Debian/Ubuntu - Проблема с маршрутизацией Racoon Ipsec-Tools

Debian/Ubuntu - Проблема с маршрутизацией Racoon Ipsec-Tools

f1rex

Новый участник

Сообщения: 2
Благодарности: 0

Добрый день всем.
Прошу помочь так как зашел в тупик.

Между сервером 1 и сервером 2 (ко второму доступа не имею) настроен IpSec тунель (с помощью racoon , setkey) с шифрованием. к сожалению это единственный возможный вариант так как на сервере 2 уже все настроено.

Вот конфиг файлы racoon.conf

Код:

path pre_shared_key "/etc/racoon/psk.txt";

log debug2;

padding
{
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
}

remote anonymous {
	passive off;
	my_identifier address xxx.xxx.xxx.xxx;
	verify_identifier off;
	verify_cert off;
	lifetime time 86400 sec;
	peers_identifier address yyy.yyy.yyy.yyy;
	exchange_mode main;
	proposal {
    	    encryption_algorithm 3des;
    	    hash_algorithm sha1;
    	    authentication_method pre_shared_key;
    	    dh_group 2;
	}    
}

sainfo anonymous {
	pfs_group 2;
	lifetime time 28800 sec;
	encryption_algorithm 3des;
	authentication_algorithm hmac_sha1;
	compression_algorithm deflate;
}

setkey.conf

Код:

#!/sbin/setkey -f

flush;
spdflush;


spdadd 3.4.5.6/30 1.2.3.4/30 any -P in ipsec 
        esp/tunnel/yyy.yyy.yyy.yyy-xxx.xxx.xxx.xxx/require;
spdadd 1.2.3.4/30 3.4.5.6/30 any -P out ipsec 
	esp/tunnel/xxx.xxx.xxx.xxx-yyy.yyy.yyy.yyy/require;

на выходе пишет что тунель установлен и пинги по команде

Код:

ping -I 1.2.3.4 3.4.5.6

идут, в дебаге видно что все ок
вот вывод setkey -D

Код:

yyy.yyy.yyy.yyy xxx.xxx.xxx.xxx
        esp mode=tunnel spi=130385751(0x07c58757) reqid=0(0x00000000)
        E: 3des-cbc  a0c9103b 516ff6d9 d29f159d 72f6e17e 3cca79ac 0b361fe2
        A: hmac-sha1  b1a4b327 5c547c1f bcacbc0f e3b1e679 53d18fff
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Oct  9 10:50:24 2012   current: Oct  9 10:50:31 2012
        diff: 7(s)      hard: 28800(s)  soft: 23040(s)
        last: Oct  9 10:50:24 2012      hard: 0(s)      soft: 0(s)
        current: 420(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 5    hard: 0 soft: 0
        sadb_seq=1 pid=18531 refcnt=0
xxx.xxx.xxx.xxx yyy.yyy.yyy.yyy
        esp mode=tunnel spi=139177439(0x084baddf) reqid=0(0x00000000)
        E: 3des-cbc  9ac51ccd 614bf216 c3a6f31a ea225908 41522301 44496d16
        A: hmac-sha1  8a11a45f f110b78b bc124da6 b854ae5e 6000cb26
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Oct  9 10:50:24 2012   current: Oct  9 10:50:31 2012
        diff: 7(s)      hard: 28800(s)  soft: 23040(s)
        last: Oct  9 10:50:24 2012      hard: 0(s)      soft: 0(s)
        current: 420(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 5    hard: 0 soft: 0
        sadb_seq=0 pid=18531 refcnt=0

задача была в следующем: соединится по туннелю с yyy.yyy.yyy.yyy чтобы иметь доступ к айпишнику 3.4.5.6, который находится за рамками подсетки 1.2.3.4/30 внутри этого туннеля.
По пингу видно что задача выполнена частично, так как если просто прописать ping 3.4.5.6 то ничего не происходит и логи туннеля racoon даже не дергаются.
Очень прошу помочь сделать так, чтобы соединения на данный ip проходили с обычных программ (в частности asterisk).
Я подозреваю что в setkey.conf в маршрутизацию нужно еще чтото указать но что бы не делал, ничего не помогает.

после поднятия туннеля никаких адаптеров (это бы сразу решило проблему простой командой route add) не создается.

Заранее спасибо всем кто поможет.

Отправлено: 11:56, 09-10-2012

f1rex

Новый участник

Сообщения: 2
Благодарности: 0

Профиль | Отправить PM | Цитировать

Все нашел решение сам, если кому интересно будет то выкладываю

iptables -t nat -A POSTROUTING --destination 3.4.5.6 -j SNAT --to 1.2.3.4

тогда будет все работать
прошу закрыть тему

Отправлено: 14:10, 09-10-2012 | #2