Re: ipsec + racoon problem

To: debian-russian@lists.debian.org
Subject: Re: ipsec + racoon problem
From: Peter Teslenko <smartchecker@gmail.com>
Date: Mon, 08 Feb 2010 13:12:50 +0300
Message-id: <[🔎] 4B6FE3A2.8080804@gmail.com>
In-reply-to: <[🔎] 4B6FB849.30607@korona-auto.com>
References: <[🔎] 4B6D57C9.7000806@korona-auto.com> <[🔎] 4B6F94E7.4020903@nskes.ru> <[🔎] 4B6FB849.30607@korona-auto.com>

Korona Auto Ltd./ Andrey N. Prokofiev wrote:

День добрый!
Спасибо что откликнулись. Ночь в выходные все перепробовал -- не
работает. В итоге отказался от сертификатов и настроил через
racoon-tool. Но результат нулевой. Пакетов по 500 порту нету. Также как
и пакетов по esp протоколу.
Кстати, а активность ракуна должна проявляться независимо от активности
ракуна на другой стороне? если на одном конце ракун не запущен, то хотя
пакеты ah должен быть?


Вот рабочие конфы от туннеля. Второй стороной туннель упирается в кошку, но это не важно.
Debian-debian работает так же.
Маршруты в/из туннеля получаются через OSPF (quagga).

/etc/network/interfaces
==========[ /etc/network/interfaces ]=====================================================
auto tun0
iface tun0 inet static
        address 192.168.100.6
        netmask 255.255.255.252
        broadcast 192.168.100.7
        up ifconfig tun0 multicast
        pre-up ip tunnel add tun0 mode gre local 217.119.xxx.226 remote 80.249.xxx.194 ttl 255
        pointopoint 192.168.100.5
        post-up ip link set tun0 mtu 1400
        post-down ip link set tun0 down
        post-down ip tunnel del tun0


==========[ /etc/ipsec-tools.conf ]=====================================================
#!/usr/sbin/setkey -f

# Flush the SAD and SPD
flush;
spdflush;


spdadd 217.119.xxx.226 80.249.xxx.194 gre -P out ipsec
        esp/transport/217.119.xxx.226-80.249.xxx.194/require;

spdadd 80.249.xxx.194 217.xxx.24.226 gre -P in ipsec
        esp/transport/80.249.xxx.194-217.119.xxx.226/require;

==========[ /etc/racoon/racoon.conf ]=====================================================

remote 80.249.xxx.194 {
        my_identifier address 217.119.xxx.226;
        exchange_mode main,aggressive;
        doi ipsec_doi;
        proposal_check obey;

        proposal {
                encryption_algorithm 3des;
                hash_algorithm md5;
                authentication_method pre_shared_key;
                dh_group modp1024;
                lifetime time 3600 sec;
        }
}
sainfo anonymous {
        pfs_group 2;
        encryption_algorithm 3des;
        authentication_algorithm hmac_md5;
        compression_algorithm deflate;
        lifetime time 3600 sec;

}


--
Peter Teslenko
Jabber: peter@jabber.mcicb.ru

Reply to:

References:
- ipsec + racoon problem
  - From: andy <andy@korona-auto.com>
- Re: ipsec + racoon problem
  - From: Andrey Lyubimets <andrey@nskes.ru>
- Re: ipsec + racoon problem
  - From: "Korona Auto Ltd./ Andrey N. Prokofiev" <andy@korona-auto.com>

Prev by Date: Re: [OFF] Почему все придумывают свою систему web-аутентификации
Next by Date: Re: unsabscribe
Previous by thread: Re: ipsec + racoon problem
Next by thread: ipsec + racoon problem
Index(es):
- Date
- Thread