none
IPSec тоннель между ISA 2006 и pfSense RRS feed

  • Вопрос

  • Здравствуйте!
    исходные данные: Есть центральный офис, в интернет смотрит ISA 2006 Sp1, есть удаленный офис, там стоИт pfSense 1.2.2 (на основе FreeBSD). Это данность, это я изменить никак не могу.
    нужно прокинуть IPSec тоннель между сетями силами существующего софта.
    на стороне центрального офиса создаю подключение "сеть-сеть" с такими параметрами:
    Диапазоны адресов, включенные в сеть: внешний IP удаленного офиса и диапазон внутренних адресов удаленного офиса;
    удаленная конечная точка тоннеля - внешний адрес удаленного офиса
    адрес локального VPN-шлюза - внешний адрес центрального офиса (которым ISA смотрит в инет);
    IPSEC Phase I: 3DES, SHA1, группа2 (1024 бит);
    IPSEC Phase II: 3DES, SHA1, смена ключа каждые 3600 сек, использование PFS - отключено;
    Проверка подлинности - предварительный ключ.

    при этом еще создается в сетевое правило "сеть vpn к внутренней сети - маршрут" и правило межсетевого экрана "разрешить взаимный доступ между сетями vpn и внутренняя" по всем протоколам.

    в итоге - смотрю по удаленной точке - тоннель встает, но сети между собой не пингуются (и по другим протоколам тоже нет связи).
    смотрю в центре - сеансы (при фильтре - исходная сеть равна "vpn") - есть удаленный узел vpn и, когда из удаленной сети пытаешься, например сделать пинг в центральную сеть, появляется еще secureNAT с того адреса удаленной сети, с которого пытаюсь пинговать.
    сморю ведение журнала - там иногда появляется "проверка связи начато соединение", но пинг все равно не идет.

    подскажите, пожалуйста, я что-то неправильно настроил (есть такое ощущение, что где-то в районе файрвола что-то не так), или такое "Скрещивание" в принципе невозможно?

    в логах ISA при попытке пинговать из удаленной сети центральную сеть иногда появляется такое:
    192.168.30.100	-CERBERUS-ICMP-16.09.2009 4:08:29	8	0	0	0	0x0 ERROR_SUCCESS		0x0	0x0	Межсетевой экран 16.09.2009 12:08:29	192.168.2.80	0	Проверка связи	Начато соединение	Разрешить взаимный доступ между Soft VPN и внутренней сетью	192.168.30.100	-		Внутренняя	Soft VPN
    	
    192.168.30.100	-CERBERUS-ICMP-16.09.2009 3:48:44	8	75281	240	240	0x80074e20 FWX_E_GRACEFUL_SHUTDOWN		0x0	0x0	Межсетевой экран		16.09.2009 11:48:44	192.168.2.80	0	Проверка связи	Закрытое соединение	Разрешить взаимный доступ между Soft VPN и внутренней сетью	192.168.30.100	-		Внутренняя	Soft VPN	
    
    192.168.30.100 - удаленный комп, с которого пингуем
    192.168.2.80 - комп в центральной сети, который пингуем


    P.S. пробовал делать такой тоннель не на ISA server, а на небольшом "железном" роутере 3Com, в таком случае все работает, сети друг друга видят.

    17 сентября 2009 г. 1:54

Все ответы

  • Я похожую связку, ради интереса, поднимал между Free BSD 7.0 и ISA 2006 SP1 - все нормально работает.
    Если туннель поднялся (это можно увидеть через монитор IP безопасности и в журнале событий http://blogs.isaserver.org/pouseele/2007/07/07/basic-troubleshooting-for-ipsec-based-vpns/ ) скорее всего где то не хватает маршрута (лично наступал на эти грабли).

    Вот статейка там хоть про D-Link но все же....
    http://www.isaserver.org/articles/2004isadlink.html
    17 сентября 2009 г. 6:17
  • pfSense как раз на 7-й фрюхе сделан. Спасибо за ссылочки, будем посмотреть :)
    судя по журналам компа с ISA, тоннель встает:

    Тип события:    Аудит успехов
    Источник события:    Security
    Категория события:    Вход/выход
    Код события:    543
    Дата:        17.09.2009
    Время:        14:46:11
    Пользователь:        NT AUTHORITY\NETWORK SERVICE
    Компьютер:    CERBERUS
    Описание:
    Сопоставление безопасности IKE закончено.
     Режим: обмен ключами (основной режим)
     Фильтр:
    IP-адрес источника 80.255.130.165
    Маска IP-адреса источника 255.255.255.255
    IP-адрес назначения 80.255.130.161
    Маска IP-адреса назначения 255.255.255.255
    Протокол 0
    Порт источника 0
    Порт назначения 0
    Локальный адрес IKE 80.255.130.165
    Адрес партнера IKE 80.255.130.161
    Порт источника IKE 500
    Порт назначения IKE 500
    Частный адрес партнера


     и тут же падает с появлением вот такой ошибочки:

    Тип события:    Аудит отказов
    Источник события:    Security
    Категория события:    Вход/выход
    Код события:    547
    Дата:        17.09.2009
    Время:        14:40:11
    Пользователь:        NT AUTHORITY\NETWORK SERVICE
    Компьютер:    CERBERUS
    Описание:
    Не удалось согласовать сопоставление безопасности IKE.
     Режим:
    Режим защиты данных (быстрый режим)

     Фильтр:
    IP-адрес источника 80.255.130.165
    Маска IP-адреса источника 255.255.255.255
    IP-адрес назначения 192.168.30.0
    Маска IP-адреса назначения 255.255.255.0
    Протокол 0
    Порт источника 0
    Порт назначения 0
    Локальный адрес IKE 80.255.130.165
    Адрес партнера IKE 80.255.130.161
    Порт источника IKE 500
    Порт назначения IKE 500
    Частный адрес партнера

     Идентификация:
    Код (ID) предварительного общего ключа.
    IP-адрес узла: 80.255.130.161

     Точка ошибки:
    Я

     Причина ошибки:
    IKE SA удалено до того, как закончено установление

     Дополнительно:
    Обработанные третьи полезные данные (ID)
    Инициатор. Дельта времени 62
     0x0 0x0


    Что такое IKE SA?
    17 сентября 2009 г. 6:43
  • Тип события:    Аудит отказов
    Источник события:    Security
    Категория события:    Вход/выход
    Код события:    547
    Дата:        17.09.2009
    Время:        14:40:11
    Пользователь:        NT AUTHORITY\NETWORK SERVICE
    Компьютер:    CERBERUS
    Описание:
    Не удалось согласовать сопоставление безопасности IKE.
     Режим:
    Режим защиты данных (быстрый режим)

    Все, да не все. Это как раз говорит о том, что туннель не поднялся.

    Если возможно, то включите отладку на фрюхе, там она очень подробно пишет.
    файл  racoon.conf
    опция log debug2

    И еще один каверзный момент. У меня были еще проблемы с масками.
    На ISA у меня была внутренняя сеть 192,168,102,0/24 из этого диапазона я исключил адреса 192,168,102,200-254 (в настройках сетей).
    Так вот после этого ISA поднимала VPN c 192,168,102,0/25 :) и как у вас появлялось такое же событие и нифига не работало.
    А решилось это после того как я на самой фрюхе исправил маску сети назначения на 25.
    17 сентября 2009 г. 7:21
  • http://ru.wikipedia.org/wiki/IPSEC
    http://technet.microsoft.com/en-us/library/cc740240%28WS.10%29.aspx
    17 сентября 2009 г. 7:27
  • Возможно оттуда же рога растут, потому что в ISA у меня в сети "внутренняя" очень много сетей, не только центральная... попробую выделить ее в отдельную сеть и с ней впн поднять...

    17 сентября 2009 г. 8:08
  • Возможно оттуда же рога растут, потому что в ISA у меня в сети "внутренняя" очень много сетей, не только центральная... попробую выделить ее в отдельную сеть и с ней впн поднять...


    Так не получится или для всех остальных сетей отдельную сетевую или добавлять все свои сети на фрюхе.
    Иначе иса будет отбрасывать трафик от сетей, которые вы вычеркните из внутренней.
    17 сентября 2009 г. 8:12
  • создал тестовую внутреннюю сеть небольшую, сделал с ней одной впн (для теста), на стороне фряхи вот такой примерно лог получается (в обратном хронологическом порядке):
    Sep 17 01:29:12 racoon: ERROR: failed to pre-process packet.
    Sep 17 01:29:12 racoon: ERROR: failed to get sainfo.
    Sep 17 01:29:12 racoon: ERROR: failed to get sainfo.
    Sep 17 01:29:12 racoon: []: INFO: respond new phase 2 negotiation: 80.255.130.161[0]<=>80.255.130.165[0]
    Sep 17 01:29:12 racoon: ERROR: failed to pre-process packet.
    Sep 17 01:29:12 racoon: ERROR: failed to get sainfo.
    Sep 17 01:29:12 racoon: ERROR: failed to get sainfo.
    Sep 17 01:29:12 racoon: []: INFO: respond new phase 2 negotiation: 80.255.130.161[0]<=>80.255.130.165[0]
    Sep 17 01:29:12 racoon: []: INFO: ISAKMP-SA established 80.255.130.161[500]-80.255.130.165[500] spi:85671bd9bcb461b3:453fde1d2352061f
    Sep 17 01:29:11 racoon: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
    Sep 17 01:29:11 racoon: INFO: received Vendor ID: FRAGMENTATION
    Sep 17 01:29:11 racoon: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
    Sep 17 01:29:11 racoon: INFO: begin Identity Protection mode.
    Sep 17 01:29:11 racoon: []: INFO: respond new phase 1 negotiation: 80.255.130.161[500]<=>80.255.130.165[500]

    т.е. он 1 фазу проходит, а на второй спотыкается...
    17 сентября 2009 г. 8:33
  • Похоже на то, но лог не полный, я уже писал влючите debug2 - и будет более подробная информация.
    oakley.log на ISA гляньте там что пишет?

    И по поводу тестовой сети на фрюхе обязательно должен быть указан или шлюз или непосредственный маршрут к ISA.
    17 сентября 2009 г. 9:52
  • Извиняюсь, что долго не писал, в отъезде был...
    вот кусок лога...
    2009-09-23 16:54:44: DEBUG: received IDcr2:2009-09-23 16:54:44: DEBUG:
    04000000 c0a81e00 ffffff00
    2009-09-23 16:54:44: DEBUG: HASH(1) validate:2009-09-23 16:54:44: DEBUG:
    140a6f42 3ae40481 eee3c333 8ea9c9b9 40228c1a
    2009-09-23 16:54:44: DEBUG: HASH with:
    2009-09-23 16:54:44: DEBUG:
    5f55e4a3 04000038 00000001 00000001 0000002c 01030401 8be25de0 00000020
    01030000 80010001 00020004 00000e10 80040001 80050002 80030002 0a000084
    2db7664f 2fd823d4 3b5dba46 9cd813ee bd083794 067bb194 835632b4 a5c20224
    0d7ee7ef 2b1b8e08 3c24bcbb 126861b7 806b8287 1ee6133d 435984fd cdd04a70
    9b86d8a7 abb86046 23ff8138 ef8febb0 ae161f3f cbc3d421 2459a506 6472202f
    2c078bb6 7401ac58 0fdbad82 5e6e5a2a 582f5547 25c39a2d 805de908 e14b1921
    05000018 59c2a6da 657f2b1d 8c7a7ec5 8c88bb85 e39637f6 05000010 04000000
    c0a80000 fffffc00 00000010 04000000 c0a81e00 ffffff00
    2009-09-23 16:54:44: DEBUG: hmac(hmac_sha1)
    2009-09-23 16:54:44: DEBUG: HASH computed:
    2009-09-23 16:54:44: DEBUG:
    140a6f42 3ae40481 eee3c333 8ea9c9b9 40228c1a
    2009-09-23 16:54:44: DEBUG: anonymous configuration selected for 80.255.130.165.
    2009-09-23 16:54:44: DEBUG: getsainfo params: loc='192.168.30.0/24', rmt='192.168
    2009-09-23 16:54:44: DEBUG: getsainfo pass #1
    2009-09-23 16:54:44: DEBUG: evaluating sainfo: loc='ANONYMOUS', rmt='ANONYMOUS',
    2009-09-23 16:54:44: DEBUG: getsainfo pass #2
    2009-09-23 16:54:44: DEBUG: evaluating sainfo: loc='ANONYMOUS', rmt='ANONYMOUS',
    2009-09-23 16:54:44: DEBUG: selected sainfo: loc='ANONYMOUS', rmt='ANONYMOUS', pe
    2009-09-23 16:54:44: DEBUG: get a src address from ID payload 192.168.0.0[0] pref
    2009-09-23 16:54:44: DEBUG: get dst address from ID payload 192.168.30.0[0] prefi
    2009-09-23 16:54:44: DEBUG: sub:0xbfbfe524: 192.168.0.0/22[0] 192.168.30.0/24[0]
    2009-09-23 16:54:44: DEBUG: db: 0x2843b118: 192.168.31.0/24[0] 192.168.30.0/24[0]
    2009-09-23 16:54:44: DEBUG: 0xbfbfe524 masked with /24: 192.168.0.0[0]
    2009-09-23 16:54:44: DEBUG: 0x2843b118 masked with /24: 192.168.31.0[0]
    2009-09-23 16:54:44: DEBUG: sub:0xbfbfe524: 192.168.0.0/22[0] 192.168.30.0/24[0]
    2009-09-23 16:54:44: DEBUG: db: 0x2843b248: 192.168.30.0/24[0] 192.168.31.0/24[0]
    2009-09-23 16:54:44: ERROR: no policy found: 192.168.0.0/22[0] 192.168.30.0/24[0]
    2009-09-23 16:54:44: ERROR: failed to get proposal for responder.
    2009-09-23 16:54:44: ERROR: failed to pre-process packet.
    2009-09-23 16:54:44: DEBUG: IV freed
    23 сентября 2009 г. 8:54
  • 2009-09-23 16:54:44: ERROR: no policy found: 192.168.0.0/22
    [0] 192.168.30.0/24[0]
    
    
    
    2009-09-23 16:54:44: ERROR: failed to get proposal for responder.
    2009-09-23 16:54:44: ERROR: failed to pre-process packet.

    Проверьте описание этих сетей и обращайте внимание на маски
    192.168.0.0/22
    25 сентября 2009 г. 12:11
  • Эти сети есть со стороны ISA, относятся к "внутренним". Со стороны фрюхи пробовал добавлять
    spdadd 192.168.0.0/22 192.168.30.0/24 any -P in ipsec esp/tunnel/80.255.130.165-80.255.130.161/require;

    выдает тоже самое :(
    28 сентября 2009 г. 1:56
  • А где out?

    spdadd 192.168.30.0/24 192.168.0.0/22 any -P out ipsec esp/tunnel/ 80.255.130.161- 80.255.130.165/require;

    попробуйте добавить эту строку.

    Еще проврьтие файл racoon.conf может у вас там чего то не доописано.
    Посмотрите еще oakley.lof на ISA, какие там ассоциации строятся и к каким сетям.
    И если возможно, то выложите выложите содержимое racoon.conf и setkey.conf.
    28 сентября 2009 г. 7:36