1 Тема от damnthis

  • damnthis
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 23-10-2009
  • Сообщений: 1

Тема: Настройка Racoon2

Доброе что там на улице, коллеги!
Настраиваю IPSec, имею проблему.
Фряха 7.2, racoon2 последний. Надо завязаться с винды. Винда выходит в инет через GPRS модем, получает IP из 10-й сетки, потом через NAT прова уже публичным IP стучится на фряху. Выходит, надо включать NAT-T и динамические политики.
iked в соотв с документацией слушает на портах UDP 500 и 4500:
#sockstat | grep 500
root     iked       22808 5  udp4   my.ip.add.ress:500     *:*
root     iked       22808 6  udp4   my.ip.add.ress:4500    *:*

Проблема видна в логе:
Сначала ISAKMP успешно согласует параметры:
2009-10-23 10:38:39 [DEBUG]: ipsec_doi.c:372:get_ph1approvalx(): Compared: DB:Peer
2009-10-23 10:38:39 [DEBUG]: ipsec_doi.c:373:get_ph1approvalx(): (lifetime = 600:600)
2009-10-23 10:38:39 [DEBUG]: ipsec_doi.c:375:get_ph1approvalx(): (lifebyte = 0:0)
2009-10-23 10:38:39 [DEBUG]: ipsec_doi.c:377:get_ph1approvalx(): enctype = 3DES-CBC:3DES-CBC
2009-10-23 10:38:39 [DEBUG]: ipsec_doi.c:382:get_ph1approvalx(): (encklen = 0:0)
2009-10-23 10:38:39 [DEBUG]: ipsec_doi.c:384:get_ph1approvalx(): hashtype = MD5:MD5
2009-10-23 10:38:39 [DEBUG]: ipsec_doi.c:389:get_ph1approvalx(): authmethod = pre-shared key:pre-shared key
2009-10-23 10:38:39 [DEBUG]: ipsec_doi.c:394:get_ph1approvalx(): dh_group = 1024-bit MODP group:1024-bit MODP group
2009-10-23 10:38:39 [DEBUG]: ipsec_doi.c:271:get_ph1approval(): an acceptable proposal found. - здесь еще всё ок
2009-10-23 10:38:39 [DEBUG]: algorithm.c:740:alg_oakley_dhdef(): dh(modp1024)
2009-10-23 10:38:39 [DEBUG]: ikev1.c:2021:isakmp_newcookie(): new cookie:
4b8686dc339f093e
2009-10-23 10:38:39 [DEBUG]: ikev1.c:1792:set_isakmp_payload(): add payload of len 52, next type 13
2009-10-23 10:38:39 [DEBUG]: ikev1.c:1792:set_isakmp_payload(): add payload of len 16, next type 0
2009-10-23 10:38:39 [DEBUG]: ikev1.c:2246:isakmp_send(): 104 bytes from MyIP[500] to 85.26.183.34[58]
2009-10-23 10:38:39 [DEBUG]: sockmisc.c:324:sendfromto(): sockname MyIP[4500]
2009-10-23 10:38:39 [DEBUG]: sockmisc.c:326:sendfromto(): send packet from MyIP[500]
2009-10-23 10:38:39 [DEBUG]: sockmisc.c:328:sendfromto(): send packet to 85.26.183.34[58]
2009-10-23 10:38:39 [INTERNAL_ERR]: sockmisc.c:480:sendfromto(): bind 1 (Address already in use) - вот она, гадина
2009-10-23 10:38:39 [INTERNAL_ERR]: ikev1.c:2265:isakmp_send(): sendfromto failed
2009-10-23 10:38:39 [PROTO_ERR]: ikev1.c:1016:isakmp_ph1begin_r(): failed to process packet.

в это время
tcpdump -nire0 host 85.26.183.34
10:37:04.666220 IP 85.26.183.34.58 > MyIP.500: isakmp: phase 1 I ident
10:37:35.777872 IP 85.26.183.34.58 > MyIP.500: isakmp: phase 2/others I inf
....
Пакетов от меня (с фряхи) нет. Это не фаервол - отключал, эффект тот же
В racoon2.conf вместо IP_RW пробовал прописывать и жесткий peer IP - то же самое

Внимание вопрос: Чем же  уже занят адрес?! Если надо, пришлю конфы racoon2.conf
Заранее большой спасиб!

Добавлено: 23-10-2009 14:50:39

да, копошась в конфе, узрел следующее:
данная ошибка возникает, только если прописано прослушивать порт 4500 в определении ike. Проклятая винда работает по IKEv1, а в доках на racoon:
Using NAT-T for IKEv2
interface {
      ike {
        MY_IP port 500;
        MY_IP port 4500;
      };
    };
Т.е. вопрос меняется на следующий: а поддерживает ли ikev1 NAT-T? А поддерживает винда ikev2. Продолжаю копать...

2 Ответ от damnedbird

  • damnedbird
  • Зашел на огонек
  • Неактивен
  • Зарегистрирован: 09-11-2009
  • Сообщений: 1

Re: Настройка Racoon2

День добрый!

Как там, удалось справиться? А то я сейчас тоже бьюсь со вторым ракуном :-)) Больше всего мне, конечно, хочется IP_RW, но и проблема с Address already in use очень мешает smile) Удалось что-нибудь выяснить?

Добавлено: 09-11-2009 03:50:26

О. Нашел по моему и твоему вопросу.

* What's New in racoon2-20060712a

  + NAT-Traversal for IKEv2 was added to iked.

  + Dynamic policy generation for IKEv2 (tunnel mode) was added.
    Use "IP_RW" in the policy configuration.