Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!

Ogłoszenie

Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.

#1  2017-08-24 19:36:29

  wolacinio - Użytkownik

wolacinio
Użytkownik
Zarejestrowany: 2016-03-10

Konfiguracja IPSec - brak połączenia

Witam serdecznie.
Potrzebuje skonfigurować VPN pod IPsec. Jednak nie mam zbyt wielu informacji o serwerze. Nie wiem czy jest to L2TP/IPSec PSK czy IPSec Xauth PSK. No chyba, że może coś innego.

Posiadam takie dane jak:
-użytkownik
-hasło
-ip hosta
-pre-shared key

oraz również konfigurację pod Windows'a wykorzystujący FortiClient'a.
http://imgur.com/a/QpAtK
Na pierwszym zdjęciu pokazane jest ustawienia jakie powinny być ustawione.

Konfiguracja ipsec.conf

Kod:

config setup

conn %default
  ikelifetime=60m
  keylife=30m
  rekeymargin=3m
  authby=secret
  keyexchange=ikev1
#  aggrmode=yes

conn myvpn
  keyexchange=ikev1 
  left=%defaultroute
  auto=start
  authby=secret
  type=tunnel
  #type=transport
  right=ukryte
  leftprotoport=17/%any
  ike=aes128-sha1-modp1536
#  leftxauthusername=xxx

Kod:

Linux wolacinio 4.11.0-1-amd64 #1 SMP Debian 4.11.6-1 (2017-06-19) x86_64 GNU/Linux

Logi:

Kod:

Aug 24 19:28:08 wolacinio charon: 12[IKE] sending retransmit 1 of request message ID 0, seq 3
Aug 24 19:28:08 wolacinio charon: 12[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:28:08 wolacinio charon: 00[DMN] signal of type SIGINT received. Shutting down
Aug 24 19:28:08 wolacinio systemd[1]: Stopping strongSwan IPsec IKEv1/IKEv2 daemon using ipsec.conf...
Aug 24 19:28:08 wolacinio charon: 00[IKE] destroying IKE_SA in state CONNECTING without notification
Aug 24 19:28:08 wolacinio ipsec[6918]: 00[DMN] Starting IKE charon daemon (strongSwan 5.6.0, Linux 4.11.0-1-amd64, x86_64)
Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG]   loaded IKE secret for %any
Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loading secrets from '/etc/ipsec.d/nm-l2tp-ipsec-878042e2-b216-4bd8-a3ed-5f1888ebd707.secrets'
Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG]   loaded IKE secret for %any
Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loading secrets from '/etc/ipsec.d/nm-l2tp-ipsec-f71f9d84-c809-45f5-ab6f-856cacd5f5bb.secrets'
Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG]   loaded IKE secret for %any
Aug 24 19:28:08 wolacinio ipsec[6918]: 00[LIB] loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf gmp curve25519 xcbc cmac hmac attr kernel-netlink resolve socket-default stroke vici updown xauth-generic
Aug 24 19:28:08 wolacinio ipsec[6918]: 00[JOB] spawning 16 worker threads
Aug 24 19:28:08 wolacinio ipsec[6918]: 04[CFG] received stroke: add connection 'myvpn'
Aug 24 19:28:08 wolacinio ipsec[6918]: 04[CFG] added configuration 'myvpn'
Aug 24 19:28:08 wolacinio ipsec[6918]: 07[CFG] received stroke: initiate 'myvpn'
Aug 24 19:28:08 wolacinio ipsec[6918]: 07[IKE] initiating Main Mode IKE_SA myvpn[1] to 178.217.199.212
Aug 24 19:28:08 wolacinio ipsec[6918]: 07[ENC] generating ID_PROT request 0 [ SA V V V V V ]
Aug 24 19:28:08 wolacinio ipsec[6918]: 07[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (216 bytes)
Aug 24 19:28:08 wolacinio ipsec[6918]: 08[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (188 bytes)
Aug 24 19:28:08 wolacinio ipsec[6918]: 08[ENC] parsed ID_PROT response 0 [ SA V V V V V ]
Aug 24 19:28:08 wolacinio ipsec[6918]: 08[IKE] received NAT-T (RFC 3947) vendor ID
Aug 24 19:28:08 wolacinio ipsec[6918]: 08[IKE] received DPD vendor ID
Aug 24 19:28:08 wolacinio ipsec[6918]: 08[ENC] received unknown vendor ID: 82:99:03:17:57:a3:60:82:c6:a6:21:de:00:05:05:a9
Aug 24 19:28:08 wolacinio ipsec[6918]: 08[IKE] received FRAGMENTATION vendor ID
Aug 24 19:28:08 wolacinio ipsec[6918]: 08[IKE] received FRAGMENTATION vendor ID
Aug 24 19:28:08 wolacinio ipsec[6918]: 08[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
Aug 24 19:28:08 wolacinio ipsec[6918]: 08[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (308 bytes)
Aug 24 19:28:08 wolacinio ipsec[6918]: 09[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (292 bytes)
Aug 24 19:28:08 wolacinio ipsec[6918]: 09[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
Aug 24 19:28:08 wolacinio ipsec[6918]: 09[IKE] local host is behind NAT, sending keep alives
Aug 24 19:28:08 wolacinio ipsec[6918]: 09[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Aug 24 19:28:08 wolacinio ipsec[6918]: 09[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:28:08 wolacinio ipsec[6918]: 12[IKE] sending retransmit 1 of request message ID 0, seq 3
Aug 24 19:28:08 wolacinio ipsec[6918]: 12[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:28:08 wolacinio ipsec[6918]: 00[DMN] signal of type SIGINT received. Shutting down
Aug 24 19:28:08 wolacinio ipsec[6918]: 00[IKE] destroying IKE_SA in state CONNECTING without notification
Aug 24 19:28:08 wolacinio systemd[1]: Stopped strongSwan IPsec IKEv1/IKEv2 daemon using ipsec.conf.
Aug 24 19:28:08 wolacinio ipsec[6918]: charon stopped after 200 ms
Aug 24 19:28:08 wolacinio ipsec[6918]: ipsec starter stopped
Aug 24 19:28:08 wolacinio systemd[1]: Started strongSwan IPsec IKEv1/IKEv2 daemon using ipsec.conf.
Aug 24 19:28:08 wolacinio ipsec[6962]: Starting strongSwan 5.6.0 IPsec [starter]...
Aug 24 19:28:08 wolacinio charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.6.0, Linux 4.11.0-1-amd64, x86_64)
Aug 24 19:28:08 wolacinio charon: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Aug 24 19:28:08 wolacinio charon: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Aug 24 19:28:08 wolacinio charon: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Aug 24 19:28:08 wolacinio charon: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Aug 24 19:28:08 wolacinio charon: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Aug 24 19:28:08 wolacinio charon: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Aug 24 19:28:08 wolacinio charon: 00[CFG]   loaded IKE secret for %any
Aug 24 19:28:08 wolacinio charon: 00[CFG] loading secrets from '/etc/ipsec.d/nm-l2tp-ipsec-878042e2-b216-4bd8-a3ed-5f1888ebd707.secrets'
Aug 24 19:28:08 wolacinio charon: 00[CFG]   loaded IKE secret for %any
Aug 24 19:28:08 wolacinio charon: 00[CFG] loading secrets from '/etc/ipsec.d/nm-l2tp-ipsec-f71f9d84-c809-45f5-ab6f-856cacd5f5bb.secrets'
Aug 24 19:28:08 wolacinio charon: 00[CFG]   loaded IKE secret for %any
Aug 24 19:28:08 wolacinio charon: 00[LIB] loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf gmp curve25519 xcbc cmac hmac attr kernel-netlink resolve socket-default stroke vici updown xauth-generic
Aug 24 19:28:08 wolacinio charon: 00[JOB] spawning 16 worker threads
Aug 24 19:28:08 wolacinio ipsec[6962]: charon (6976) started after 20 ms
Aug 24 19:28:08 wolacinio charon: 05[CFG] received stroke: add connection 'myvpn'
Aug 24 19:28:09 wolacinio charon: 05[CFG] added configuration 'myvpn'
Aug 24 19:28:09 wolacinio charon: 07[CFG] received stroke: initiate 'myvpn'
Aug 24 19:28:10 wolacinio charon: 07[IKE] initiating Main Mode IKE_SA myvpn[1] to 178.217.199.212
Aug 24 19:28:10 wolacinio charon: 07[ENC] generating ID_PROT request 0 [ SA V V V V V ]
Aug 24 19:28:10 wolacinio charon: 07[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (216 bytes)
Aug 24 19:28:10 wolacinio charon: 09[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (188 bytes)
Aug 24 19:28:10 wolacinio charon: 09[ENC] parsed ID_PROT response 0 [ SA V V V V V ]
Aug 24 19:28:10 wolacinio charon: 09[IKE] received NAT-T (RFC 3947) vendor ID
Aug 24 19:28:10 wolacinio charon: 09[IKE] received DPD vendor ID
Aug 24 19:28:10 wolacinio charon: 09[ENC] received unknown vendor ID: 82:99:03:17:57:a3:60:82:c6:a6:21:de:00:05:05:a9
Aug 24 19:28:10 wolacinio charon: 09[IKE] received FRAGMENTATION vendor ID
Aug 24 19:28:10 wolacinio charon: 09[IKE] received FRAGMENTATION vendor ID
Aug 24 19:28:10 wolacinio charon: 09[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
Aug 24 19:28:10 wolacinio charon: 09[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (308 bytes)
Aug 24 19:28:10 wolacinio charon: 10[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (292 bytes)
Aug 24 19:28:10 wolacinio charon: 10[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
Aug 24 19:28:10 wolacinio charon: 10[IKE] local host is behind NAT, sending keep alives
Aug 24 19:28:10 wolacinio charon: 10[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Aug 24 19:28:10 wolacinio charon: 10[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:28:14 wolacinio charon: 04[IKE] sending retransmit 1 of request message ID 0, seq 3
Aug 24 19:28:14 wolacinio charon: 04[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:28:21 wolacinio charon: 13[IKE] sending retransmit 2 of request message ID 0, seq 3
Aug 24 19:28:21 wolacinio charon: 13[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:28:34 wolacinio charon: 15[IKE] sending retransmit 3 of request message ID 0, seq 3
Aug 24 19:28:34 wolacinio charon: 15[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:28:55 wolacinio charon: 05[IKE] sending keep alive to 178.217.199.212[4500]
Aug 24 19:28:57 wolacinio charon: 08[IKE] sending retransmit 4 of request message ID 0, seq 3
Aug 24 19:28:57 wolacinio charon: 08[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:29:18 wolacinio charon: 09[IKE] sending keep alive to 178.217.199.212[4500]
Aug 24 19:29:38 wolacinio charon: 10[IKE] sending keep alive to 178.217.199.212[4500]
Aug 24 19:29:39 wolacinio charon: 11[IKE] sending retransmit 5 of request message ID 0, seq 3
Aug 24 19:29:39 wolacinio charon: 11[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:30:00 wolacinio charon: 04[IKE] sending keep alive to 178.217.199.212[4500]
Aug 24 19:30:20 wolacinio charon: 13[IKE] sending keep alive to 178.217.199.212[4500]
Aug 24 19:30:40 wolacinio charon: 14[IKE] sending keep alive to 178.217.199.212[4500]
Aug 24 19:30:55 wolacinio charon: 15[IKE] giving up after 5 retransmits
Aug 24 19:30:55 wolacinio charon: 15[IKE] peer not responding, trying again (2/3)
Aug 24 19:30:56 wolacinio charon: 15[IKE] initiating Main Mode IKE_SA myvpn[1] to 178.217.199.212
Aug 24 19:30:56 wolacinio charon: 15[ENC] generating ID_PROT request 0 [ SA V V V V V ]
Aug 24 19:30:56 wolacinio charon: 15[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (216 bytes)
Aug 24 19:30:56 wolacinio charon: 06[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (188 bytes)
Aug 24 19:30:56 wolacinio charon: 06[ENC] parsed ID_PROT response 0 [ SA V V V V V ]
Aug 24 19:30:56 wolacinio charon: 06[IKE] received NAT-T (RFC 3947) vendor ID
Aug 24 19:30:56 wolacinio charon: 06[IKE] received DPD vendor ID
Aug 24 19:30:56 wolacinio charon: 06[ENC] received unknown vendor ID: 82:99:03:17:57:a3:60:82:c6:a6:21:de:00:05:05:a9
Aug 24 19:30:56 wolacinio charon: 06[IKE] received FRAGMENTATION vendor ID
Aug 24 19:30:56 wolacinio charon: 06[IKE] received FRAGMENTATION vendor ID
Aug 24 19:30:56 wolacinio charon: 06[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
Aug 24 19:30:56 wolacinio charon: 06[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (308 bytes)
Aug 24 19:30:56 wolacinio ipsec[6962]: 00[DMN] Starting IKE charon daemon (strongSwan 5.6.0, Linux 4.11.0-1-amd64, x86_64)
Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts'
Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts'
Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts'
Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts'
Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loading crls from '/etc/ipsec.d/crls'
Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loading secrets from '/etc/ipsec.secrets'
Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG]   loaded IKE secret for %any
Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loading secrets from '/etc/ipsec.d/nm-l2tp-ipsec-878042e2-b216-4bd8-a3ed-5f1888ebd707.secrets'
Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG]   loaded IKE secret for %any
Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loading secrets from '/etc/ipsec.d/nm-l2tp-ipsec-f71f9d84-c809-45f5-ab6f-856cacd5f5bb.secrets'
Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG]   loaded IKE secret for %any
Aug 24 19:30:56 wolacinio ipsec[6962]: 00[LIB] loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf gmp curve25519 xcbc cmac hmac attr kernel-netlink resolve socket-default stroke vici updown xauth-generic
Aug 24 19:30:56 wolacinio ipsec[6962]: 00[JOB] spawning 16 worker threads
Aug 24 19:30:56 wolacinio ipsec[6962]: 05[CFG] received stroke: add connection 'myvpn'
Aug 24 19:30:56 wolacinio ipsec[6962]: 05[CFG] added configuration 'myvpn'
Aug 24 19:30:56 wolacinio ipsec[6962]: 07[CFG] received stroke: initiate 'myvpn'
Aug 24 19:30:56 wolacinio ipsec[6962]: 07[IKE] initiating Main Mode IKE_SA myvpn[1] to 178.217.199.212
Aug 24 19:30:56 wolacinio ipsec[6962]: 07[ENC] generating ID_PROT request 0 [ SA V V V V V ]
Aug 24 19:30:56 wolacinio ipsec[6962]: 07[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (216 bytes)
Aug 24 19:30:56 wolacinio ipsec[6962]: 09[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (188 bytes)
Aug 24 19:30:56 wolacinio ipsec[6962]: 09[ENC] parsed ID_PROT response 0 [ SA V V V V V ]
Aug 24 19:30:56 wolacinio ipsec[6962]: 09[IKE] received NAT-T (RFC 3947) vendor ID
Aug 24 19:30:56 wolacinio ipsec[6962]: 09[IKE] received DPD vendor ID
Aug 24 19:30:56 wolacinio ipsec[6962]: 09[ENC] received unknown vendor ID: 82:99:03:17:57:a3:60:82:c6:a6:21:de:00:05:05:a9
Aug 24 19:30:56 wolacinio ipsec[6962]: 09[IKE] received FRAGMENTATION vendor ID
Aug 24 19:30:56 wolacinio ipsec[6962]: 09[IKE] received FRAGMENTATION vendor ID
Aug 24 19:30:56 wolacinio ipsec[6962]: 09[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
Aug 24 19:30:56 wolacinio ipsec[6962]: 09[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (308 bytes)
Aug 24 19:30:56 wolacinio ipsec[6962]: 10[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (292 bytes)
Aug 24 19:30:56 wolacinio ipsec[6962]: 10[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
Aug 24 19:30:56 wolacinio ipsec[6962]: 10[IKE] local host is behind NAT, sending keep alives
Aug 24 19:30:56 wolacinio ipsec[6962]: 10[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Aug 24 19:30:56 wolacinio ipsec[6962]: 10[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:30:56 wolacinio ipsec[6962]: 04[IKE] sending retransmit 1 of request message ID 0, seq 3
Aug 24 19:30:56 wolacinio ipsec[6962]: 04[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:30:56 wolacinio ipsec[6962]: 13[IKE] sending retransmit 2 of request message ID 0, seq 3
Aug 24 19:30:56 wolacinio ipsec[6962]: 13[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:30:56 wolacinio ipsec[6962]: 15[IKE] sending retransmit 3 of request message ID 0, seq 3
Aug 24 19:30:56 wolacinio ipsec[6962]: 15[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:30:56 wolacinio ipsec[6962]: 05[IKE] sending keep alive to 178.217.199.212[4500]
Aug 24 19:30:56 wolacinio ipsec[6962]: 08[IKE] sending retransmit 4 of request message ID 0, seq 3
Aug 24 19:30:56 wolacinio ipsec[6962]: 08[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:30:56 wolacinio ipsec[6962]: 09[IKE] sending keep alive to 178.217.199.212[4500]
Aug 24 19:30:56 wolacinio ipsec[6962]: 10[IKE] sending keep alive to 178.217.199.212[4500]
Aug 24 19:30:56 wolacinio ipsec[6962]: 11[IKE] sending retransmit 5 of request message ID 0, seq 3
Aug 24 19:30:56 wolacinio ipsec[6962]: 11[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:30:56 wolacinio ipsec[6962]: 04[IKE] sending keep alive to 178.217.199.212[4500]
Aug 24 19:30:56 wolacinio ipsec[6962]: 13[IKE] sending keep alive to 178.217.199.212[4500]
Aug 24 19:30:56 wolacinio ipsec[6962]: 14[IKE] sending keep alive to 178.217.199.212[4500]
Aug 24 19:30:56 wolacinio ipsec[6962]: 15[IKE] giving up after 5 retransmits
Aug 24 19:30:56 wolacinio ipsec[6962]: 15[IKE] peer not responding, trying again (2/3)
Aug 24 19:30:56 wolacinio ipsec[6962]: 15[IKE] initiating Main Mode IKE_SA myvpn[1] to 178.217.199.212
Aug 24 19:30:56 wolacinio ipsec[6962]: 15[ENC] generating ID_PROT request 0 [ SA V V V V V ]
Aug 24 19:30:56 wolacinio ipsec[6962]: 15[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (216 bytes)
Aug 24 19:30:56 wolacinio ipsec[6962]: 06[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (188 bytes)
Aug 24 19:30:56 wolacinio ipsec[6962]: 06[ENC] parsed ID_PROT response 0 [ SA V V V V V ]
Aug 24 19:30:56 wolacinio ipsec[6962]: 06[IKE] received NAT-T (RFC 3947) vendor ID
Aug 24 19:30:56 wolacinio ipsec[6962]: 06[IKE] received DPD vendor ID
Aug 24 19:30:56 wolacinio ipsec[6962]: 06[ENC] received unknown vendor ID: 82:99:03:17:57:a3:60:82:c6:a6:21:de:00:05:05:a9
Aug 24 19:30:56 wolacinio ipsec[6962]: 06[IKE] received FRAGMENTATION vendor ID
Aug 24 19:30:56 wolacinio ipsec[6962]: 06[IKE] received FRAGMENTATION vendor ID
Aug 24 19:30:56 wolacinio ipsec[6962]: 06[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
Aug 24 19:30:56 wolacinio charon: 05[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (292 bytes)
Aug 24 19:30:56 wolacinio charon: 05[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
Aug 24 19:30:56 wolacinio charon: 05[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Aug 24 19:30:56 wolacinio charon: 05[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:31:00 wolacinio charon: 10[IKE] sending retransmit 1 of request message ID 0, seq 3
Aug 24 19:31:00 wolacinio charon: 10[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:31:07 wolacinio charon: 11[IKE] sending retransmit 2 of request message ID 0, seq 3
Aug 24 19:31:07 wolacinio charon: 11[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:31:20 wolacinio charon: 12[IKE] sending retransmit 3 of request message ID 0, seq 3
Aug 24 19:31:20 wolacinio charon: 12[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:31:43 wolacinio charon: 04[IKE] sending retransmit 4 of request message ID 0, seq 3
Aug 24 19:31:43 wolacinio charon: 04[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:32:25 wolacinio charon: 13[IKE] sending retransmit 5 of request message ID 0, seq 3
Aug 24 19:32:25 wolacinio charon: 13[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:33:12 wolacinio dbus[654]: [system] Activating via systemd: service name='org.freedesktop.hostname1' unit='dbus-org.freedesktop.hostname1.service'
Aug 24 19:33:12 wolacinio systemd[1]: Starting Hostname Service...
Aug 24 19:33:12 wolacinio dbus[654]: [system] Successfully activated service 'org.freedesktop.hostname1'
Aug 24 19:33:12 wolacinio systemd[1]: Started Hostname Service.
Aug 24 19:33:41 wolacinio charon: 07[IKE] giving up after 5 retransmits
Aug 24 19:33:41 wolacinio charon: 07[IKE] peer not responding, trying again (3/3)
Aug 24 19:33:42 wolacinio charon: 07[IKE] initiating Main Mode IKE_SA myvpn[1] to 178.217.199.212
Aug 24 19:33:42 wolacinio charon: 07[ENC] generating ID_PROT request 0 [ SA V V V V V ]
Aug 24 19:33:42 wolacinio charon: 07[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (216 bytes)
Aug 24 19:33:42 wolacinio charon: 09[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (188 bytes)
Aug 24 19:33:42 wolacinio charon: 09[ENC] parsed ID_PROT response 0 [ SA V V V V V ]
Aug 24 19:33:42 wolacinio charon: 09[IKE] received NAT-T (RFC 3947) vendor ID
Aug 24 19:33:42 wolacinio charon: 09[IKE] received DPD vendor ID
Aug 24 19:33:42 wolacinio charon: 09[ENC] received unknown vendor ID: 82:99:03:17:57:a3:60:82:c6:a6:21:de:00:05:05:a9
Aug 24 19:33:42 wolacinio charon: 09[IKE] received FRAGMENTATION vendor ID
Aug 24 19:33:42 wolacinio charon: 09[IKE] received FRAGMENTATION vendor ID
Aug 24 19:33:42 wolacinio charon: 09[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ]
Aug 24 19:33:42 wolacinio charon: 09[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (308 bytes)
Aug 24 19:33:42 wolacinio charon: 10[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (292 bytes)
Aug 24 19:33:42 wolacinio charon: 10[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ]
Aug 24 19:33:42 wolacinio charon: 10[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Aug 24 19:33:42 wolacinio charon: 10[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:33:46 wolacinio charon: 04[IKE] sending retransmit 1 of request message ID 0, seq 3
Aug 24 19:33:46 wolacinio charon: 04[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:33:53 wolacinio charon: 13[IKE] sending retransmit 2 of request message ID 0, seq 3
Aug 24 19:33:53 wolacinio charon: 13[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:34:06 wolacinio charon: 14[IKE] sending retransmit 3 of request message ID 0, seq 3
Aug 24 19:34:06 wolacinio charon: 14[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:34:29 wolacinio charon: 15[IKE] sending retransmit 4 of request message ID 0, seq 3
Aug 24 19:34:29 wolacinio charon: 15[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:35:07 wolacinio dbus[654]: [system] Activating via systemd: service name='org.freedesktop.hostname1' unit='dbus-org.freedesktop.hostname1.service'
Aug 24 19:35:07 wolacinio systemd[1]: Starting Hostname Service...
Aug 24 19:35:08 wolacinio dbus[654]: [system] Successfully activated service 'org.freedesktop.hostname1'
Aug 24 19:35:08 wolacinio systemd[1]: Started Hostname Service.
Aug 24 19:35:11 wolacinio charon: 06[IKE] sending retransmit 5 of request message ID 0, seq 3
Aug 24 19:35:11 wolacinio charon: 06[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)

Ostatnio edytowany przez wolacinio (2017-08-24 19:37:57)

Offline

 

#2  2017-08-24 20:03:02

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Konfiguracja IPSec - brak połączenia

KONIECZNIE potrzebny jest log od strony serwera.
według logi forti nie wysyła Ci żadnej odpowiedzi

Kod:

Aug 24 19:33:42 wolacinio charon: 10[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ]
Aug 24 19:33:42 wolacinio charon: 10[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:33:46 wolacinio charon: 04[IKE] sending retransmit 1 of request message ID 0, seq 3
Aug 24 19:33:46 wolacinio charon: 04[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:33:53 wolacinio charon: 13[IKE] sending retransmit 2 of request message ID 0, seq 3
Aug 24 19:33:53 wolacinio charon: 13[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:34:06 wolacinio charon: 14[IKE] sending retransmit 3 of request message ID 0, seq 3
Aug 24 19:34:06 wolacinio charon: 14[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Aug 24 19:34:29 wolacinio charon: 15[IKE] sending retransmit 4 of request message ID 0, seq 3
Aug 24 19:34:29 wolacinio charon: 15[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)

Może to oznaczać, że wysyłasz złe parametry i po cichy zrywa sesję.


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#3  2017-08-24 20:19:07

  wolacinio - Użytkownik

wolacinio
Użytkownik
Zarejestrowany: 2016-03-10

Re: Konfiguracja IPSec - brak połączenia

@urbinek - dokładnie tak samo mi się wydaje. Niestety nie mam dostępu do serwera i nie ma możliwości przeanalizowanie logów serwera.
Z Wireshark'a dostaje to:

Kod:

178.217.199.212    192.168.1.177    ISAKMP    122    Identity Protection (Main Mode)

Druga sprawa. Dziwna sytuacja. Innym sposobem, łącze się za pomocą network-manager-l2tp i ustawiając ustawienia IPSec jest to samo. Natomiast ustawiając PPP idzie, nawet się łączy a w Wireshark'u wyświetla:

Kod:

18373    420.893652692    178.217.199.212    192.168.1.177    PPP PAP    72    Authenticate-Nak (Message='Login incorrect')

http://imgur.com/a/JjM5c

Offline

 

#4  2017-08-24 21:03:36

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Konfiguracja IPSec - brak połączenia

Ipsec ma dosyć skomplikowaną konfigurację sieciową, mam na myśli FW, NAT i otwarte porty po obu stronach.

Nie masz możliwości "wymusić" na drugiej stronie OpenVPNa?

Zwłaszcza, że adres docelowy 192.168.1.177 to przecież LAN z klasy 192.168.0.0/16
a nie internet.

W ogóle, jak chcesz bawić się Ipseciem, to najpierw postaw sobie środowisko testowe,
w którym będziesz kontrolował oba strony tunelu.

PS.
Do zabawy w Ipsec polecam Strongswana, jest chyba najłatwiejszą w osbsłudze implementacją Ipsec w Linuxie.

Ostatnio edytowany przez Jacekalex (2017-08-24 21:13:05)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#5  2017-08-24 21:19:07

  wolacinio - Użytkownik

wolacinio
Użytkownik
Zarejestrowany: 2016-03-10

Re: Konfiguracja IPSec - brak połączenia

@Jacekalex - 192.168.1.177 to mój komputer. To była odpowiedź od serwera.

Offline

 

#6  2017-08-24 22:26:45

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Konfiguracja IPSec - brak połączenia

Ok mój błąd.

Jeżeli Łączysz się do VPN Fortinet, to może spróbujesz ichniejszego klienta?
http://kb.fortinet.com/kb/documentLink.do?externalID=FD39996

Bo zdaje się, że mają jakoś zmieniony ten protokół VPN względem oryginalnego Ipseca.

PS.
Jest też jakiś otwarty klient do tego  Forti:
https://github.com/adrienverge/openfortivpn

Ostatnio edytowany przez Jacekalex (2017-08-24 22:28:32)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#7  2017-08-25 09:57:43

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Konfiguracja IPSec - brak połączenia

@Jacekalex, Oni mają standardową implementację IPsec'a ale jest sporo autogamicznych gówienek do konfiguracji tunelu, które są normalnie pobierane przez mode cong

Jak poda odpowiednie parametry to będzie prądzić :)


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#8  2017-08-25 10:30:28

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Konfiguracja IPSec - brak połączenia

urbinek napisał(-a):

@Jacekalex, Oni mają standardową implementację IPsec'a ale jest sporo autogamicznych gówienek do konfiguracji tunelu, które są normalnie pobierane przez mode cong

Jak poda odpowiednie parametry to będzie prądzić :)

Nie ma czegoś takiego, jak standardowa  implementacja.
Najlepszy przykład to Cisco i BGP - ile razy routery Ciso miały "inną implementację md5" przez co przestawały gadać z innymi routerami BGP?

Oczywiście za każdym razem to poprawiali, ale zawsze kilku klientów poleciało po Cisco, bo to "Przecież BGP".

Myślisz może, że w Forti nie mają dyrektora ds marketingu?

Z reszta może nie słyszałeś o problemach z md5 w BGP, ale o tym, jak w M$ Outlook
i Outlook Pro działa protokół IMAP, cały świat słyszał.

Z resztą po co w ogóle powstał UEFI SecureBoot?
Wymyślili go w Apple, natychmiast pochwycił pomysł M$, jakie "bezpieczeństwo systemu" z tego wynika wszyscy wiemy.

Albo zablokowane bootloadery w Smartfonach, hakerzy z tego mieli zabawę, ale owszem, były.
Kiedy się okazało,ze nie można software'owo postarzać telefonów, to zaczęły się wbudowane na stałe baterie.

Potem leżą na półce dwa Samsungi Galaxy, model 5 i 6.
Galaxy 5 ma 2 lata gwarancji na Smartfona, ale tylko  6 mies na baterię (wymienną), a Galaxy 6 ma baterię wbudowaną na stałe.
Czym się różnią pod względem technicznym baterie w Galaxy 5 i Galaxy 6?

Pozdro

Ostatnio edytowany przez Jacekalex (2017-08-25 10:40:23)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#9  2017-08-25 10:31:05

  wolacinio - Użytkownik

wolacinio
Użytkownik
Zarejestrowany: 2016-03-10

Re: Konfiguracja IPSec - brak połączenia

@Jacekalex - niestety nie mam jak pobrać klienta FortiClient na Linux'a. Tak pobierałem ten jak i inne programy, ale się nie łączy. Nie wiem wgl. jaki jest port do łączenia. Na tym co jest to wychodzi błąd z autentykacją.

@urbinek - "prądzić"?

Btw. mogę podać logi z klienta Forti na Windows'ie.

Offline

 

#10  2017-08-25 10:44:10

  Jacekalex - Podobno człowiek...;)

Jacekalex
Podobno człowiek...;)
Skąd: /dev/random
Zarejestrowany: 2008-01-07

Re: Konfiguracja IPSec - brak połączenia

wolacinio napisał(-a):

@Jacekalex - niestety nie mam jak pobrać klienta FortiClient na Linux'a. Tak pobierałem ten jak i inne programy, ale się nie łączy. Nie wiem wgl. jaki jest port do łączenia. Na tym co jest to wychodzi błąd z autentykacją.

@urbinek - "prądzić"?

Btw. mogę podać logi z klienta Forti na Windows'ie.

A to:

https://github.com/adrienverge/openfortivpn

próbowałeś?


EDIT:
https://hadler.me/linux/forticlient-sslvpn-deb-packages/
Tutaj są jakieś klienty Forti na Ubuntu dostępne bez żadnej autoryzacji.

Ostatnio edytowany przez Jacekalex (2017-08-25 10:48:48)


W demokracji każdy naród ma taką władzę, na jaką zasługuje ;)
Si vis pacem  para bellum  ;)       |       Pozdrawiam :)

Offline

 

#11  2017-08-25 11:12:48

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Konfiguracja IPSec - brak połączenia

Jacekalex napisał(-a):

Ipsec ma dosyć skomplikowaną konfigurację sieciową, mam na myśli FW, NAT i otwarte porty po obu stronach.

No nie wiem, wystarczy że twój router obsługuje NAT-T (nie widziałem od lat takiego, który tego nie ma), przekierujesz port 4500/udp, 500/udp i tyle.

Pozatym trochę odpływasz od tematu ale tak, są standardy i są standardy.

Przy czym jeśli chodzi o IPsec'a nie można zrobić czegoś PRAWIE tak jak określa norma RFC bo to będzie oznaczało brak możliwości nawiązania jakiejkolwiek komunikacji z urządzeniami innymi niż Fortigae.

A skąd wiem, że mają standardową implementację? Otóż 4 lata pracowałem jako support techniczny dystrybutora konkrecyjnego produktu, gdzie staraliśmy się wygryźć Fortigate na każdym kroku i robiłem rożnego rodzaju migracje konfiguracji, tunelowanie site-2-site i client-2-site.

Zawsze udawało mi się ogarnąć tunelowanie IPsec ale potrzebowałem do tego konfiguracji Fortigate a nie klienta.


@wolacinio, prądzić = działać

a problem polega na tym, że nie masz pełnej konfiguracji, na pewno nie masz ustawionego esp

Zerknij na ten artykuł: http://socpuppet.blogspot.com/2014/05/openswan-to-f … ased-vpn.html

alternatywnie możesz spróbowac na forum Forti https://forum.fortinet.com/tt.aspx?forumid=5 możliwe, że będzie to szybsza droga




Jeśli mogę zapytać - na czym polega problem z uzyskaniem logów/konfiguracji FortiGate? Były by one niezwykle pomocne


A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

#12  2017-08-25 11:28:22

  wolacinio - Użytkownik

wolacinio
Użytkownik
Zarejestrowany: 2016-03-10

Re: Konfiguracja IPSec - brak połączenia

Jacekalex napisał(-a):

https://github.com/adrienverge/openfortivpn

próbowałeś?


EDIT:
https://hadler.me/linux/forticlient-sslvpn-deb-packages/
Tutaj są jakieś klienty Forti na Ubuntu dostępne bez żadnej autoryzacji.

Tak próbowałem.

@urbinek - Ja programista otrzymałem API na które mam wykonywać wszystkie swoje zapytania. Żeby się dostać muszę mieć połączenie VPN. Api wystawiła inna firma i nie dla tego nie mam do niego dostępu.

Ostatnio edytowany przez wolacinio (2017-08-25 11:29:43)

Offline

 

#13  2017-08-25 12:20:27

  urbinek - Dzban Naczelny

urbinek
Dzban Naczelny
Skąd: Sosnowiec
Zarejestrowany: 2009-10-01
Serwis

Re: Konfiguracja IPSec - brak połączenia

Ja bym spróbował z czymś takim:
ipsec.conf:

Kod:

config setup

protostack=netkey
nat_traversal=yes

# tunnel specific for each gateway
# 
 conn FGT 
     type=tunnel
     authby=secret       
     left=TWÓJ_PUBLICZNY_IP
     leftnexthop=%defaultroute
     leftsubnet=TWÓJ_LAN/MASKA
     right=IP_PUBLICZNE_FORTI     
     rightsubnet=FORTI_LAN/MASKA
     ike=aes128-sha1-modp1536
     esp=aes128-sha1-modp1536
     ikelifetime=86400s
     keylife=43200s
     keyexchange=ike 
     pfs=yes  
     aggrmode=yes
     auto=start

prawą stronę możesz spróbować wyciągnąć z klienta windowsowego po udanym połączeniu

ewentualnie spróbuj modeconf

Kod:

config setup

protostack=netkey
nat_traversal=yes

# tunnel specific for each gateway
# 

 conn FGT 
     modeconfig=push
     type=tunnel
     authby=secret       
     left=TWÓJ_PUBLICZNY_IP
     leftsourceip=%config
     leftid=TWÓJ LOGIN
     right=IP_PUBLICZNE_FORTI     
     rightsubnet=FORTI_LAN/MASKA
     ike=aes128-sha1-modp1536
     esp=aes128-sha1-modp1536
     ikelifetime=86400s
     keylife=43200s
     keyexchange=ike 
     pfs=yes  
     aggrmode=yes
     auto=start

A w wolnym czasie, robię noże :)
http://nginx.urbinek.eu/_photos/signature.png

Offline

 

Stopka forum

Powered by PunBB
© Copyright 2002–2005 Rickard Andersson
Nas ludzie lubią po prostu, a nie klikając w przyciski ;-)