nixp.ru v3.0

24 января 2017,
вторник,
03:52:55 MSK

DevOps с компанией «Флант»
Аватар пользователя OlegL
OlegL написал 15 января 2011 года в 16:58 (2108 просмотров) Ведет себя как мужчина; открыл 14 тем в форуме, оставил 60 комментариев на сайте.

 

Имеется CheckPoint Safe@Office, настроенный принимать L2TP/IPSEC соединения с VPN сервером. Подсоединяться надо из Linux (у меня Slackware). Делаю так: ставлю OpenSwan (http://www.openswan.org/) и xl2tpd (http://www.xelerance.com/services/software/xl2tpd/). Запускаю:

# /etc/rc.d/rc.ipsec start

ipsec_setup: Starting Openswan IPsec U2.6.32/K2.6.33.4-smp…

#ipsec verify

Checking for IPsec support in kernel                                           [OK]

SAref kernel support                                                                 [N/A]

NETKEY:  Testing for disabled ICMP send_redirects                   [OK]

NETKEY detected, testing for disabled ICMP accept_redirects     [OK]

Hardware RNG detected, testing if used properly                        [OK]

Checking that pluto is running                                                     [OK]

Pluto listening for IKE on udp 500                                              [OK]

Pluto listening for NAT-T on udp 4500                                        [OK]

Two or more interfaces found, checking IP forwarding                  [OK]

Checking NAT and MASQUERADEing                                         [OK]

Checking for 'ip' command                                                         [OK]

Checking /bin/sh is not /bin/dash                                                [OK]

Checking for 'iptables' command                                                [OK]

Opportunistic Encryption Support                                                [DISABLED]

# ipsec auto —verbose —up office

002 «Office» #1: initiating Main Mode

104 «Office» #1: STATE_MAIN_I1: initiate

003 «Office» #1: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] method set to=106

002 «Office» #1: enabling possible NAT-traversal with method draft-ietf-ipsec-nat-t-ike-05

002 «Office» #1: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2

106 «Office» #1: STATE_MAIN_I2: sent MI2, expecting MR2

003 «Office» #1: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: i am NATed

002 «Office» #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3

108 «Office» #1: STATE_MAIN_I3: sent MI3, expecting MR3

002 «Office» #1: Main mode peer ID is ID_IPV4_ADDR: 'XXX.XXX.XXX.XXX'

002 «Office» #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4

004 «Office» #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp1536}

002 «Office» #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP+IKEv2ALLOW+SAREFTRACK {using isakmp#1 msgid:82d02e4d proposal=3DES(3)_192-MD5(1)_128 pfsgroup=no-pfs}

117 «Office» #2: STATE_QUICK_I1: initiate

002 «Office» #2: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2

004 «Office» #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0×26839c24 <0×4c12cd83 xfrm=3DES_0-HMAC_MD5 NATOA=none NATD=none DPD=none}

Вроде всё хорошо, туннель создан, вхожу в Safe@Office через SSH, всё работает, но через пару команд соединение прерывается. Смотрю на стороне Safe@Office — очень много ошибок «Encrypion error». Соответственно, когда хочу выполнить следующую фазу через xl2tpd, то ничего не получается, те же самые ошибки декодирования:

# /etc/rc.d/rc.xl2tpd start

Starting xl2tpd:

xl2tpd[7365]: xl2tpd version xl2tpd-1.2.4 started on laptop PID:7365

xl2tpd[7365]: Written by Mark Spencer, Copyright © 1998, Adtran, Inc.

xl2tpd[7365]: Forked by Scott Balmos and David Stipp, © 2001

xl2tpd[7365]: Inherited by Jeff McAdams, © 2002

xl2tpd[7365]: Forked again by Xelerance (www.xelerance.com) © 2006

xl2tpd[7365]: Listening on IP address 0.0.0.0, port 1701

# echo «c office» > /var/run/xl2tpd/l2tp-control

Далее xl2tpd жалуется, что израсходовал максимальное число попыток соединения. На стороне Safe@Office всё те же «Encryption error». Наверняка, всё дело в несовпадении каких-то параметров (MTU, фрагментация пакетов). С родным клиентом у Safe@Office всё в порядке, но он работает исключительно под Windows. Может быть кто-нибудь сталкивался с такой ситуацией?
# /etc/ipsec.conf

version 2.0

config setup

interfaces=%defaultroute

plutodebug=«control»

protostack=netkey

nat_traversal=yes

oe=off

conn %default

keyingtries=3

keylife=3600s

ikelifetime=21600s

conn Office

authby=secret

type=tunnel

forceencaps=no

keyexchange=ike

ike=3des-sha1

phase2=esp

phase2alg=3des-md5

pfs=no

left=%defaultroute

right=XXX.XXX.XXX.XXX

auto=add

conn block

auto=ignore

conn private

auto=ignore

conn private-or-clear

auto=ignore

conn clear-or-private

auto=ignore

conn clear

auto=ignore

conn packetdefault

auto=ignore

ecobeingecobeing.ru
Экология и вегетарианство на благо всем живым существам Планеты.