ipsec freeswan vs. cisco
AB
daemon2 na email.cz
Čtvrtek Květen 23 10:41:11 CEST 2002
Problem je IMHO obecne v tom, ze linuxova strana nema jak zjistit, ze cisco
bylo restartovane, takze nema duvod znovu vyjednat SA. Dozvi se o tom az ve
chvili, kdy prijde nejaky traffic z cisca (resp. isakmp pro navazani novych
SA).
Jinak dve cisco zarizeni mezi sebou pouzivaji keepalives (ktere jsou myslim
proprietarni pro cisco a nejsou standardni).
Preji prijemny den :-)
--
AB
"Petr Sretr" <sretr na datis.cdrail.cz> wrote in message
news:3CECA3A0.8235DAD3 na datis.cdrail.cz...
> Dobry den,
>
> mam maly problem s chovanim implementace ipsec na linuxu ( freeswan )
> vuci ciscu ( konfigurace viz. nize ) . Vse se mi podarilo zprovoznit
> podle navodu
> a po startu systemu se vytvori tunel a vse funguje tak jak ma. Problem,
>
> ale nastane kdyz restartuji cisco router, linux si stale mysli, ze je
> tunel vytvoren a nesnazi se o znovu navazani relace. Na cisco routeru se
> pak objevuji hlasky typu 'IPSEC packet has invalid spi'. Nesetkal jste
> se nekdo s podobnym chovanim ? Neni nejaka moznost jak linux donutit,
> aby se po restartu cisca snazil tunel znovu vytvorit ?
>
> Diky,
> Petr
>
> Konfigurace site
>
> host 10.28.12.141
> |
> -------------------------- 10.28.12.0
> |
> linux router - 10.28.12.1, 10.28.13.1
> |
> | 10.28.13.0
> |
> cisco router - 10.28.17.1, 10.28.13.2
> |
> -------------------------- 10.28.17.0
> |
> host 10.28.17.128
>
> Konfigurace freeswan ( verze 1.97, jadro 2.4.18-3, redhat 7.3 )
>
> /etc/ipsec.conf
>
> config setup
> interfaces="ipsec0=eth0"
> klipsdebug=none
> plutodebug=none
> plutoload=%search
> plutostart=%search
> uniqueids=yes
>
> conn %default
> keyingtries=0
>
> conn cisco1
> left=10.28.13.1
> leftsubnet=10.28.12.0/24
> right=10.28.13.2
> rightsubnet=10.28.17.0/24
> auto=start
> lifetime=8h
> pfs=no
>
> /etc/ipsec.secrets
>
> 10.28.13.1 10.28.13.2 10.28.12.1 10.28.17.1: PSK "pokus"
>
>
> Konfigurace cisco routeru ( 1720, IOS 12.0(3) T )
>
> crypto isakmp policy 30
> encr 3des
> hash md5
> authentication pre-share
> group 2
> lifetime 28880
> crypto isakmp key pokus address 10.28.13.1
> !
> !
> crypto ipsec transform-set 3des-md5 esp-3des esp-md5-hmac
> !
> crypto map vpn local-address FastEthernet0
> crypto map vpn 30 ipsec-isakmp
> set peer 10.28.13.1
> set transform-set 3des-md5
> match address 130
> !
> interface FastEthernet0
> ip address 10.28.17.1 255.255.255.0 secondary
> ip address 10.28.13.2 255.255.255.0
> speed auto
> no cdp enable
> crypto map vpn
> !
> access-list 130 permit ip 10.28.17.0 0.0.0.255 10.28.12.0 0.0.0.255
>
Další informace o konferenci Linux