Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Ошибка в strongSwan
260 views
Skip to first unread message
Коротаев Руслан
Feb 15, 2017, 9:50:02 AM2/15/17
to
Приветствую!
Пытаюсь сделать IPsec на базе strongSwan, чтобы смартфоны и планшеты
нативно поддерживались. Делаю простой вариант, без сертификатов [1], но
постоянно вылезает такая ошибка:
unable to resolve %any, initiate aborted
tried to check-in and delete nonexisting IKE_SA
establishing connection 'home' failed
Вылезает при любых настройках, хоть с сертификатом, хоть без. Вот здесь
она описана [2], но ничего не помогает. Провайдер говорит что никаких
UDP фильтров или закрытых портов у него нет, всё должно работать.
Если кто-нибудь strongSwan настраивал, поделитесь правильным конфигом.
[1]: https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html
[2]: https://wiki.strongswan.org/issues/440
--
Коротаев Руслан
https://blog.kr.pp.ru
Пытаюсь сделать IPsec на базе strongSwan, чтобы смартфоны и планшеты
нативно поддерживались. Делаю простой вариант, без сертификатов [1], но
постоянно вылезает такая ошибка:
unable to resolve %any, initiate aborted
tried to check-in and delete nonexisting IKE_SA
establishing connection 'home' failed
Вылезает при любых настройках, хоть с сертификатом, хоть без. Вот здесь
она описана [2], но ничего не помогает. Провайдер говорит что никаких
UDP фильтров или закрытых портов у него нет, всё должно работать.
Если кто-нибудь strongSwan настраивал, поделитесь правильным конфигом.
[1]: https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html
[2]: https://wiki.strongswan.org/issues/440
--
Коротаев Руслан
https://blog.kr.pp.ru
Artem Chuprina
Feb 15, 2017, 11:20:03 AM2/15/17
to
Коротаев Руслан -> Debian-russian List @ Wed, 15 Feb 2017 19:19:54 +0500:
Чисто по логике, unable to resolve обычно означает, что оно там хочет
адрес, имеет имя хоста, но не может его отрезолвить. По той же логике,
следом должно идти имя хоста. Судя по тому, что там %any, следует
предположить, что у кого-то что-то недоконфигурировано в части того,
куда ходить. И уже действительно без разницы, есть какие-то сертификаты
или нет, если их предъявить некому.
адрес, имеет имя хоста, но не может его отрезолвить. По той же логике,
следом должно идти имя хоста. Судя по тому, что там %any, следует
предположить, что у кого-то что-то недоконфигурировано в части того,
куда ходить. И уже действительно без разницы, есть какие-то сертификаты
или нет, если их предъявить некому.
Alexander Pytlev
Feb 15, 2017, 5:00:02 PM2/15/17
to
15.02.2017 17:19, Коротаев Руслан пишет:
серверу.
--
See You.
WBW
> Приветствую!
>
> Пытаюсь сделать IPsec на базе strongSwan, чтобы смартфоны и планшеты
> нативно поддерживались. Делаю простой вариант, без сертификатов [1], но
> постоянно вылезает такая ошибка:
>
> unable to resolve %any, initiate aborted
> tried to check-in and delete nonexisting IKE_SA
> establishing connection 'home' failed
connection 'home' - это конфиг клиента, который хочет подключится к
>
> Пытаюсь сделать IPsec на базе strongSwan, чтобы смартфоны и планшеты
> нативно поддерживались. Делаю простой вариант, без сертификатов [1], но
> постоянно вылезает такая ошибка:
>
> unable to resolve %any, initiate aborted
> tried to check-in and delete nonexisting IKE_SA
> establishing connection 'home' failed
серверу.
--
See You.
WBW
Коротаев Руслан
Feb 15, 2017, 5:40:02 PM2/15/17
to
В сообщении от [Чт 2017-02-16 00:43 +0300]
Alexander Pytlev <apy...@tut.by> пишет:
> connection 'home' - это конфиг клиента, который хочет подключится к
> серверу.
Нет, это ошибка на сервере при запуске демона. Вот свежая информация на
эту тему [1], якобы такое возникает в Jessie, но я пробовал в CentOS 7,
там тоже самое.
Здесь нужна правильная настройка виртуальных IP-адресов. Он должен
понять что right=%any, это смартфоны и планшеты (roadwarrior), их нужно
резолвить и выдавать IP.
[1]: https://wiki.strongswan.org/issues/1516
Alexander Pytlev <apy...@tut.by> пишет:
> connection 'home' - это конфиг клиента, который хочет подключится к
> серверу.
эту тему [1], якобы такое возникает в Jessie, но я пробовал в CentOS 7,
там тоже самое.
Здесь нужна правильная настройка виртуальных IP-адресов. Он должен
понять что right=%any, это смартфоны и планшеты (roadwarrior), их нужно
резолвить и выдавать IP.
[1]: https://wiki.strongswan.org/issues/1516
Alexander Pytlev
Feb 16, 2017, 2:30:02 AM2/16/17
to
16.02.2017 1:38, Коротаев Руслан пишет:
конфиге клиента.
Сервер - это moon в том примере.
Конфиги в студию, тогда можно что либо предметно обсуждать.
> Здесь нужна правильная настройка виртуальных IP-адресов. Он должен
> понять что right=%any, это смартфоны и планшеты (roadwarrior), их нужно
> резолвить и выдавать IP.
>
> [1]: https://wiki.strongswan.org/issues/1516
Ты внимательно прочитал то что написано по приведённой тобой ссылке ?
особенно ответ под #5 ?
[*]: https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html
--
See You.
WBW
>
>> connection 'home' - это конфиг клиента, который хочет подключится к
>> серверу.
> Нет, это ошибка на сервере при запуске демона. Вот свежая информация на
> эту тему [1], якобы такое возникает в Jessie, но я пробовал в CentOS 7,
> там тоже самое.
Если ты брал конфиги из примеров [*], то "conn home" есть только в
>> connection 'home' - это конфиг клиента, который хочет подключится к
>> серверу.
> Нет, это ошибка на сервере при запуске демона. Вот свежая информация на
> эту тему [1], якобы такое возникает в Jessie, но я пробовал в CentOS 7,
> там тоже самое.
конфиге клиента.
Сервер - это moon в том примере.
Конфиги в студию, тогда можно что либо предметно обсуждать.
> Здесь нужна правильная настройка виртуальных IP-адресов. Он должен
> понять что right=%any, это смартфоны и планшеты (roadwarrior), их нужно
> резолвить и выдавать IP.
>
> [1]: https://wiki.strongswan.org/issues/1516
особенно ответ под #5 ?
[*]: https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html
--
See You.
WBW
Коротаев Руслан
Feb 16, 2017, 8:20:03 AM2/16/17
to
В сообщении от [Чт 2017-02-16 10:17 +0300]
Alexander Pytlev <apy...@tut.by> пишет:
> Если ты брал конфиги из примеров [*], то "conn home" есть только в
> конфиге клиента.
> Сервер - это moon в том примере.
>
> Конфиги в студию, тогда можно что либо предметно обсуждать.
Прошу прощения, не указал где именно проблема. Воспроизвожу сценарий для
сервера (moon) отсюда:
https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html
Конфиги для данных файлов можно найти по ссылке выше:
ipsec.conf
ipsec.secrets
strongswan.conf
Параметры в /etc/sysctl.conf включил:
sysctl net.ipv4.ip_forward=1
sysctl net.ipv6.conf.all.forwarding=1
Ошибка возникает, на этапе подключения:
# ipsec up rw
У меня подозрение, что strongSwan стартует и пытается соединится, вместо
того чтобы ожидать соединения от roadwarriors.
P.S.: Могу дать доступ к тестовому серверу (напишите в личку), если есть
возможность помочь на месте.
Alexander Pytlev <apy...@tut.by> пишет:
> Если ты брал конфиги из примеров [*], то "conn home" есть только в
> конфиге клиента.
> Сервер - это moon в том примере.
>
> Конфиги в студию, тогда можно что либо предметно обсуждать.
сервера (moon) отсюда:
https://www.strongswan.org/testing/testresults5dr/ikev2/rw-psk-fqdn/index.html
Конфиги для данных файлов можно найти по ссылке выше:
ipsec.conf
ipsec.secrets
strongswan.conf
Параметры в /etc/sysctl.conf включил:
sysctl net.ipv4.ip_forward=1
sysctl net.ipv6.conf.all.forwarding=1
Ошибка возникает, на этапе подключения:
# ipsec up rw
unable to resolve %any, initiate aborted
tried to check-in and delete nonexisting IKE_SA
establishing connection 'rw' failed
tried to check-in and delete nonexisting IKE_SA
У меня подозрение, что strongSwan стартует и пытается соединится, вместо
того чтобы ожидать соединения от roadwarriors.
P.S.: Могу дать доступ к тестовому серверу (напишите в личку), если есть
возможность помочь на месте.
Alexander Pytlev
Feb 16, 2017, 2:00:03 PM2/16/17
to
16.02.2017 16:15, Коротаев Руслан пишет:
соединение к клиенту rw
> unable to resolve %any, initiate aborted
> tried to check-in and delete nonexisting IKE_SA
> establishing connection 'rw' failed
на сервере:
ipsec stop
ipsec start
ipsec statusall
для старта вместе с системой, добавить сервис ipsec в "автозагрузку"
> У меня подозрение, что strongSwan стартует и пытается соединится, вместо
> того чтобы ожидать соединения от roadwarriors.
Ну, потому что ему так велели сделать
--
See You.
WBW
> Ошибка возникает, на этапе подключения:
> # ipsec up rw
Правильно ошибка возникает, потому что ты командуеш серверу поднимать
> # ipsec up rw
соединение к клиенту rw
> unable to resolve %any, initiate aborted
> tried to check-in and delete nonexisting IKE_SA
> establishing connection 'rw' failed
ipsec stop
ipsec start
ipsec statusall
для старта вместе с системой, добавить сервис ipsec в "автозагрузку"
> У меня подозрение, что strongSwan стартует и пытается соединится, вместо
> того чтобы ожидать соединения от roadwarriors.
--
See You.
WBW
Коротаев Руслан
Feb 23, 2017, 8:30:03 AM2/23/17
to
В сообщении от [Чт 2017-02-16 21:53 +0300]
Alexander Pytlev <apy...@tut.by> пишет:
> > Ошибка возникает, на этапе подключения:
> > # ipsec up rw
> Правильно ошибка возникает, потому что ты командуеш серверу поднимать
> соединение к клиенту rw
Да, вы правы ipsec up … команда клиента, а не сервера, перепутал. Но
теперь возникла другая проблема, точнее две.
===========================
IPv6
---------------------------
Я раздаю IPv6 адреса клиентам через туннель Hurricane Electric (HE), он
дает подсеть /64 бесплатно, у клиентов будут американские IP, а значит
будет доступ к Spotify, Pandora и прочим.
Всё работает, но только если сайт резолвится строго по IPv6, либо если
вручную указать типа wget -6. Если сайт резовится и по IPv4 и по IPv6,
то браузер предпочитает IPv4. Гугл говорит что это из-за того, что
линукс предпочитает сначала нативный IPv6, потом нативный IPv4 и только
потом туннели.
Всё это настраивается в /etc/gai.conf, мне нужно изменить приоритет, то
есть если сайт резолвится по IPv6, значит он должен ходить через
туннель, даже если по IPv4 ближе. У меня настроить gai.conf так и не
получилось.
===========================
IPv4
---------------------------
На сервере я настроил файрвол как указано на сайте [1]:
iptables -t nat -A POSTROUTING -s 10.0.3.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.3.0/24 -o eth0 -j MASQUERADE
Однако, некоторые сайты всё равно не открываются. После этого в пакете
остаются следы IPsec, какие-нибудь заголовки или данные? Может быть
из-за этого пакеты теряются, или это я что-то неправильно настраиваю?
[1]: https://wiki.strongswan.org/projects/strongswan/wiki/ForwardingAndSplitTunneling
Alexander Pytlev <apy...@tut.by> пишет:
> > Ошибка возникает, на этапе подключения:
> > # ipsec up rw
> Правильно ошибка возникает, потому что ты командуеш серверу поднимать
> соединение к клиенту rw
теперь возникла другая проблема, точнее две.
===========================
IPv6
---------------------------
Я раздаю IPv6 адреса клиентам через туннель Hurricane Electric (HE), он
дает подсеть /64 бесплатно, у клиентов будут американские IP, а значит
будет доступ к Spotify, Pandora и прочим.
Всё работает, но только если сайт резолвится строго по IPv6, либо если
вручную указать типа wget -6. Если сайт резовится и по IPv4 и по IPv6,
то браузер предпочитает IPv4. Гугл говорит что это из-за того, что
линукс предпочитает сначала нативный IPv6, потом нативный IPv4 и только
потом туннели.
Всё это настраивается в /etc/gai.conf, мне нужно изменить приоритет, то
есть если сайт резолвится по IPv6, значит он должен ходить через
туннель, даже если по IPv4 ближе. У меня настроить gai.conf так и не
получилось.
===========================
IPv4
---------------------------
На сервере я настроил файрвол как указано на сайте [1]:
iptables -t nat -A POSTROUTING -s 10.0.3.0/24 -o eth0 -m policy --dir out --pol ipsec -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.0.3.0/24 -o eth0 -j MASQUERADE
Однако, некоторые сайты всё равно не открываются. После этого в пакете
остаются следы IPsec, какие-нибудь заголовки или данные? Может быть
из-за этого пакеты теряются, или это я что-то неправильно настраиваю?
[1]: https://wiki.strongswan.org/projects/strongswan/wiki/ForwardingAndSplitTunneling
0 new messages