hledani problemu s IPSec

Vilem Kebrt vilem.kebrt at gmail.com
Wed May 31 14:47:22 CEST 2017

Previous message (by thread): hledani problemu s IPSec
Next message (by thread): hledani problemu s IPSec
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Zkusil bych to "nablbaka", nc -vn -u <ip> <port> (pokud si dobre
pamatuju tak to bezi via udp). zkusil bych tam nasypat neco nesmyslnyho
a uvidis jetli te to kopne, jestli ne, hadam ze nemas pruchozi cestu.
Ale pokud nevidis isakmp k sobe, tak na 90% to tam bud neposloucha, nebo
te neco filtruje...
Vilem

On 05/31/2017 01:55 PM, Miroslav Lachman wrote:
> Po par letech klidu po me zase chce zakaznik nastavit IPSec.
> Uz to kdysi davno fungovalo na starem stroji, ktery uz neexistuje. Je to
> VPN do site Vodafone. Konfigurace je v pdostate stejna, jako byla pred
> lety, takze jsem si jen dohledal vlastni dokumentaci a nastavil to
> stejne, jako to bylo driv.
> 
> Problem je, ze to nefunguje.
> 
> Ja si na 99% myslim, ze neni chyba na moji strane, ale ze je problem
> nekde na trase. Ovsem nevim, jak to overit / dokazat.
> 
> Kdyz si pustim ipsec a racoon na tom stroji a pak zkusim ping na cilovou
> IP, tak v tcpdumpu vidim jen odchozi packet a zadnou odpoved
> 
> (IP adresy jsou zmenene na AA.BB.AA.BB a MM.NN.MM.NN
> 
> # tcpdump -i vmx1 -n -v host MM.NN.MM.NN
> tcpdump: listening on vmx1, link-type EN10MB (Ethernet), capture size
> 65535 bytes
> 22:45:06.616001 IP (tos 0x0, ttl 64, id 25484, offset 0, flags [none],
> proto UDP (17), length 128)
>     AA.BB.AA.BB.500 > MM.NN.MM.NN.500: isakmp 1.0 msgid 00000000: phase
> 1 I ident:
>     (sa: doi=ipsec situation=identity
>         (p: #1 protoid=isakmp transform=1
>             (t: #1 id=ike (type=lifetype value=sec)(type=lifeduration
> value=1c20)(type=enc value=3des)(type=auth value=preshared)(type=hash
> value=sha1)(type=group desc value=modp1024))))
>     (vid: len=16)
> 
> 
> 
> Kdyz uz toho mam zapnuty log debug v racoon.conf, tak se mi do
> /var/log/debug.log sype spousta informaci, ale zajimavy z toho je asi
> jen tohle
> 
> 2017-05-30 22:46:33: DEBUG: resend phase1 packet
> b7d73730b229d839:0000000000000000
> 2017-05-30 22:46:34: [MM.NN.MM.NN] ERROR: phase2 negotiation failed due
> to time up waiting for phase1. ESP MM.NN.MM.NN[0]->AA.BB.AA.BB[0]
> 2017-05-30 22:46:34: INFO: delete phase 2 handler.
> 
> 
> Jak nejlepe overit, jestli je vubec pruchozi trasa mezi temi IPSec
> endpointy? (tedy patrne protokol ESP)
> 
> Mirek

-- 

S pozdravem Vilem Kebrt
email: vilem.kebrt at gmail.com

Previous message (by thread): hledani problemu s IPSec
Next message (by thread): hledani problemu s IPSec
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list