CheckPoint Safe@Office 500W 0

GNU/Linux, UNIX, Open Source → Программное обеспечение

OlegL написал 15 января 2011 года в 16:58 (3025 просмотров) Ведет себя как мужчина; открыл 14 тем в форуме, оставил 61 комментарий на сайте.

Имеется CheckPoint Safe@Office, настроенный принимать L2TP/IPSEC соединения с VPN сервером. Подсоединяться надо из Linux (у меня Slackware). Делаю так: ставлю OpenSwan (http://www.openswan.org/) и xl2tpd (http://www.xelerance.com/services/software/xl2tpd/). Запускаю:

# /etc/rc.d/rc.ipsec start

ipsec_setup: Starting Openswan IPsec U2.6.32/K2.6.33.4-smp…

#ipsec verify

Checking for IPsec support in kernel [OK]

SAref kernel support [N/A]

NETKEY: Testing for disabled ICMP send_redirects [OK]

NETKEY detected, testing for disabled ICMP accept_redirects [OK]

Hardware RNG detected, testing if used properly [OK]

Checking that pluto is running [OK]

Pluto listening for IKE on udp 500 [OK]

Pluto listening for NAT-T on udp 4500 [OK]

Two or more interfaces found, checking IP forwarding [OK]

Checking NAT and MASQUERADEing [OK]

Checking for 'ip' command [OK]

Checking /bin/sh is not /bin/dash [OK]

Checking for 'iptables' command [OK]

Opportunistic Encryption Support [DISABLED]

# ipsec auto --verbose --up office

002 «Office» #1: initiating Main Mode

104 «Office» #1: STATE_MAIN_I1: initiate

003 «Office» #1: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n] method set to=106

002 «Office» #1: enabling possible NAT-traversal with method draft-ietf-ipsec-nat-t-ike-05

002 «Office» #1: transition from state STATE_MAIN_I1 to state STATE_MAIN_I2

106 «Office» #1: STATE_MAIN_I2: sent MI2, expecting MR2

003 «Office» #1: NAT-Traversal: Result using draft-ietf-ipsec-nat-t-ike-02/03: i am NATed

002 «Office» #1: transition from state STATE_MAIN_I2 to state STATE_MAIN_I3

108 «Office» #1: STATE_MAIN_I3: sent MI3, expecting MR3

002 «Office» #1: Main mode peer ID is ID_IPV4_ADDR: 'XXX.XXX.XXX.XXX'

002 «Office» #1: transition from state STATE_MAIN_I3 to state STATE_MAIN_I4

004 «Office» #1: STATE_MAIN_I4: ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=oakley_3des_cbc_192 prf=oakley_sha group=modp1536}

002 «Office» #2: initiating Quick Mode PSK+ENCRYPT+TUNNEL+UP+IKEv2ALLOW+SAREFTRACK {using isakmp#1 msgid:82d02e4d proposal=3DES(3)_192-MD5(1)_128 pfsgroup=no-pfs}

117 «Office» #2: STATE_QUICK_I1: initiate

002 «Office» #2: transition from state STATE_QUICK_I1 to state STATE_QUICK_I2

004 «Office» #2: STATE_QUICK_I2: sent QI2, IPsec SA established tunnel mode {ESP=>0×26839c24 <0×4c12cd83 xfrm=3DES_0-HMAC_MD5 NATOA=none NATD=none DPD=none}

Вроде всё хорошо, туннель создан, вхожу в Safe@Office через SSH, всё работает, но через пару команд соединение прерывается. Смотрю на стороне Safe@Office — очень много ошибок «Encrypion error». Соответственно, когда хочу выполнить следующую фазу через xl2tpd, то ничего не получается, те же самые ошибки декодирования:

# /etc/rc.d/rc.xl2tpd start

Starting xl2tpd:

xl2tpd[7365]: xl2tpd version xl2tpd-1.2.4 started on laptop PID:7365

xl2tpd[7365]: Listening on IP address 0.0.0.0, port 1701

# echo «c office» > /var/run/xl2tpd/l2tp-control

Далее xl2tpd жалуется, что израсходовал максимальное число попыток соединения. На стороне Safe@Office всё те же «Encryption error». Наверняка, всё дело в несовпадении каких-то параметров (MTU, фрагментация пакетов). С родным клиентом у Safe@Office всё в порядке, но он работает исключительно под Windows. Может быть кто-нибудь сталкивался с такой ситуацией?
# /etc/ipsec.conf

version 2.0

config setup

interfaces=%defaultroute

plutodebug=«control»

protostack=netkey

nat_traversal=yes

oe=off

conn %default

keyingtries=3

keylife=3600s

ikelifetime=21600s

conn Office