[SOLVED] Настройка тоннеля IPSEC между поставщиком услуг и сервером. Моя первая настройка IPSEC. Не получается ((
Здравствуйте.
Первый раз настраиваю IPSEC VPN тунель. Очень нужна помощь, буду благодарен сообществу. Читаю доки, но пока не все понятно. Поэтому приношу извинения.
Есть поставщик услуг. У него есть ип адрес внешний X1.X1.X1.X1 и внутренняя сеть. В ней нужно получить доступ к X2.X2.X2.X2.
Есть сервер в датацентре - внешний ип адрес Y.Y.Y.Y.
Поставщик настраивает IPSEC на CISCO.
Я ставлю ipsec-tools:
net-vpn/ipsec-tools-0.8.2-r5::gentoo USE="ipv6 kerberos pam readline nat -hybrid -idea -ldap -libressl -rc5 (-selinux) -stats"
Вношу пароль в файл /etc/racoon/psk.txt
X1.X1.X1.X1 ПАРОЛЬ
Делаю настройки:
nano -w /etc/racoon/racoon.conf
https://pastebin.com/1cajDyXP
nano -w /etc/ipsec-tools.conf
https://pastebin.com/1ZvesfgD
В IPTABLES вношу правила:
$iptables -t filter -A INPUT -p udp -m policy --dir in --pol ipsec -m udp --dport l2tp -j ACCEPT
$iptables -t filter -A OUTPUT -p udp -m policy --dir out --pol ipsec -m udp --sport l2tp -j ACCEPT
Запускаю
/etc/init.d/racoon start
/etc/init.d/iptables restart
В логах:
https://pastebin.com/LPzAyS4q
Два интерфейса 172.16.105.1 и 172.16.110.1 это OpenVPN для внутренних нужд.
Делаю пинг X2.X2.X2.X2, в логах получаю:
https://pastebin.com/bggT4F0n
Помогите, пожалуйста, поставщик услуг говорит, что все настроил.. И на этом все.
- Для комментирования войдите или зарегистрируйтесь
IPSEC не такая простая штука
IPSEC не такая простая штука сама по себе, а у тебя еще какие-то левые ВПНы прикручены.
Без нормальной топологии/схемы и таблиц маршрутизации не разобраться...
FYI: На начальном этапе надо простучать и убедиться что все нужные протоколы от IPSec-клиента доходят до IPSec-aдресата и обратно (между терминирующими узлами)... Нужен полный лог попытки установления сессии. Очень часто бывают ошибки в маршрутизации и/или брандмауэре.
Из очевидных проблем:
Уже не в первый раз вы меня спасаете (конркетно SysA)..
Уже не в первый раз вы меня спасаете (конкретно SysA).. Спасибо огромное. Как говориться, дай вам здоровья и хорошего вечера.
В racoon.conf заменил:
sainfo address Y.Y.Y.Y any address X1.X1.X1.X1 any
на
sainfo address Y.Y.Y.Y any address X2.X2.X2.X2 any
Туннель установился судя по логам:
Oct 23 14:31:24 ua racoon: DEBUG: pfkey UPDATE succeeded: ESP/Tunnel Y.Y.Y.Y[500]->X1.X1.X1.X1[500] spi=72557229(0x45322ad)
Oct 23 14:31:24 ua racoon: INFO: IPsec-SA established: ESP/Tunnel Y.Y.Y.Y[500]->X1.X1.X1.X1[500] spi=72557229(0x45322ad)
Oct 23 14:31:24 ua racoon: DEBUG: ===
Oct 23 14:31:24 ua racoon: DEBUG: pk_recv: retry[0] recv().
Oct 23 14:31:24 ua racoon: DEBUG: got pfkey ADD message
Oct 23 14:31:24 ua racoon: INFO: IPsec-SA established: ESP/Tunnel Y.Y.Y.Y[500]->X1.X1.X1.X1[500] spi=4048809476(0xf153ee04)
Поставщик услуг подтвердил факт. И сказал, что пропишет в фаерволе правила для меня, чтобы проходили icmp пакеты и откроет доступ к услуге. Надеюсь на этом будет все.
P.s. OpenVPN используется для внутренней связи между серверами в разных датацентрах, по ним бэкап через rsync + репилка БД. Не хотели в открытую передавать, а OpenVpn не сложный способ построения VPN. Еще сам хожу на сервер через OpenVPN. Может не совсем красиво, но это моя не основная специализация. Настройка это больше хобби и в некоторых случаях необходимость.