1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. IPSec z Debianu na CISCO ASA
« předchozí další »
Stran: [1]

IPSec z Debianu na CISCO ASA

  • 2 Odpovědí
  • 1409 Zhlédnutí

Ohníč

IPSec z Debianu na CISCO ASA
« kdy: 29. 06. 2017, 14:06:26 »
Přáelé,

už několik dní se zabývám propojením Linuxu s CISCO ASA přes IPSec tutel. Dělám to nad ipsec-tools (setkey a racoon).

Situace je takováto: na peerově straně je síť o jedné adrese (a.a.a.a/31), na svou stranu jsem dostal přidělenou právě jednu adresu (b.b.b.b/32) - za tu chci schovat celou síť (což vede na maškarádu). Na mé straně je NAT (tedy  dva NATy) a pakety 500/UDP a 4500/UDP končí na stroji uvnitř mojí sítě, který má fungovat jako brána pro ten tunel. (Ty pakety opravdu běhají, routery po cestě jsou nastaveny správě). Dejme tomu, že peerova brána má adresu PEER_IP, moje brána (vnitřní) má adresu MY_INT_IP a moje vnější (veřejná) adresa je MY_PUB_IP.

Konfigurace /etc/ipsec-tools.conf:

Kód: [Vybrat]
flush;                                                                                                                                                                                                                                                                         
spdflush;                                                                                                                                                                                                                                                                     
spdadd  b.b.b.b/32 a.a.a.a/31 any -P out ipsec esp/tunnel/MY_INT_IP-PEER_IP/require;
spdadd a.a.a.a/31 b.b.b.b/32 any -P in ipsec esp/tunnel/PEER_IP-MY_INT_IP/require;
Konfigurace /etc/racoon/racoon.conf:

Kód: [Vybrat]
log debug;
path pre_shared_key "/etc/racoon/psk.txt";
sainfo anonymous
{
        pfs_group 2;
        lifetime time 3600 sec;
        encryption_algorithm aes 256;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}
remote PEER_IP
{
        exchange_mode main;
        my_identifier address MY_PUB_IP; # prootze tak me vidi peer
        nat_traversal on;
        proposal {
                encryption_algorithm aes 256;
                hash_algorithm sha1;
                lifetime time 7200 sec;
                authentication_method pre_shared_key;
                dh_group 2;
        }
}

a konečně /etc/racoon/psk.txt:

Kód: [Vybrat]
PEER_IP *****sdileny-klic******
Aby měl můj endpoint adresu, kterou jsem dostal přidělenou (b.b.b.b/32), zkoušel jsem to s aliasem pro eth0, i jsem zkoušel druhou síťovku s touto adresou. Routování do peerovy sítě jsem zkoušel přes vnější rozhraní, i přes alias. Forwardování je v jádře zapnuto, firewall prázdný (s defaultní politikou accept), jen se dělá SNAT na b.b.b.b/32 u paketů, co jdou do peerovy sítě.

Nefunguje to! Vymění si to 3 pakety (dva ode mě, jeden od peera) na 500/UDP a pak zahlásí:

Kód: [Vybrat]
racoon: [PEER_IP] ERROR: notification INVALID-COOKIE received in unencrypted informational exchange.
racoon: [PEER_IP] ERROR: error message: '8u @Lv 7 '.
Algoritmy a DH group pro obě fáze IKE jsou nastaveny podle specifikace, kterou jsem dostal, stejně tak i lifetimy.

Prostudoval jsem milión fór a návodů, dokonce jsem si nastudoval, jak pracuje s IPSecem jádro, ale nic nepomohlo řešení mého problému.

Neuměl by mi, prosím, někdo poradit?

Díky, Ohníč
« Poslední změna: 29. 06. 2017, 14:40:11 od Petr Krčmář »
IP zaznamenána

Reklama

  • * * * * *

MP

Re:IPSec z Debianu na CISCO ASA
« Odpověď #1 kdy: 29. 06. 2017, 14:51:12 »
S timhle primo neporadim, ale co zkusit openswan?
IP zaznamenána

vomáčka

Re:IPSec z Debianu na CISCO ASA
« Odpověď #2 kdy: 29. 06. 2017, 17:03:52 »
Jestli můžu doporučit, vykašli se na racoon a použij vpnc. S Cisco ASA funguje perfektně, konfigurace jednoduchá.
IP zaznamenána
Stran: [1]
« předchozí další »
  1. Fórum Root.cz
  2. Hlavní témata
  3. Sítě
  4. IPSec z Debianu na CISCO ASA