Попросил меня Юра настроить IPSec туннель с LMT. Однажды я уже этим занимался и у меня есть рабочая конфигурация для openswan. По этому, получив gif c PSK и doc с описанием параметров от LMT, я замерджил в Дженте openswan и все быстренько наконфигурячил. По умолчанию используются aes/sha1 для шифрования, а LMT хочет старый 3des/md5. Волшебные строчки для openswan:
ike=3des-md5-modp1536,3des-md5-modp1024
Однако ничего не заработало – элэмтэшный шифратор выдавал неверный идентификатор:
Aug 2 13:58:57 liberty pluto[19408]: “lmt” #1: we require peer to have ID ‘212.93.100.249’, but peer declares ‘212.93.96.61’
Aug 2 13:58:57 liberty pluto[19408]: “lmt” #1: sending encrypted notification INVALID_ID_INFORMATION to 212.93.100.249:500
На это элэмтэшники заявили что они знают об этой проблеме. Мол, они переходят с одного адреса на другой и бла-бла-бла. Ну и ладно, поставил racoon, не вопрос. И точно, этот, не ругаясь, хавает и туннель вроде поднимается. Но пакеты не проходят… То есть, от нас уходят, а в ответ тишина.
Пишу опять в LMT (все общение происходит исключительно через имэйл – по одному ответу в сутки, не чаще), мол что за хрень ? А они мне – “пакеты идут не через туннель”. Но я то вижу что все пучком. С третьего раза админы LMT воткнули в чем проблема – наш умный Юра записал в договоре два разных IP – один для IPSec шифратора, а второй для доступа к smpp – а сервер-то один и IP у него тоже один ! В общем, после недельной переписки, элэмтэшники пофиксили свой мега брандмауэр под наш единственный IP и все заработало :)
Nu i kak eto končilos?
Toest samaja problema tolka shas nuzna zdelat tunel gatewayA gatewayB i v nih nado zdelat tunel My Public IP C Ih Public IP D i jesho My Public IP E i Ih Public IP F.
Hotjelos izpolzovat FreeBSD. Skompiliroval kernel s opcijami
options IPSEC #IP security
options IPSEC_ESP #IP security (crypto; define w/ IPSEC)
options IPSEC_DEBUG #debug for IP security
Postavil Ipesec-tools installed portversion 0.7
zdelal racoon.conf
#my /usr/local/etc/racoon/psk.txt
B.B.B.B preshared secret
#my /etc/ipsec.conf
spdadd A.A.A.A/32 B.B.B.B/32 any -P out ipsec
esp/tunnel/A.A.A.A-B.B.B.B/require;
spdadd B.B.B.B/32 A.A.A.A/32 any -P in ipsec esp/tunnel/B.B.B.B-A.A.A.A/require;
#My /usr/local/etc/racoon/racoon.conf
path include “/usr/local/etc/racoon” ;
path pre_shared_key “/usr/local/etc/racoon/psk.txt” ;
log debug2;
#
# “padding” defines some parameter of padding. You should not touch these.
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
listen
{
isakmp A.A.A.A [500];
}
timer
{
counter 2; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per send.
phase1 30 sec;
phase2 20 sec;
}
remote anonymous
{
exchange_mode main,base;
my_identifier address A.A.A.A;
lifetime time 1 hour ; # sec,min,hour
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key ;
dh_group 2 ;
}
proposal_check strict;
}
sainfo anonymous
{
pfs_group 2;
lifetime time 12 hour ;
encryption_algorithm 3des;
authentication_algorithm hmac_md5 ;
compression_algorithm deflate ;
}
A vot s /etc/ipsec.conf nemagu razabratsa
#my /etc/ipsec.conf
spdadd A.A.A.A/32 B.B.B.B/32 any -P out ipsec
esp/tunnel/A.A.A.A-B.B.B.B/require;
spdadd B.B.B.B/32 A.A.A.A/32 any -P in ipsec esp/tunnel/B.B.B.B-A.A.A.A/require;
mozet mozite kakuju ta ideju padkinutk?
riga.bsd@gmail.com
Tulamor at minja ;)