Salamon Attila wrote: > 2009. november 26. dátummal Gabor HALASZ ezt írta: >> Tevedtel. Ez mukodo konfigbol, a masik vegen cisco concentrator >> van, nem keves tanakodas volt osszehozni, de eddig minden >> koncentratornal bevalt. > > Most visszamásoltam az általad írt két sor (ike, esp). Itt az eredmény > (ua. mint a tegnapi): > > pluto[11574]: "p1" #36: initiating Main Mode > pluto[11574]: "p1" #36: ignoring Vendor ID payload [FRAGMENTATION > c0000000] > pluto[11574]: "p1" #36: Can't authenticate: no preshared key found for > `4.3.2.1' and `1.2.3.4'. Attribute OAKLEY_AUTHENTICATION_METHOD > pluto[11574]: "p1" #36: no acceptable Oakley Transform > pluto[11574]: "p1" #36: sending notification NO_PROPOSAL_CHOSEN to > 1.2.3.4:500 > > > >>> Ezzel az ESP_3DES_HMAC-al van a problémám, nem tudom mi felel meg >>> neki. Ezeket próbáltam: >>> 3des-md5-96,3des-sha1-96,3des-sha1-modp1024, de nem jöttek be. >>> Az >>> ike=3des-sha1 >>> hatására valami történik: >> Ha egysze esp, akkor miert az ike-t nezed? Es ha 3des-hmac, akkor >> miert 3des-sha1-el probalkozol? > > Próbálkoztam, nem jött össze. A vpnc meg ilyet írt: > IKE SA selected psk-3des-sha1 > > Ezért kezdtem el ezzel próbálkozni. > > >>> pluto[11574]: "p1" #32: initiating Main Mode >>> pluto[11574]: "p1" #32: ignoring Vendor ID payload [FRAGMENTATION >>> c0000000] >> Nem nat-olsz te veletlenul? > > Nem. > > >>> - A ciscos ESP_3DES_HMAC-nak mi az openswanes megfelelője? >> esp=3des-hmac > > Ezt én is próbáltam. Erre a válasz: > 034 esp string error: hash_alg not found, enc_alg="3des", > auth_alg="hmac", modp="" >
Akkor 3des-hmac-md5 es 3des-hmac-sha1? > A man ipsec_spi szerint az AH-nál lehetnek ilyenek: > hmac-md5-96, hmac-sha1-96 > Ezeknél eléggé elbizonytalanított az md5 és az sha1. > Lehet mindketto egyszerre > >>> - Mit bénázok el, hogy nem találja a psk-t? Lehet, hogy nem is a >>> psk-val van a baja? >> Elkepzelheto, ranezesre jo, klipsdebug=yes es plutodebug=yes >> mindenkeppen kellene a config setup-ba. > > klipsdebug=all és plutodebug=all volt eddig is. Átírtam yes-re, de > semmi nem változott. Bocs, az all a jo. > Amúgy én is keveseltem a logot, de az auth.log-on kívül máshol nem > találtam, abban meg ennyi van. Logol máshová is, csak nem látom? Nem. Esetleg megprobalhatod kicserelni az ipsec stacket az openswan felere a kernelben es ujraforditani, ehhez sajnos szokott kelleni egy kis buveszkedes, de multkor irtam itt az aktualis varazslatot, de sajnos az sem statikus megoldas. > > > Ha aggrmode=yes van a konfigban, akkor bőbeszédűbb > (ike=3des-sha1-modp1024 és esp=3des-sha1 kezdetekkel, mögöttük az > általad javasolt értékekkel): > > pluto[11574]: "p1" #38: multiple transforms were set in aggressive > mode. Only first one used. > pluto[11574]: "p1" #38: transform (7,2,5,128) ignored. > pluto[11574]: "p1" #38: transform (7,2,2,128) ignored. > pluto[11574]: "p1" #38: transform (7,1,5,128) ignored. > pluto[11574]: "p1" #38: transform (7,1,2,128) ignored. > pluto[11574]: "p1" #38: transform (5,2,5,0) ignored. > pluto[11574]: "p1" #38: transform (5,1,5,0) ignored. > pluto[11574]: "p1" #38: transform (5,1,2,0) ignored. Na itt kezdodik a szopas, mire ezeket a szamokat leforditja az ember azokra, amiket az esp parameternel adtal meg. > pluto[11574]: "p1" #38: received Vendor ID payload [Cisco-Unity] > pluto[11574]: "p1" #38: received Vendor ID payload [XAUTH] > pluto[11574]: "p1" #38: received Vendor ID payload [Dead Peer > Detection] > pluto[11574]: "p1" #38: ignoring Vendor ID payload [FRAGMENTATION > c0000000] > pluto[11574]: "p1" #38: ignoring Vendor ID payload [Cisco VPN 3000 > Series]pluto[11574]: "p1" #38: Aggressive mode peer ID is > ID_IPV4_ADDR: '1.2.3.4' > pluto[11574]: "p1" #38: Can't authenticate: no preshared key found for > `4.3.2.1' and `12.3.4'. Attribute OAKLEY_AUTHENTICATION_METHOD Jol latja ezt a szemem? 12.3.4? Kicsit keves ott pont, mintha valahol elgepeltel volna egy address-t. > pluto[11574]: "p1" #38: no acceptable Oakley Transform > pluto[11574]: "p1" #38: sending notification NO_PROPOSAL_CHOSEN to > 1.2.3.4:500' pfs=yes, aggressive mode kikapcsolva (foleg a tuloldalon)? > > > Ha kiveszem az ike és az esp elejéről a 3des-sha1-eket, akkor a Vendor > ID sorok eltűnnek a logból. > Úgyhogy már kezdem nagyon nem érteni a dolgot... > > Amikor vendor id payload van, akkor magyarazza a tuloldal, hogy o mire kepes, illetve mit szeretne, az esp valoszinuleg jo mar. ike=3des-md5-modp1024,3des-sha1-modp1024 van most? Az a fragmentation-os uzenet elegge nem szep, esetleg probald meg bebillenteni a df flaget. mtu hogyan van, belefer az ipsec-kel novelt header? -- Gabor HALASZ <[email protected]> _________________________________________________ linux lista - [email protected] http://mlf2.linux.rulez.org/mailman/listinfo/linux
