VPN-туннель между D-Link DSL-G804V и FreeBSD 6.2

flush; spdflush; spdadd 192.168.100.0/24 192.168.1.0/24 any -P out ipsec esp/tunnel/62.134.22.121-81.84.224.15/require; spdadd 192.168.1.0/24 192.168.100.0/24 any -P in ipsec esp/tunnel/81.84.224.15-62.134.22.121/require;

padding { maximum_length 20; # maximum padding length. randomize off; # enable randomize length. strict_check off; # enable strict check. exclusive_tail off; # extract last one octet. } listen { isakmp 62.134.22.121 [500]; } timer { # These value can be changed per remote node. counter 5; # maximum trying count to send. interval 10 sec; # maximum interval to resend. persend 1; # the number of packets per send. # maximum time to wait for completing each phase. phase1 30 sec; phase2 15 sec; } remote anonymous { exchange_mode main,aggressive; doi ipsec_doi; situation identity_only; my_identifier user_fqdn "free_m@domain.com.ua"; peers_identifier user_fqdn "free_m@domain.com.ua"; nonce_size 16; lifetime time 480 min; # sec,min,hour initial_contact on; support_proxy on; proposal_check obey; # obey, strict, or claim proposal { encryption_algorithm 3des; hash_algorithm sha1; # Аунтификация только по ключу, т.к. у маршрутизатора # DSL-G804V нет возможности использования сертификатов в IPSec VPN-сервере authentication_method pre_shared_key; dh_group 1; } } sainfo anonymous { pfs_group 1; lifetime time 60 min; encryption_algorithm 3des; authentication_algorithm hmac_md5; compression_algorithm deflate; }


		
		


Как видим соединение установлено. Проверяем пинги и все остальное. Все работает. Каждая сеть видит друг-друга.

yolkov, 2007-09-15 в 18:11:04

здорово, просто супер!!! то что надо

Alex, 2007-09-15 в 22:09:40

Молодец, постарался сам и поделился с другими ! :)

freeman_tnu, 2007-09-16 в 18:58:32

Данный метод рабочий, но в моем случае с точки зрения монниторинга тунеля он не эффективен. Подробности на форуме

F'K, 2007-09-17 в 13:30:11

А вот вопрос. Инет (аська, почта, http, ftp и т.п.) при этом в удаленном офисе как идет - через туннель в головной или маршрутизатор сам отделяет этот траф и кидает его на шлюз ISP ?

freeman_tnu, 2007-09-17 в 13:40:58

to F'K Не понял вопроса. Локальные подсети в офисах разные, у каждого инет через свой шлюз. Да и с вопросами на форум плиз.

dvg_lab, 2007-09-17 в 14:19:33

afaik ipsec не очень хорошо относится к падению канала или потерям пакетов. Наколько устойчивый канал получился?

freeman_tnu, 2007-09-17 в 14:29:45

dvg_lab со стороны freebsd racoon постоянно ломится на удаленный хост без проблем, на стороне маршрутизатора в настройках впн есть опция ping for keepalive. Тоесть при падении канала на любой стороне туннель сам подымается. Канал получился стабильный, пакеты не теряются, проверял. За две недели работы было падение канала на стороне маршрутизатора и туннель восстановился в течении 10 секунд после появления канала.

Mihail, 2008-04-03 в 11:07:30

А MTU на интерфейсах надо какие проставлять ? А то пинги размером более 1500 бит не проходят

freeman_tnu, 2008-04-03 в 15:13:07

Ниче не трогал, даже gif явно не создавал. Но сейчас юзаю другую связку - BBOX v1 (OpenBSD 4.0, OpenVPN) + FreeBSD 6.2 (OpenVPN)

Bani, 2008-08-11 в 8:03:14

в новых прошивках ненадо прописывать роут на подсеть со стороны фрии, работать не будет!!!

Sergeyk, 2009-02-12 в 18:24:06

А как быть с ipsec в случае, когда удаленный офис имеет динамический IP-адрес (провайдер статику на ADSL не дает)?

freeman_tnu, 2009-02-12 в 18:30:45

Sergeyk http://www.dyndns.com/ ??

Sergeyk, 2009-02-13 в 10:54:34

2freeman_tnu И что это дает? Да, зарегали на dyndns.org. ОК. А в ipsec.conf вместо IP-адреса шлюза прописывать его FQDN? Разве так можно? %-/

freeman_tnu, 2009-02-13 в 11:02:11

Sergeyk Ну зачем же писать в конфиг FQDN, тут нужно помозговать, аля скриптец наваять, чтоли...

KampuH, 2009-03-20 в 8:49:08

А что делать, если в удаленном оффисе внутренние IP такие же как и в головном, т.е. 192.168.1.0/24 (смена IP не возможна по причине отсутствия специалиста)?

Lazy caT, 2009-04-28 в 17:27:25

Есть D-Link DI-808HV и Фря 7я... У 808'го настройки схожие проблем с настройкой особо не возникло, racoon на фре взлетел туннель поднялся на "ура"... Пакеты из сети с фрёй в сеть с D-Link'ом идут... хосты пингуются всё нормально, а вот в обратную сторону ни в какую... даже с самого D-Link'а пингуется только лишь Фря... На D-Link'e маршрут указан... Что тут может быть?... (При необходимости могу выложить конфиги)

freeman_tnu, 2009-04-28 в 22:17:24

видимо таки неправильно указан на д-линке маршрут... с подобными вопросами в форум пожалуйста!

avter, 2010-04-15 в 19:22:05

Статейка помогла. Спасибо. Может кому нить поможет - при коннекте D-Link 804HV и CentOS.5.4 пришлось править скрипт ifup-ipsec, чтобы фаза 2 проходила без этих строк: xxx racoon: ERROR: not matched xxx racoon: ERROR: no suitable policy found. xxx racoon: ERROR: failed to pre-process packet. /etc/sysconfig/network-scripts/ifup-ipsec remote $DST { exchange_mode main, aggressive; generate_policy on; passive on; proposal_check obey; EOF

2011, 2011-03-15 в 8:52:09

Товарищщи! Это поля для ввода комментариев к статье, а не для вопросов. Сюда пишите найденные баги, или какие-то фичи :) Для вопросов есть форум!

zidi, 2013-08-09 в 18:25:16

а в /usr/local/etc/racoon/psk.txt пароли хранятся в открытом виде?

Lazy caT, 2013-08-09 в 22:56:33

2zidi Написано же "chmod 0600 /usr/local/etc/racoon/psk.txt" ну и, соответственно, chown root:wheel /usr/local/etc/racoon/psk.txt При другом режиме и других правах, racoon не запускается, вываливая в логи ошибку о правах на psk.txt

zidi, 2013-08-09 в 22:59:02

Lazy caT, вопрос то не в этом был. Не про разрешения на файлик, а про сам пароль в файле psk.txt. Он там не захэширован должен быть?

Lazy caT, 2013-08-10 в 12:21:46

2zidi >Он там не захэширован должен быть? Неа, в открытом виде... всё можно посмотреть тут: /usr/local/share/examples/ipsec-tools включая примеры psk.txt и файлы конфигураций...

zidi, 2013-08-10 в 17:48:42

Спасибо за чёткий и понятный ответ и за примеры конфигов.

`Оставьте свой комментарий:`
`Ваше имя: *`
`e-mail:`
`жирный` `наклонный` `подчёркнутый` `ссылка` `цвет`	Товарищщи! Это поля для ввода комментариев к статье, а не для вопросов. Сюда пишите найденные баги, или какие-то фичи :) Для вопросов есть форум!
`Нынешний год: *`