=1235321953(0x49a18461) Jun 13 08:30:06 myhost racoon: INFO: IPsec-SA expired: ESP/Tunnel freebsd[0]->ciscopix[0] spi=1235321953(0x49a18461) Jun 13 08:30:06 myhost racoon: INFO: IPsec-SA expired: ESP/Tunnel ciscopix[0]->freebsd[0] spi=237833446(0xe2d0ce6) Jun 13 08:38:56 myhost racoon: INFO: respond new phase 2 negotiation: freebsd[0]<=>ciscopix[0] Jun 13 08:38:56 myhost racoon: INFO: IPsec-SA established: ESP/Tunnel ciscopix[0]->freebsd[0] spi=73754785(0x46568a1) Jun 13 08:38:56 myhost racoon: INFO: IPsec-SA established: ESP/Tunnel freebsd[0]->ciscopix[0] spi=2054021847(0x7a6de2d7) Jun 13 08:42:05 myhost racoon: INFO: purging ISAKMP-SA spi=3ad39bfe7053ed38:438d6d760fae08f9. Jun 13 08:42:05 myhost racoon: INFO: purged IPsec-SA spi=2054021847. Jun 13 08:42:05 myhost racoon: INFO: purged IPsec-SA spi=1235321953. Jun 13 08:42:05 myhost racoon: INFO: purged IPsec-SA spi=73754785. Jun 13 08:42:05 myhost racoon: INFO: purged IPsec-SA spi=237833446. Jun 13 08:42:05 myhost racoon: INFO: purged ISAKMP-SA spi=3ad39bfe7053ed38:438d6d760fae08f9. Jun 13 08:42:06 myhost racoon: INFO: ISAKMP-SA deleted freebsd[500]-ciscopix[500] spi:3ad39bfe7053ed38:438d6d760fae08f9 Jun 13 08:42:36 myhost kernel: IPv4 ESP input: no key association found for spi 73754785 Jun 13 08:43:35 myhost kernel: IPv4 ESP input: no key association found for spi 73754785 Jun 13 08:43:45 myhost kernel: IPv4 ESP input: no key association found for spi 73754785 .... ==============================================================================
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

Нестабильная работа IPSec канала между PIX и FreeBSD 6, asser, 15:50 , 13-Июн-06, (1)

Нестабильная работа IPSec канала между PIX и FreeBSD 6, Pavel, 10:24 , 14-Июн-06, (2)

Нестабильная работа IPSec канала между PIX и FreeBSD 6, asser, 11:02 , 14-Июн-06, (3)

Нестабильная работа IPSec канала между PIX и FreeBSD 6, Pavel, 12:19 , 14-Июн-06, (4)

Нестабильная работа IPSec канала между PIX и FreeBSD 6, asser, 12:31 , 14-Июн-06, (5)

Нестабильная работа IPSec канала между PIX и FreeBSD 6, volodya, 17:21 , 17-Июн-06, (6)

Нестабильная работа IPSec канала между PIX и FreeBSD 6, Pavel, 10:23 , 20-Июн-06, (7)

Сообщения по теме [Сортировка по времени, UBB]

1. "Нестабильная работа IPSec канала между PIX и FreeBSD 6"

Сообщение от asser on 13-Июн-06, 15:50

Ну конфиги что ли покажи...

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

2. "Нестабильная работа IPSec канала между PIX и FreeBSD 6"

Сообщение от Pavel (??) on 14-Июн-06, 10:24

>Ну конфиги что ли покажи...

A.A.A.A - филиал
B.B.B.B - циска
======================================
spdadd 172.16.52.0/24 172.16.0.0/20 any -P out
ipsec esp/tunnel/A.A.A.A-B.B.B.B/require;
spdadd 172.16.0.0/20 172.16.52.0/24 any -P in
ipsec esp/tunnel/B.B.B.B-A.A.A.A/require;
======================================
path include "/usr/local/etc/racoon" ;
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
log notify;
padding
{
   maximum_length 20;
   randomize off;
   strict_check off;
   exclusive_tail off;
}
listen
{
   isakmp  A.A.A.A [500];
}
timer
{
   counter 5;
   interval 20 sec;
   persend 1;
   phase1 30 sec;
   phase2 15 sec;
}
remote anonymous
{
   exchange_mode main,aggressive;
   doi ipsec_doi;
   situation identity_only;
   nonce_size 16;
   lifetime time 24 hour;
   initial_contact on;
   support_proxyi on;
   proposal_check obey;
   proposal {
      encryption_algorithm aes;
      hash_algorithm md5;
      authentication_method pre_shared_key ;
      dh_group 2 ;
   }
}
sainfo anonymous
{
   pfs_group 2;
   lifetime time 24 hour;
   encryption_algorithm aes ;
   authentication_algorithm hmac_md5;
   compression_algorithm deflate ;
}
======================================
em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=b<RXCSUM,TXCSUM,VLAN_MTU>
        inet 172.16.52.1 netmask 0xffffff00 broadcast 172.16.52.255
        ether xx:xx:xx:xx:xx:xx
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500
        options=8<VLAN_MTU>
        inet A.A.A.A netmask 0xfffffffc broadcast A.A.A.3
        ether xx:xx:xx:xx:xx:xx
        media: Ethernet autoselect (100baseTX <full-duplex>)
        status: active
pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33208
pfsync0: flags=0<> mtu 2020
lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384
        inet 127.0.0.1 netmask 0xff000000
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
        tunnel inet A.A.A.A --> B.B.B.B
        inet 172.16.52.1 --> 10.254.0.4 netmask 0xffffffff
======================================

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

3. "Нестабильная работа IPSec канала между PIX и FreeBSD 6"

Сообщение от asser on 14-Июн-06, 11:02

Угу. Вроде нормально выглядит. Конфиг на циске?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

4. "Нестабильная работа IPSec канала между PIX и FreeBSD 6"

Сообщение от Pavel (??) on 14-Июн-06, 12:19

>Угу. Вроде нормально выглядит. Конфиг на циске?
а смысл?
Прикол в том! что так делает только 6.0 в связке с ракуном ipsec-tools!!!!!
с 5.3 в связке на KAME racoon IKE daemon на тех же конфигах!!! вообще никаких проблем.
остается выяснить кто малину обгадил, 6.0 или ipsec-tools

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

5. "Нестабильная работа IPSec канала между PIX и FreeBSD 6"

Сообщение от asser on 14-Июн-06, 12:31

ну так приведи к единому виду, обнови FreeBSD до 5.5, порты. racoon там уже нет, только ipsec-tools. и настраивай в однородной системе все. хотя, если работает, то лучше не трогать... эксперименты лучше на тестовой машине

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

6. "Нестабильная работа IPSec канала между PIX и FreeBSD 6"

Сообщение от volodya (??) on 17-Июн-06, 17:21

я в ядре убери IPSEC, а включи FAST_IPSEC и псевдо устройста crypto и все получится

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

7. "Нестабильная работа IPSec канала между PIX и FreeBSD 6"

Сообщение от Pavel (??) on 20-Июн-06, 10:23

Т.е. отказаться от racoon и поставить железку, выход супер
но не в моем случае.
В общем заменил ipsec-tools на racoon-20050510a :(
то же не выход конечно, но хоть работает стабильно теперь

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "Нестабильная работа IPSec канала между PIX и FreeBSD 6"
Сообщение от asser on 13-Июн-06, 15:50
Ну конфиги что ли покажи...
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	2. "Нестабильная работа IPSec канала между PIX и FreeBSD 6"
	Сообщение от Pavel (??) on 14-Июн-06, 10:24
	>Ну конфиги что ли покажи... A.A.A.A - филиал B.B.B.B - циска ====================================== spdadd 172.16.52.0/24 172.16.0.0/20 any -P out ipsec esp/tunnel/A.A.A.A-B.B.B.B/require; spdadd 172.16.0.0/20 172.16.52.0/24 any -P in ipsec esp/tunnel/B.B.B.B-A.A.A.A/require; ====================================== path include "/usr/local/etc/racoon" ; path pre_shared_key "/usr/local/etc/racoon/psk.txt" ; log notify; padding { maximum_length 20; randomize off; strict_check off; exclusive_tail off; } listen { isakmp A.A.A.A [500]; } timer { counter 5; interval 20 sec; persend 1; phase1 30 sec; phase2 15 sec; } remote anonymous { exchange_mode main,aggressive; doi ipsec_doi; situation identity_only; nonce_size 16; lifetime time 24 hour; initial_contact on; support_proxyi on; proposal_check obey; proposal { encryption_algorithm aes; hash_algorithm md5; authentication_method pre_shared_key ; dh_group 2 ; } } sainfo anonymous { pfs_group 2; lifetime time 24 hour; encryption_algorithm aes ; authentication_algorithm hmac_md5; compression_algorithm deflate ; } ====================================== em0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 options=b<RXCSUM,TXCSUM,VLAN_MTU> inet 172.16.52.1 netmask 0xffffff00 broadcast 172.16.52.255 ether xx:xx:xx:xx:xx:xx media: Ethernet autoselect (100baseTX <full-duplex>) status: active fxp0: flags=8843<UP,BROADCAST,RUNNING,SIMPLEX,MULTICAST> mtu 1500 options=8<VLAN_MTU> inet A.A.A.A netmask 0xfffffffc broadcast A.A.A.3 ether xx:xx:xx:xx:xx:xx media: Ethernet autoselect (100baseTX <full-duplex>) status: active pflog0: flags=141<UP,RUNNING,PROMISC> mtu 33208 pfsync0: flags=0<> mtu 2020 lo0: flags=8049<UP,LOOPBACK,RUNNING,MULTICAST> mtu 16384 inet 127.0.0.1 netmask 0xff000000 gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280 tunnel inet A.A.A.A --> B.B.B.B inet 172.16.52.1 --> 10.254.0.4 netmask 0xffffffff ======================================
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	3. "Нестабильная работа IPSec канала между PIX и FreeBSD 6"
	Сообщение от asser on 14-Июн-06, 11:02
	Угу. Вроде нормально выглядит. Конфиг на циске?
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	4. "Нестабильная работа IPSec канала между PIX и FreeBSD 6"
	Сообщение от Pavel (??) on 14-Июн-06, 12:19
	>Угу. Вроде нормально выглядит. Конфиг на циске? а смысл? Прикол в том! что так делает только 6.0 в связке с ракуном ipsec-tools!!!!! с 5.3 в связке на KAME racoon IKE daemon на тех же конфигах!!! вообще никаких проблем. остается выяснить кто малину обгадил, 6.0 или ipsec-tools
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	5. "Нестабильная работа IPSec канала между PIX и FreeBSD 6"
	Сообщение от asser on 14-Июн-06, 12:31
	ну так приведи к единому виду, обнови FreeBSD до 5.5, порты. racoon там уже нет, только ipsec-tools. и настраивай в однородной системе все. хотя, если работает, то лучше не трогать... эксперименты лучше на тестовой машине
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

6. "Нестабильная работа IPSec канала между PIX и FreeBSD 6"
Сообщение от volodya (??) on 17-Июн-06, 17:21
я в ядре убери IPSEC, а включи FAST_IPSEC и псевдо устройста crypto и все получится
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх


	7. "Нестабильная работа IPSec канала между PIX и FreeBSD 6"
	Сообщение от Pavel (??) on 20-Июн-06, 10:23
	Т.е. отказаться от racoon и поставить железку, выход супер но не в моем случае. В общем заменил ipsec-tools на racoon-20050510a :( то же не выход конечно, но хоть работает стабильно теперь
	Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]