Re: No puedo conectar a ipsec desde debian squeeze

[Maykel Franco Hernández <maykel@maykel.sytes.net>]

El 2012-08-01 14:26, Maykel Franco Hernández escribió:
> Hola muy buenas, he seguido el siguiente tutorial para conectarme a
> una vpn ipsec remota, la cual me han pasado los datos. He seguido 
> este
> tutorial:
>
> http://wiki.debian.org/IPsec
>
> Lo he dejado bien configurado, con la particuliaridad de que el
> servidor ipsec al que me tengo que conectar, en la segunda fase me
> obliga a ponerme una ip como local network diferente a la de mi lan.
> Lo he probado en pfsense y no me dejaba ni conectar a ipsec porque
> sólo te deja con la "local network"(fase 2) de la ip de mi lan.
>
> He decidido probarlo en debian squeeze y he obtenido el mismo 
> resultado...
>
>
> Aug  1 14:16:41 debian-vpn-ipsec racoon: INFO: unsupported PF_KEY
> message REGISTER
> Aug  1 14:16:41 debian-vpn-ipsec racoon: INFO: unsupported PF_KEY
> message REGISTER
> Aug  1 14:16:43 debian-vpn-ipsec racoon: INFO: unsupported PF_KEY
> message REGISTER
> Aug  1 14:16:43 debian-vpn-ipsec racoon: ERROR: libipsec failed pfkey
> check (Invalid SA type)
> Aug  1 14:16:43 debian-vpn-ipsec racoon: INFO: unsupported PF_KEY
> message REGISTER
> Aug  1 14:16:43 debian-vpn-ipsec racoon: ERROR: libipsec failed pfkey
> check (Invalid SA type)
>
>
> No sé por dónde pueden venir los tiros, pero he montado muchas vpn
> con ipsec con la particuliaridad de que en "local network" de la 
> fase2
> ponía la ip de mi interface LAN y no una especifica que me indica el
> cliente.
>
> Haber si alguien me puede hechar un cable de porque no se
> conecta...en los logs no aparece mucho más....
>
> Saludos y gracias.


Pongo los archivos de configuración, no sé que estoy haciendo mal...





/etc/racoon/racoon.conf


path pre_shared_key "/etc/racoon/psk.txt";
path certificate "/etc/racoon/certs";


remote 213.124.69.11
{
        ph1id 4;
        exchange_mode main;
        my_identifier address 91.120.167.116;
        peers_identifier address 91.120.167.116;
        ike_frag on;
        generate_policy = off;
        initial_contact = on;
        nat_traversal = on;


        dpd_delay = 10;
        dpd_maxfail = 5;
        support_proxy on;
        proposal_check claim;

proposal
        {
                authentication_method pre_shared_key;
                encryption_algorithm 3des;
                hash_algorithm sha1;
                dh_group 2;
                lifetime time 28800 secs;
        }
}


sainfo address 10.247.176.173 any subnet 10.245.33.193/32 any
{
        remoteid 4;
        encryption_algorithm 3des;
        authentication_algorithm hmac_sha1;

        lifetime time 3600 secs;
        compression_algorithm deflate;
}


Aqui es donde comento que el address me obliga el cliente a ponerme ése 
rango de ip local como "local network" en la fase2...


/etc/ipsec-tools.conf

flush;
spdflush;

spdadd 10.247.176.173/32 10.245.33.193/32 any -P out ipsec
           esp/tunnel/91.120.167.116-213.124.69.11/require;

spdadd 10.245.33.193/32 10.247.176.173/32 any -P in ipsec
           esp/tunnel/213.124.69.11-91.120.167.116/require;


La pre-shared-key la tengo guardada en el psk.txt

SERVICIOS:

/etc/init.d/setkey restart
/etc/init.d/racoon restart


Alguien me puede hechar un cable??