Loading...
 
[Zobrazit/Skrýt nabídky vlevo]
[Zobrazit/Skrýt nabídky vpravo]

Konfigurace IPSec-racoon VS Cisco

Konfigurace IPSec-racoon VS Cisco

Konfigurace sifrovani se nastavi podle toho jak je to na Ciscu.

Problemy ktere muzou nastat.

1. V logu se objevi 

Sep 10 11:12:28 router racoon: ERROR: Expecting IP address type in main mode, but FQDN.
Sep 10 11:12:28 router racoon: ERROR: invalid ID payload.


V main modu nesmi byt jako identifier pouzit Hostname, na Ciscu musi byt nastaven Identifier - address.
Nebo se muze pouzit aggressive mod, ale ten neni tak bezpecny.

2. Tunel se vytvori, pak ale nefunguje a hlasi 

Sep 18 17:21:57 router racoon: INFO: IPsec-SA established: ESP/Tunnel 212.71.205.25->213.195.200.70 spi=52306777(0x31e2359)

Sep 18 17:21:57 router racoon: INFO: IPsec-SA established: ESP/Tunnel 213.195.200.70->212.71.205.25 spi=3147825593(0xbba001
b9)
Sep 18 17:21:58 router racoon: ERROR: unknown notify message, no phase2 handle found.
Sep 18 17:22:29 router last message repeated 6 times


Tenhle problem se objevuje jenom nekde, a jde o to ze firewall SNATuje odchozi pakety. Sice prepisuje verejnou adresu tou samou, ale tim padem se pakety pro protejsi stranu jevi jako poskozene, takze je potreba zakazat SNAT pro adresu ciloveho stroje (Cisca).

Neco v tomhle stylu 

for i in $IPSEC_NETS ; do
    $IPTABLES -t nat -A POSTROUTING -d $i -j RETURN
done
$IPTABLES -t nat -A POSTROUTING -d 212.71.205.25 -j RETURN

$IPTABLES -t nat -A POSTROUTING -o $INET_IFACE -j SNAT --to $INET_IP

Created by komodo. Last Modification: Středa 19 of září, 2007 12:01:35 CEST by komodo.
HistorieKomentáře