Server Admin Авторский блог системного администратора
Доброго всем времени!
Возникла необходимость настроить IPsec Между CentOS7 и железякой D-Link DFL-260E
прочитал много яндекса с гуглом, сделал по прочитанному, но ничего не работает.
Что-то упустил Именно на стороне CentOS ибо на длинке установка параметров проста и не замысловата и шаг вправо или влево сделать нет возможности.
Так вот собственно вопрос, может кто находил рабочий гайдик по настройке чистого IPsec? поделитесь плиз ссылкой или опытом(у кого имеется) если что нужно выложить для поглядеть скажите.
А что именно не работает? Может логи какие есть?
YY.YY.YY.YY - это CentOS
XX.XX.XX.XX - это длинк
Jan 22 10:11:18 fw racoon: INFO: @(#)ipsec-tools 0.8.2 ( http://ipsec-tools.sourceforge.net)
Jan 22 10:11:18 fw racoon: INFO: @(#)This product linked OpenSSL 1.0.1e-fips 11 Feb 2013 ( http://www.openssl.org/)
Jan 22 10:11:18 fw racoon: INFO: Reading configuration from "/etc/racoon/racoon.conf"
Jan 22 10:11:18 fw racoon: INFO: YY.YY.YY.YY[500] used for NAT-T
Jan 22 10:11:18 fw racoon: INFO: YY.YY.YY.YY[500] used as isakmp port (fd=9)
Jan 22 10:11:18 fw racoon: ERROR: racoon: MLS support is not enabled.
Jan 22 10:11:18 fw racoon: INFO: @(#)ipsec-tools 0.8.2 ( http://ipsec-tools.sourceforge.net)
Jan 22 10:11:18 fw racoon: INFO: @(#)This product linked OpenSSL 1.0.1e-fips 11 Feb 2013 ( http://www.openssl.org/)
Jan 22 10:11:18 fw racoon: INFO: Reading configuration from "/etc/racoon/racoon.conf"
Jan 22 10:11:18 fw racoon: INFO: unsupported PF_KEY message REGISTER
Jan 22 10:11:18 fw racoon: INFO: unsupported PF_KEY message REGISTER
Jan 22 10:11:18 fw racoon: INFO: YY.YY.YY.YY[500] used for NAT-T
Jan 22 10:11:18 fw racoon: INFO: YY.YY.YY.YY[500] used as isakmp port (fd=9)
Jan 22 10:11:18 fw racoon: INFO: unsupported PF_KEY message REGISTER
Jan 22 10:11:21 fw racoon: INFO: respond new phase 1 negotiation: YY.YY.YY.YY[500]<=>XX.XX.XX.XX[500]
Jan 22 10:11:21 fw racoon: INFO: begin Identity Protection mode.
Jan 22 10:11:21 fw racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-00
Jan 22 10:11:21 fw racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Jan 22 10:11:21 fw racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Jan 22 10:11:21 fw racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-03
Jan 22 10:11:21 fw racoon: INFO: received Vendor ID: RFC 3947
Jan 22 10:11:21 fw racoon: INFO: received Vendor ID: DPD
Jan 22 10:11:21 fw racoon: [XX.XX.XX.XX] ERROR: invalid ID payload.
и дальше до таймаута последняя ошибка
наковырял теперь при старте так
Jan 22 20:32:47 fw systemd: Starting Racoon IKEv1 key management daemon for IPSEC...
Jan 22 20:32:47 fw racoon: ERROR: racoon: MLS support is not enabled.
Jan 22 20:32:47 fw racoon: INFO: @(#)ipsec-tools 0.8.2 ( http://ipsec-tools.sourceforge.net)
Jan 22 20:32:47 fw racoon: INFO: @(#)This product linked OpenSSL 1.0.1e-fips 11 Feb 2013 ( http://www.openssl.org/)
Jan 22 20:32:47 fw racoon: INFO: Reading configuration from "/etc/racoon/racoon.conf"
Jan 22 20:32:47 fw systemd: Started Racoon IKEv1 key management daemon for IPSEC.
Jan 22 20:32:47 fw racoon: INFO: unsupported PF_KEY message REGISTER
Jan 22 20:32:47 fw racoon: INFO: unsupported PF_KEY message REGISTER
Jan 22 20:32:47 fw racoon: INFO: YY.YY.YY.YY[500] used for NAT-T
Jan 22 20:32:47 fw racoon: INFO: YY.YY.YY.YY[500] used as isakmp port (fd=9)
Jan 22 20:32:47 fw racoon: INFO: unsupported PF_KEY message REGISTER
и кстати вот такое имеется
[root@fw racoon]# /sbin/ifup ipsec0
RTNETLINK answers: File exists
/etc/sysconfig/network-scripts/ifup-ipsec: line 301: killall: command not found
Удалось решить? Может банально в SElinux дело? Он выключен или как-то настроен?
нет не удалось, ковыряю, SElinux выключен, на данный момент как видно из лога выше вообще тишина никаких попыток на установление соединения, бошка кипит уже, сейчас вторую поднимаю попробую между двумя CtntOS подняться
ВО!!! в логах появилось такое
Jan 23 22:31:07 fw racoon: ERROR: no configuration found for XX.XX.XX.XX.
Jan 23 22:31:07 fw racoon: ERROR: failed to begin ipsec sa negotication.
Jan 23 22:31:07 fw racoon: ERROR: no configuration found for XX.XX.XX.XX.
Jan 23 22:31:07 fw racoon: ERROR: failed to begin ipsec sa negotication.
Jan 23 22:31:37 fw racoon: INFO: IPsec-SA expired: ESP/Tunnel YY.YY.YY.YY[500]->XX.XX.XX.XX[500]
Jan 23 22:31:37 fw racoon: INFO: IPsec-SA expired: ESP/Tunnel YY.YY.YY.YY[500]->XX.XX.XX.XX[500]
Конфиг какой-то просит, не пойму какой, прошелся по настройкам вроде все на месте
и вот, правда только в одну сторону
[root@fw ~]# setkey -D
YY.YY.YY.YY XX.XX.XX.XX
esp mode=tunnel spi=0(0x00000000) reqid=0(0x00000000)
seq=0x00000000 replay=0 flags=0x00000000 state=larval
created: Jan 23 22:31:07 2018 current: Jan 23 22:31:29 2018
diff: 22(s) hard: 30(s) soft: 0(s)
last: hard: 0(s) soft: 0(s)
current: 0(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 0 hard: 0 soft: 0
sadb_seq=0 pid=1623 refcnt=0
а не подкинете конфиг iptables для функционирования такого чуда(а то я в нем пока не силен до этого все в PF как-то) что-то у меня в ту сторону глаз косится
ФУФ с тунелем разобрался(проблема была в маршрутизации на длинке)
и вот теперь мне 100% нужна помощь в iptables
дано:
сеть А(длинк): 192.168.0.0/24
сеть B(CentOS): 172.16.10.0/24
на данный момент я из сети А вижу внутренний интерфейс CentOS(172.16.10.250), но не вижу ничего за ним и совсем не вижу сеть А из сети В
Заранее большое спасибо за помощь
