Re: Ошибка в strongSwan

2017-02-23 Пенетрантность Коротаев Руслан 
В сообщении от [Чт 2017-02-16 21:53 +0300]
Alexander Pytlev  пишет:

> > Ошибка возникает, на этапе подключения:
> > # ipsec up rw
> Правильно ошибка возникает, потому что ты командуеш серверу поднимать
> соединение к клиенту rw

Да, вы правы ipsec up … команда клиента, а не сервера, перепутал. Но
теперь возникла другая проблема, точнее две.

===
   IPv6
---

Я раздаю IPv6 адреса клиентам через туннель Hurricane Electric (HE), он
дает подсеть /64 бесплатно, у клиентов будут американские IP, а значит
будет доступ к Spotify, Pandora и прочим. 

Всё работает, но только если сайт резолвится строго по IPv6, либо если
вручную указать типа wget -6. Если сайт резовится и по IPv4 и по IPv6,
то браузер предпочитает IPv4. Гугл говорит что это из-за того, что
линукс предпочитает сначала нативный IPv6, потом нативный IPv4 и только
потом туннели. 

Всё это настраивается в /etc/gai.conf, мне нужно изменить приоритет, то
есть если сайт резолвится по IPv6, значит он должен ходить через
туннель, даже если по IPv4 ближе. У меня настроить gai.conf так и не
получилось.

===
   IPv4
---

На сервере я настроил файрвол как указано на сайте [1]:
iptables -t nat -A POSTROUTING -s 10.0.3.0/24 -o eth0 -m policy --dir out --pol 
ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.3.0/24 -o eth0 -j MASQUERADE

Однако, некоторые сайты всё равно не открываются. После этого в пакете
остаются следы IPsec, какие-нибудь заголовки или данные? Может быть
из-за этого пакеты теряются, или это я что-то неправильно настраиваю?

[1]: 
https://wiki.strongswan.org/projects/strongswan/wiki/ForwardingAndSplitTunneling

-- 
Коротаев Руслан
https://blog.kr.pp.ru


smime.p7s
Description: S/MIME cryptographic signature

Re: Ошибка в strongSwan

2017-02-16 Пенетрантность Alexander Pytlev 
16.02.2017 16:15, Коротаев Руслан пишет:
> Ошибка возникает, на этапе подключения:
> # ipsec up rw
Правильно ошибка возникает, потому что ты командуеш серверу поднимать
соединение к клиенту rw

> unable to resolve %any, initiate aborted
> tried to check-in and delete nonexisting IKE_SA
> establishing connection 'rw' failed
на сервере:
ipsec stop
ipsec start
ipsec statusall

для старта вместе с системой, добавить сервис ipsec в "автозагрузку"

> У меня подозрение, что strongSwan стартует и пытается соединится, вместо
> того чтобы ожидать соединения от roadwarriors.
Ну, потому что ему так велели сделать

-- 

See You.
WBW

Re: Ошибка в strongSwan

2017-02-16 Пенетрантность Коротаев Руслан 
В сообщении от [Чт 2017-02-16 10:17 +0300]
Alexander Pytlev  пишет:

> Если ты брал конфиги из примеров [*], то "conn home" есть только в
> конфиге клиента.
> Сервер - это moon в том примере.
> 
> Конфиги в студию, тогда можно что либо предметно обсуждать.

Прошу прощения, не указал где именно проблема. Воспроизвожу сценарий для
сервера (moon) отсюда:
https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html

Конфиги для данных файлов можно найти по ссылке выше:
ipsec.conf
ipsec.secrets
strongswan.conf

Параметры в /etc/sysctl.conf включил:

sysctl net.ipv4.ip_forward=1
sysctl net.ipv6.conf.all.forwarding=1

Ошибка возникает, на этапе подключения:

# ipsec up rw
unable to resolve %any, initiate aborted
tried to check-in and delete nonexisting IKE_SA
establishing connection 'rw' failed

У меня подозрение, что strongSwan стартует и пытается соединится, вместо
того чтобы ожидать соединения от roadwarriors.

P.S.: Могу дать доступ к тестовому серверу (напишите в личку), если есть
возможность помочь на месте.

-- 
Коротаев Руслан
https://blog.kr.pp.ru


smime.p7s
Description: S/MIME cryptographic signature

Re: Ошибка в strongSwan

2017-02-15 Пенетрантность Alexander Pytlev 
16.02.2017 1:38, Коротаев Руслан пишет:
>
>> connection 'home'  - это конфиг клиента, который хочет подключится к
>> серверу.
> Нет, это ошибка на сервере при запуске демона. Вот свежая информация на
> эту тему [1], якобы такое возникает в Jessie, но я пробовал в CentOS 7,
> там тоже самое. 
Если ты брал конфиги из примеров [*], то "conn home" есть только в
конфиге клиента.
Сервер - это moon в том примере.

Конфиги в студию, тогда можно что либо предметно обсуждать.

> Здесь нужна правильная настройка виртуальных IP-адресов. Он должен
> понять что right=%any, это смартфоны и планшеты (roadwarrior), их нужно
> резолвить и выдавать IP.
>
> [1]: https://wiki.strongswan.org/issues/1516
Ты внимательно прочитал то что написано по приведённой тобой ссылке ?
особенно ответ под #5 ?

[*]: 
https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html

-- 

See You.
WBW

Re: Ошибка в strongSwan

2017-02-15 Пенетрантность Коротаев Руслан 
В сообщении от [Чт 2017-02-16 00:43 +0300]
Alexander Pytlev  пишет:

> connection 'home'  - это конфиг клиента, который хочет подключится к
> серверу.

Нет, это ошибка на сервере при запуске демона. Вот свежая информация на
эту тему [1], якобы такое возникает в Jessie, но я пробовал в CentOS 7,
там тоже самое. 

Здесь нужна правильная настройка виртуальных IP-адресов. Он должен
понять что right=%any, это смартфоны и планшеты (roadwarrior), их нужно
резолвить и выдавать IP.

[1]: https://wiki.strongswan.org/issues/1516

-- 
Коротаев Руслан
https://blog.kr.pp.ru


smime.p7s
Description: S/MIME cryptographic signature

Re: Ошибка в strongSwan

2017-02-15 Пенетрантность Alexander Pytlev 
15.02.2017 17:19, Коротаев Руслан пишет:
> Приветствую!
>
> Пытаюсь сделать IPsec на базе strongSwan, чтобы смартфоны и планшеты
> нативно поддерживались. Делаю простой вариант, без сертификатов [1], но
> постоянно вылезает такая ошибка:
>
> unable to resolve %any, initiate aborted
> tried to check-in and delete nonexisting IKE_SA
> establishing connection 'home' failed
connection 'home'  - это конфиг клиента, который хочет подключится к
серверу.

-- 

See You.
WBW

Re: Ошибка в strongSwan

2017-02-15 Пенетрантность Artem Chuprina 
Коротаев Руслан -> Debian-russian List  @ Wed, 15 Feb 2017 19:19:54 +0500:

 > Приветствую!

 > Пытаюсь сделать IPsec на базе strongSwan, чтобы смартфоны и планшеты
 > нативно поддерживались. Делаю простой вариант, без сертификатов [1], но
 > постоянно вылезает такая ошибка:

 > unable to resolve %any, initiate aborted
 > tried to check-in and delete nonexisting IKE_SA
 > establishing connection 'home' failed

 > Вылезает при любых настройках, хоть с сертификатом, хоть без. Вот здесь
 > она описана [2], но ничего не помогает. Провайдер говорит что никаких
 > UDP фильтров или закрытых портов у него нет, всё должно работать.

 > Если кто-нибудь strongSwan настраивал, поделитесь правильным конфигом.

 > [1]: 
 > https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html
 > [2]: https://wiki.strongswan.org/issues/440

Чисто по логике, unable to resolve обычно означает, что оно там хочет
адрес, имеет имя хоста, но не может его отрезолвить. По той же логике,
следом должно идти имя хоста. Судя по тому, что там %any, следует
предположить, что у кого-то что-то недоконфигурировано в части того,
куда ходить. И уже действительно без разницы, есть какие-то сертификаты
или нет, если их предъявить некому.

Ошибка в strongSwan

2017-02-15 Пенетрантность Коротаев Руслан 
Приветствую!

Пытаюсь сделать IPsec на базе strongSwan, чтобы смартфоны и планшеты
нативно поддерживались. Делаю простой вариант, без сертификатов [1], но
постоянно вылезает такая ошибка:

unable to resolve %any, initiate aborted
tried to check-in and delete nonexisting IKE_SA
establishing connection 'home' failed

Вылезает при любых настройках, хоть с сертификатом, хоть без. Вот здесь
она описана [2], но ничего не помогает. Провайдер говорит что никаких
UDP фильтров или закрытых портов у него нет, всё должно работать.

Если кто-нибудь strongSwan настраивал, поделитесь правильным конфигом.

[1]: 
https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html
[2]: https://wiki.strongswan.org/issues/440

-- 
Коротаев Руслан
https://blog.kr.pp.ru


smime.p7s
Description: S/MIME cryptographic signature