Re: Ошибка в strongSwan
В сообщении от [Чт 2017-02-16 21:53 +0300] Alexander Pytlevпишет: > > Ошибка возникает, на этапе подключения: > > # ipsec up rw > Правильно ошибка возникает, потому что ты командуеш серверу поднимать > соединение к клиенту rw Да, вы правы ipsec up … команда клиента, а не сервера, перепутал. Но теперь возникла другая проблема, точнее две. === IPv6 --- Я раздаю IPv6 адреса клиентам через туннель Hurricane Electric (HE), он дает подсеть /64 бесплатно, у клиентов будут американские IP, а значит будет доступ к Spotify, Pandora и прочим. Всё работает, но только если сайт резолвится строго по IPv6, либо если вручную указать типа wget -6. Если сайт резовится и по IPv4 и по IPv6, то браузер предпочитает IPv4. Гугл говорит что это из-за того, что линукс предпочитает сначала нативный IPv6, потом нативный IPv4 и только потом туннели. Всё это настраивается в /etc/gai.conf, мне нужно изменить приоритет, то есть если сайт резолвится по IPv6, значит он должен ходить через туннель, даже если по IPv4 ближе. У меня настроить gai.conf так и не получилось. === IPv4 --- На сервере я настроил файрвол как указано на сайте [1]: iptables -t nat -A POSTROUTING -s 10.0.3.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT iptables -t nat -A POSTROUTING -s 10.0.3.0/24 -o eth0 -j MASQUERADE Однако, некоторые сайты всё равно не открываются. После этого в пакете остаются следы IPsec, какие-нибудь заголовки или данные? Может быть из-за этого пакеты теряются, или это я что-то неправильно настраиваю? [1]: https://wiki.strongswan.org/projects/strongswan/wiki/ForwardingAndSplitTunneling -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Ошибка в strongSwan
16.02.2017 16:15, Коротаев Руслан пишет: > Ошибка возникает, на этапе подключения: > # ipsec up rw Правильно ошибка возникает, потому что ты командуеш серверу поднимать соединение к клиенту rw > unable to resolve %any, initiate aborted > tried to check-in and delete nonexisting IKE_SA > establishing connection 'rw' failed на сервере: ipsec stop ipsec start ipsec statusall для старта вместе с системой, добавить сервис ipsec в "автозагрузку" > У меня подозрение, что strongSwan стартует и пытается соединится, вместо > того чтобы ожидать соединения от roadwarriors. Ну, потому что ему так велели сделать -- See You. WBW
Re: Ошибка в strongSwan
В сообщении от [Чт 2017-02-16 10:17 +0300] Alexander Pytlevпишет: > Если ты брал конфиги из примеров [*], то "conn home" есть только в > конфиге клиента. > Сервер - это moon в том примере. > > Конфиги в студию, тогда можно что либо предметно обсуждать. Прошу прощения, не указал где именно проблема. Воспроизвожу сценарий для сервера (moon) отсюда: https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html Конфиги для данных файлов можно найти по ссылке выше: ipsec.conf ipsec.secrets strongswan.conf Параметры в /etc/sysctl.conf включил: sysctl net.ipv4.ip_forward=1 sysctl net.ipv6.conf.all.forwarding=1 Ошибка возникает, на этапе подключения: # ipsec up rw unable to resolve %any, initiate aborted tried to check-in and delete nonexisting IKE_SA establishing connection 'rw' failed У меня подозрение, что strongSwan стартует и пытается соединится, вместо того чтобы ожидать соединения от roadwarriors. P.S.: Могу дать доступ к тестовому серверу (напишите в личку), если есть возможность помочь на месте. -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Ошибка в strongSwan
16.02.2017 1:38, Коротаев Руслан пишет: > >> connection 'home' - это конфиг клиента, который хочет подключится к >> серверу. > Нет, это ошибка на сервере при запуске демона. Вот свежая информация на > эту тему [1], якобы такое возникает в Jessie, но я пробовал в CentOS 7, > там тоже самое. Если ты брал конфиги из примеров [*], то "conn home" есть только в конфиге клиента. Сервер - это moon в том примере. Конфиги в студию, тогда можно что либо предметно обсуждать. > Здесь нужна правильная настройка виртуальных IP-адресов. Он должен > понять что right=%any, это смартфоны и планшеты (roadwarrior), их нужно > резолвить и выдавать IP. > > [1]: https://wiki.strongswan.org/issues/1516 Ты внимательно прочитал то что написано по приведённой тобой ссылке ? особенно ответ под #5 ? [*]: https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html -- See You. WBW
Re: Ошибка в strongSwan
В сообщении от [Чт 2017-02-16 00:43 +0300] Alexander Pytlevпишет: > connection 'home' - это конфиг клиента, который хочет подключится к > серверу. Нет, это ошибка на сервере при запуске демона. Вот свежая информация на эту тему [1], якобы такое возникает в Jessie, но я пробовал в CentOS 7, там тоже самое. Здесь нужна правильная настройка виртуальных IP-адресов. Он должен понять что right=%any, это смартфоны и планшеты (roadwarrior), их нужно резолвить и выдавать IP. [1]: https://wiki.strongswan.org/issues/1516 -- Коротаев Руслан https://blog.kr.pp.ru smime.p7s Description: S/MIME cryptographic signature
Re: Ошибка в strongSwan
15.02.2017 17:19, Коротаев Руслан пишет: > Приветствую! > > Пытаюсь сделать IPsec на базе strongSwan, чтобы смартфоны и планшеты > нативно поддерживались. Делаю простой вариант, без сертификатов [1], но > постоянно вылезает такая ошибка: > > unable to resolve %any, initiate aborted > tried to check-in and delete nonexisting IKE_SA > establishing connection 'home' failed connection 'home' - это конфиг клиента, который хочет подключится к серверу. -- See You. WBW
Re: Ошибка в strongSwan
Коротаев Руслан -> Debian-russian List @ Wed, 15 Feb 2017 19:19:54 +0500: > Приветствую! > Пытаюсь сделать IPsec на базе strongSwan, чтобы смартфоны и планшеты > нативно поддерживались. Делаю простой вариант, без сертификатов [1], но > постоянно вылезает такая ошибка: > unable to resolve %any, initiate aborted > tried to check-in and delete nonexisting IKE_SA > establishing connection 'home' failed > Вылезает при любых настройках, хоть с сертификатом, хоть без. Вот здесь > она описана [2], но ничего не помогает. Провайдер говорит что никаких > UDP фильтров или закрытых портов у него нет, всё должно работать. > Если кто-нибудь strongSwan настраивал, поделитесь правильным конфигом. > [1]: > https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html > [2]: https://wiki.strongswan.org/issues/440 Чисто по логике, unable to resolve обычно означает, что оно там хочет адрес, имеет имя хоста, но не может его отрезолвить. По той же логике, следом должно идти имя хоста. Судя по тому, что там %any, следует предположить, что у кого-то что-то недоконфигурировано в части того, куда ходить. И уже действительно без разницы, есть какие-то сертификаты или нет, если их предъявить некому.