Упал канал IPSec, странная ситуация

Статическая и динамическая, протоколы

Упал канал IPSec, странная ситуация

Сообщение S1ash » 07 июл 2012, 03:06

Доброго времени суток
на моей стороне CentOS на удаленной - Циска, за ней два астериска
был настроен тоннель, недавно упал и пошла какая-то билиберда


конфиг racoon:

Код: Выделить всё
path include "/usr/local/etc/";
path pre_shared_key "/usr/local/etc/psk.txt";
#path certificate "/etc/racoon/certs";
#


padding {
        maximum_length 20;
        randomize off;
        strict_check off;
        exclusive_tail off;
}


log debug2;

listen {
        isakmp          my_real_ip [500];

}



remote dest_real_ip {
        exchange_mode main;
        doi ipsec_doi;
        situation identity_only;
        nonce_size 16;
        lifetime time 28800 sec;
#       nat_traversal off;
        passive off;
        proposal_check obey;
        initial_contact on;
        support_proxy on;
        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method pre_shared_key;
                lifetime time 3600 sec;
                dh_group 2;
        }

}

sainfo (address my_lan_ip/29 any address dest_lan_ip/30 any) {
        pfs_group       2;
        lifetime        time 36000 sec;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}


sainfo (address my_lan_ip/29 any address dest_lannet_ip/25 any) {
        pfs_group       2;
        lifetime        time 36000 sec;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}


sainfo anonymous {
        pfs_group       2;
        lifetime        time 36000 sec;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

Конфиг setkey:
Код: Выделить всё
#!/usr/local/sbin/setkey -f

flush;
spdflush;

spdadd dest_lan_ip/30 my_lan_ip/29 any -P in ipsec esp/tunnel/dest_real_ip-my_real_ip/require;

spdadd dest_lannet_ip/25 dest_lan_ip/29 any -P in ipsec esp/tunnel/my_real_ip-dest_real_ip/require;

spdadd my_lan_ip/29 dest_lannet_ip/25 any -P out ipsec esp/tunnel/dest_real_ip-my_real_ip/require;

spdadd my_lan_ip/29 dest_lan_ip/30 any -P out ipsec esp/tunnel/dest_real_ip-my_real_ip/require;


для пояснения:
my_real_ip, dest_real_ip - внешние адреса серверов
my_lan_ipm dest_lan_ip - внутренние адреса серверов
dest_lannet_ip - подсеть с астерисками

ситуация такая:
адреса астерисков x.x.x.16 и x.x.x.35
по идее при маске x.x.x.0/25 должны быть видны оба. раньше работало - сейчас нет
сейчас прописываю в setkey.conf маску /27 вижу хост x.x.x.16
прописываю маску /26 - вижу хост x.x.x.35

удаленная сторона уверяет что ничего в настройках не менялось
уже крыша едет. в чем может быть загвоздка?
Заранее благодарю за помощь
S1ash
проходил мимо
 
Сообщения: 1
Зарегистрирован: 07 июл 2012, 03:03

Re: Упал канал IPSec, странная ситуация

Сообщение root » 11 июл 2012, 11:00

Как то я ковырялся с IPSEC под FreeBSD, но это было уже достаточно давно, пытаюсь вспомнить как это работает :)

Начнем с простого вопроса: А что показывает tcpdump на туннеле ?
С уважением, root

Изображение
------------
www.mega-net.ru - IT аутсорсинг
Аватара пользователя
root
Site Admin
 
Сообщения: 1894
Зарегистрирован: 11 июн 2008, 13:05
Откуда: Moscow, Russia


Вернуться в Маршрутизация / Routing

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 11

cron