Потери в связке OpenBSD-Cisco1-Cisco2

classic Classic list List threaded Threaded
6 messages Options
Reply | Threaded
Open this post in threaded view
|

Потери в связке OpenBSD-Cisco1-Cisco2

pse-2
Доброго времени суток Уважаемые.
Поставили задачу связать OpenBSD c циской.
Сделал так: http://www.openbsd.ru/docs/faq/ipsec.html#pix, с точностью
до сетей, алгоритмов шифрования и хеширования.
Все работает, связь с циской устойчивая.
А дальше начались проблемы, За первой циской оказалась вторая, причем,
между ними тоннель сделан немного по другой схеме -
на сколько я понял, перед установкой ipsec тоннеля между ними ставится
ип тонель на серых адресах и, дальше, все уже делается на нем..

Вот кусок конфа с одной из цисок:
interface Tunnel1
description Tratata
ip address 10.xxx.xxx.1 255.255.255.252
tunnel source Loopback0
tunnel destination xxx.xxx.xxx.xxx
tunnel mode ipsec ipv4
tunnel protection ipsec profile DILER

Так вот до второй циски половина потерь. Интересно, что пинги теряются
через один.
При этом, если вместо OpenBSD использовать циску настроенную по второй
схеме - все ок.
Сейчас ищу свободную циску для настройки "как OpenBSD" ...
Пока суть до дело решил спросить, может кто сталкивался....


Reply | Threaded
Open this post in threaded view
|

Re: Потери в связке OpenBSD-Cisco1-Cisco2

Алексей Бабкин
Здравствуйте, Sergey.

Вы писали 4 февраля 2009 г., 12:25:10:

http://xgu.ru/wiki/IPsec_%D0%B2_Cisco

> Доброго времени суток Уважаемые.
> Поставили задачу связать OpenBSD c циской.
> Сделал так: http://www.openbsd.ru/docs/faq/ipsec.html#pix, с точностью
> до сетей, алгоритмов шифрования и хеширования.
> Все работает, связь с циской устойчивая.
> А дальше начались проблемы, За первой циской оказалась вторая, причем,
> между ними тоннель сделан немного по другой схеме -
> на сколько я понял, перед установкой ipsec тоннеля между ними ставится
> ип тонель на серых адресах и, дальше, все уже делается на нем..

--
С уважением,
 Алексей                          mailto:[hidden email]


Reply | Threaded
Open this post in threaded view
|

Re: Потери в связке OpenBSD-Cisco1-Cisco2

Grigoriy Orlov-4
In reply to this post by pse-2
On Wed, Feb 04, 2009 at 12:25:10PM +0300, Sergey E. Ponomarev <[hidden email]> wrote:

> Доброго времени суток Уважаемые.
> Поставили задачу связать OpenBSD c циской.
> Сделал так: http://www.openbsd.ru/docs/faq/ipsec.html#pix, с точностью
> до сетей, алгоритмов шифрования и хеширования.
> Все работает, связь с циской устойчивая.
> А дальше начались проблемы, За первой циской оказалась вторая, причем,
> между ними тоннель сделан немного по другой схеме -
> на сколько я понял, перед установкой ipsec тоннеля между ними ставится
> ип тонель на серых адресах и, дальше, все уже делается на нем..
>
> Вот кусок конфа с одной из цисок:
> interface Tunnel1
> description Tratata
> ip address 10.xxx.xxx.1 255.255.255.252
> tunnel source Loopback0
> tunnel destination xxx.xxx.xxx.xxx
> tunnel mode ipsec ipv4
> tunnel protection ipsec profile DILER
>
> Так вот до второй циски половина потерь. Интересно, что пинги теряются
> через один.
> При этом, если вместо OpenBSD использовать циску настроенную по второй
> схеме - все ок.
> Сейчас ищу свободную циску для настройки "как OpenBSD" ...
> Пока суть до дело решил спросить, может кто сталкивался....

А на PIX тоже есть Tunnel интерфейсы ? Те PIX и ASA с которыми я ковырялся
их не имели и мне пришлось отказаться от этих ущербных цисок при реализации
связи в нашей компании.
Чтобы победить проблему, ты должен четко представлять что ты конфигуряешь.
Разберись где у тебя Tunnel Mode и где Transport Mode, как работает
IPsec policy.  Если не перегружал cisco, то можно это сделать, им в отличие
от OpenBSD это часто помогает.

> При этом, если вместо OpenBSD использовать циску настроенную по второй
> схеме - все ок.

Вот это самое интересное. Сделай работающюю схему и включи в нее OpenBSD
вместо Cisco. IPsec в OpenBSD с использованием ipsec.conf конфигурируется
очень просто, можно настроить практически любую конфигурацию.

        /gluk


Reply | Threaded
Open this post in threaded view
|

Re: Потери в связке OpenBSD-Cisco1-Cisco2

pse-2
Grigoriy Orlov пишет:

> On Wed, Feb 04, 2009 at 12:25:10PM +0300, Sergey E. Ponomarev <[hidden email]> wrote:
>  
>> Доброго времени суток Уважаемые.
>> Поставили задачу связать OpenBSD c циской.
>> Сделал так: http://www.openbsd.ru/docs/faq/ipsec.html#pix, с точностью
>> до сетей, алгоритмов шифрования и хеширования.
>> Все работает, связь с циской устойчивая.
>> А дальше начались проблемы, За первой циской оказалась вторая, причем,
>> между ними тоннель сделан немного по другой схеме -
>> на сколько я понял, перед установкой ipsec тоннеля между ними ставится
>> ип тонель на серых адресах и, дальше, все уже делается на нем..
>>
>> Вот кусок конфа с одной из цисок:
>> interface Tunnel1
>> description Tratata
>> ip address 10.xxx.xxx.1 255.255.255.252
>> tunnel source Loopback0
>> tunnel destination xxx.xxx.xxx.xxx
>> tunnel mode ipsec ipv4
>> tunnel protection ipsec profile DILER
>>
>> Так вот до второй циски половина потерь. Интересно, что пинги теряются
>> через один.
>> При этом, если вместо OpenBSD использовать циску настроенную по второй
>> схеме - все ок.
>> Сейчас ищу свободную циску для настройки "как OpenBSD" ...
>> Пока суть до дело решил спросить, может кто сталкивался....
>>    
>
> А на PIX тоже есть Tunnel интерфейсы ? Те PIX и ASA с которыми я ковырялся
> их не имели и мне пришлось отказаться от этих ущербных цисок при реализации
> связи в нашей компании.
> Чтобы победить проблему, ты должен четко представлять что ты конфигуряешь.
> Разберись где у тебя Tunnel Mode и где Transport Mode, как работает
> IPsec policy.  Если не перегружал cisco, то можно это сделать, им в отличие
> от OpenBSD это часто помогает.
>  
Я на ASA 5510 Tunnel не нашел.
У них Cisco 2851K9
А с моей стороны 806я, но пощупать ее не могу ибо железо провайдера ...
На сколько я понял из RFC Tunnel Mode это когда шифруется весь пакет, а
  Transport Mode - только payload, а заголовки не меняются. По умолчанию
для моего алгоритма стоит
ENCAPSULATION_MODE= TUNNEL если поставить transport, не коннектится...
 

>> При этом, если вместо OpenBSD использовать циску настроенную по второй
>> схеме - все ок.
>>    
>
> Вот это самое интересное. Сделай работающюю схему и включи в нее OpenBSD
> вместо Cisco. IPsec в OpenBSD с использованием ipsec.conf конфигурируется
> очень просто, можно настроить практически любую конфигурацию.
>
> /gluk
>  
Погуглил - везде одно и то же, с незначительными отличиями на тему шифрования и хеширования, и везде isakmp.conf.
Ничего про ipsec.conf. Он вообще нужен при такой схеме? Может есть ссылки почитать (ну кроме мана :) ?


Reply | Threaded
Open this post in threaded view
|

Re: Потери в связке OpenBSD-Cisco1-Cisco2

Grigoriy Orlov-4
On Wed, Feb 04, 2009 at 05:30:33PM +0300, Sergey E. Ponomarev <[hidden email]> wrote:

> Grigoriy Orlov пишет:
> >On Wed, Feb 04, 2009 at 12:25:10PM +0300, Sergey E. Ponomarev
> ><[hidden email]> wrote:
> >  
> >>Доброго времени суток Уважаемые.
> >>Поставили задачу связать OpenBSD c циской.
> >>Сделал так: http://www.openbsd.ru/docs/faq/ipsec.html#pix, с точностью
> >>до сетей, алгоритмов шифрования и хеширования.
> >>Все работает, связь с циской устойчивая.
> >>А дальше начались проблемы, За первой циской оказалась вторая, причем,
> >>между ними тоннель сделан немного по другой схеме -
> >>на сколько я понял, перед установкой ipsec тоннеля между ними ставится
> >>ип тонель на серых адресах и, дальше, все уже делается на нем..
> >>
> >>Вот кусок конфа с одной из цисок:
> >>interface Tunnel1
> >>description Tratata
> >>ip address 10.xxx.xxx.1 255.255.255.252
> >>tunnel source Loopback0
> >>tunnel destination xxx.xxx.xxx.xxx
> >>tunnel mode ipsec ipv4
> >>tunnel protection ipsec profile DILER
> >>
> >>Так вот до второй циски половина потерь. Интересно, что пинги теряются
> >>через один.
> >>При этом, если вместо OpenBSD использовать циску настроенную по второй
> >>схеме - все ок.
> >>Сейчас ищу свободную циску для настройки "как OpenBSD" ...
> >>Пока суть до дело решил спросить, может кто сталкивался....
> >>    
> >
> >А на PIX тоже есть Tunnel интерфейсы ? Те PIX и ASA с которыми я ковырялся
> >их не имели и мне пришлось отказаться от этих ущербных цисок при реализации
> >связи в нашей компании.
> >Чтобы победить проблему, ты должен четко представлять что ты конфигуряешь.
> >Разберись где у тебя Tunnel Mode и где Transport Mode, как работает
> >IPsec policy.  Если не перегружал cisco, то можно это сделать, им в отличие
> >от OpenBSD это часто помогает.
> >  
> Я на ASA 5510 Tunnel не нашел.
> У них Cisco 2851K9
> А с моей стороны 806я, но пощупать ее не могу ибо железо провайдера ...
> На сколько я понял из RFC Tunnel Mode это когда шифруется весь пакет, а
>  Transport Mode - только payload, а заголовки не меняются. По умолчанию
> для моего алгоритма стоит
> ENCAPSULATION_MODE= TUNNEL если поставить transport, не коннектится...
>
> >>При этом, если вместо OpenBSD использовать циску настроенную по второй
> >>схеме - все ок.
> >>    
> >
> >Вот это самое интересное. Сделай работающюю схему и включи в нее OpenBSD
> >вместо Cisco. IPsec в OpenBSD с использованием ipsec.conf конфигурируется
> >очень просто, можно настроить практически любую конфигурацию.
> >
> > /gluk
> >  
> Погуглил - везде одно и то же, с незначительными отличиями на тему
> шифрования и хеширования, и везде isakmp.conf. Ничего про ipsec.conf. Он
> вообще нужен при такой схеме? Может есть ссылки почитать (ну кроме мана :) ?

man рулит.

Ну вот на той же страничке на которую ты ссылался есть линк:
http://www.openbsd.ru/docs/faq/ipsecctl.html

Если коротко, то базовая конфигурация tunnel mode выглядит так:

# grep -E 'ipsec|isakmpd' /etc/rc.conf.local  
isakmpd_flags="-K"      # for normal use: ""
ipsec=YES               # IPsec
ipsec_rules=/etc/ipsec.conf     # IPsec rules file
#
# cat /etc/isakmpd/isakmpd.conf
[General]
Listen-on=             x.x.x.x
DPD-check-interval=    60
#
# cat /etc/ipsec.conf
ike esp from X.X.X.X/X to Y.Y.Y.Y/Y \
       local x.x.x.x peer y.y.y.y \
       main auth hmac-sha1 enc aes group modp1024 \
       quick auth hmac-sha1 enc aes group modp1024 \
       psk mekmitasdigoat
#

Не забудь поправить алгоритмы по вкусу.

Не забываем пользоваться tcpdump на enc0 и ext_if.
Смотреть ipsecctl -s all, логи isakmpd. Еще можно
включить -L у isakmpd и смотреть все что происходит
внутри сессии между ISAKMP пирами.

        /gluk


Reply | Threaded
Open this post in threaded view
|

Re: Потери в связке OpenBSD-Cisco1-Cisco2

pse-2
Всем спасибо!!!
Приедет железка  - продолжу.

Grigoriy Orlov пишет:

> Ну вот на той же страничке на которую ты ссылался есть линк:
> http://www.openbsd.ru/docs/faq/ipsecctl.html
>
> Если коротко, то базовая конфигурация tunnel mode выглядит так:
>
> # grep -E 'ipsec|isakmpd' /etc/rc.conf.local  
> isakmpd_flags="-K"      # for normal use: ""
> ipsec=YES               # IPsec
> ipsec_rules=/etc/ipsec.conf     # IPsec rules file
> #
> # cat /etc/isakmpd/isakmpd.conf
> [General]
> Listen-on=             x.x.x.x
> DPD-check-interval=    60
> #
> # cat /etc/ipsec.conf
> ike esp from X.X.X.X/X to Y.Y.Y.Y/Y \
>        local x.x.x.x peer y.y.y.y \
>        main auth hmac-sha1 enc aes group modp1024 \
>        quick auth hmac-sha1 enc aes group modp1024 \
>        psk mekmitasdigoat
> #
>
> Не забудь поправить алгоритмы по вкусу.
>
> Не забываем пользоваться tcpdump на enc0 и ext_if.
> Смотреть ipsecctl -s all, логи isakmpd. Еще можно
> включить -L у isakmpd и смотреть все что происходит
> внутри сессии между ISAKMP пирами.
>
> /gluk
>
>
>  
> man рулит.