Nie jesteś zalogowany.
Jeśli nie posiadasz konta, zarejestruj je już teraz! Pozwoli Ci ono w pełni korzystać z naszego serwisu. Spamerom dziękujemy!
Prosimy o pomoc dla małej Julki — przekaż 1% podatku na Fundacji Dzieciom zdazyć z Pomocą.
Więcej informacji na dug.net.pl/pomagamy/.
Witam serdecznie.
Potrzebuje skonfigurować VPN pod IPsec. Jednak nie mam zbyt wielu informacji o serwerze. Nie wiem czy jest to L2TP/IPSec PSK czy IPSec Xauth PSK. No chyba, że może coś innego.
Posiadam takie dane jak:
-użytkownik
-hasło
-ip hosta
-pre-shared key
oraz również konfigurację pod Windows'a wykorzystujący FortiClient'a.
[url]http://imgur.com/a/QpAtK[/url]
Na pierwszym zdjęciu pokazane jest ustawienia jakie powinny być ustawione.
Konfiguracja [b]ipsec.conf[/b]
config setup conn %default ikelifetime=60m keylife=30m rekeymargin=3m authby=secret keyexchange=ikev1 # aggrmode=yes conn myvpn keyexchange=ikev1 left=%defaultroute auto=start authby=secret type=tunnel #type=transport right=ukryte leftprotoport=17/%any ike=aes128-sha1-modp1536 # leftxauthusername=xxx
Linux wolacinio 4.11.0-1-amd64 #1 SMP Debian 4.11.6-1 (2017-06-19) x86_64 GNU/Linux
Logi:
Aug 24 19:28:08 wolacinio charon: 12[IKE] sending retransmit 1 of request message ID 0, seq 3 Aug 24 19:28:08 wolacinio charon: 12[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:28:08 wolacinio charon: 00[DMN] signal of type SIGINT received. Shutting down Aug 24 19:28:08 wolacinio systemd[1]: Stopping strongSwan IPsec IKEv1/IKEv2 daemon using ipsec.conf... Aug 24 19:28:08 wolacinio charon: 00[IKE] destroying IKE_SA in state CONNECTING without notification Aug 24 19:28:08 wolacinio ipsec[6918]: 00[DMN] Starting IKE charon daemon (strongSwan 5.6.0, Linux 4.11.0-1-amd64, x86_64) Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts' Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts' Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts' Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts' Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loading crls from '/etc/ipsec.d/crls' Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loading secrets from '/etc/ipsec.secrets' Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loaded IKE secret for %any Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loading secrets from '/etc/ipsec.d/nm-l2tp-ipsec-878042e2-b216-4bd8-a3ed-5f1888ebd707.secrets' Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loaded IKE secret for %any Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loading secrets from '/etc/ipsec.d/nm-l2tp-ipsec-f71f9d84-c809-45f5-ab6f-856cacd5f5bb.secrets' Aug 24 19:28:08 wolacinio ipsec[6918]: 00[CFG] loaded IKE secret for %any Aug 24 19:28:08 wolacinio ipsec[6918]: 00[LIB] loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf gmp curve25519 xcbc cmac hmac attr kernel-netlink resolve socket-default stroke vici updown xauth-generic Aug 24 19:28:08 wolacinio ipsec[6918]: 00[JOB] spawning 16 worker threads Aug 24 19:28:08 wolacinio ipsec[6918]: 04[CFG] received stroke: add connection 'myvpn' Aug 24 19:28:08 wolacinio ipsec[6918]: 04[CFG] added configuration 'myvpn' Aug 24 19:28:08 wolacinio ipsec[6918]: 07[CFG] received stroke: initiate 'myvpn' Aug 24 19:28:08 wolacinio ipsec[6918]: 07[IKE] initiating Main Mode IKE_SA myvpn[1] to 178.217.199.212 Aug 24 19:28:08 wolacinio ipsec[6918]: 07[ENC] generating ID_PROT request 0 [ SA V V V V V ] Aug 24 19:28:08 wolacinio ipsec[6918]: 07[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (216 bytes) Aug 24 19:28:08 wolacinio ipsec[6918]: 08[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (188 bytes) Aug 24 19:28:08 wolacinio ipsec[6918]: 08[ENC] parsed ID_PROT response 0 [ SA V V V V V ] Aug 24 19:28:08 wolacinio ipsec[6918]: 08[IKE] received NAT-T (RFC 3947) vendor ID Aug 24 19:28:08 wolacinio ipsec[6918]: 08[IKE] received DPD vendor ID Aug 24 19:28:08 wolacinio ipsec[6918]: 08[ENC] received unknown vendor ID: 82:99:03:17:57:a3:60:82:c6:a6:21:de:00:05:05:a9 Aug 24 19:28:08 wolacinio ipsec[6918]: 08[IKE] received FRAGMENTATION vendor ID Aug 24 19:28:08 wolacinio ipsec[6918]: 08[IKE] received FRAGMENTATION vendor ID Aug 24 19:28:08 wolacinio ipsec[6918]: 08[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ] Aug 24 19:28:08 wolacinio ipsec[6918]: 08[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (308 bytes) Aug 24 19:28:08 wolacinio ipsec[6918]: 09[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (292 bytes) Aug 24 19:28:08 wolacinio ipsec[6918]: 09[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] Aug 24 19:28:08 wolacinio ipsec[6918]: 09[IKE] local host is behind NAT, sending keep alives Aug 24 19:28:08 wolacinio ipsec[6918]: 09[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ] Aug 24 19:28:08 wolacinio ipsec[6918]: 09[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:28:08 wolacinio ipsec[6918]: 12[IKE] sending retransmit 1 of request message ID 0, seq 3 Aug 24 19:28:08 wolacinio ipsec[6918]: 12[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:28:08 wolacinio ipsec[6918]: 00[DMN] signal of type SIGINT received. Shutting down Aug 24 19:28:08 wolacinio ipsec[6918]: 00[IKE] destroying IKE_SA in state CONNECTING without notification Aug 24 19:28:08 wolacinio systemd[1]: Stopped strongSwan IPsec IKEv1/IKEv2 daemon using ipsec.conf. Aug 24 19:28:08 wolacinio ipsec[6918]: charon stopped after 200 ms Aug 24 19:28:08 wolacinio ipsec[6918]: ipsec starter stopped Aug 24 19:28:08 wolacinio systemd[1]: Started strongSwan IPsec IKEv1/IKEv2 daemon using ipsec.conf. Aug 24 19:28:08 wolacinio ipsec[6962]: Starting strongSwan 5.6.0 IPsec [starter]... Aug 24 19:28:08 wolacinio charon: 00[DMN] Starting IKE charon daemon (strongSwan 5.6.0, Linux 4.11.0-1-amd64, x86_64) Aug 24 19:28:08 wolacinio charon: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts' Aug 24 19:28:08 wolacinio charon: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts' Aug 24 19:28:08 wolacinio charon: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts' Aug 24 19:28:08 wolacinio charon: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts' Aug 24 19:28:08 wolacinio charon: 00[CFG] loading crls from '/etc/ipsec.d/crls' Aug 24 19:28:08 wolacinio charon: 00[CFG] loading secrets from '/etc/ipsec.secrets' Aug 24 19:28:08 wolacinio charon: 00[CFG] loaded IKE secret for %any Aug 24 19:28:08 wolacinio charon: 00[CFG] loading secrets from '/etc/ipsec.d/nm-l2tp-ipsec-878042e2-b216-4bd8-a3ed-5f1888ebd707.secrets' Aug 24 19:28:08 wolacinio charon: 00[CFG] loaded IKE secret for %any Aug 24 19:28:08 wolacinio charon: 00[CFG] loading secrets from '/etc/ipsec.d/nm-l2tp-ipsec-f71f9d84-c809-45f5-ab6f-856cacd5f5bb.secrets' Aug 24 19:28:08 wolacinio charon: 00[CFG] loaded IKE secret for %any Aug 24 19:28:08 wolacinio charon: 00[LIB] loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf gmp curve25519 xcbc cmac hmac attr kernel-netlink resolve socket-default stroke vici updown xauth-generic Aug 24 19:28:08 wolacinio charon: 00[JOB] spawning 16 worker threads Aug 24 19:28:08 wolacinio ipsec[6962]: charon (6976) started after 20 ms Aug 24 19:28:08 wolacinio charon: 05[CFG] received stroke: add connection 'myvpn' Aug 24 19:28:09 wolacinio charon: 05[CFG] added configuration 'myvpn' Aug 24 19:28:09 wolacinio charon: 07[CFG] received stroke: initiate 'myvpn' Aug 24 19:28:10 wolacinio charon: 07[IKE] initiating Main Mode IKE_SA myvpn[1] to 178.217.199.212 Aug 24 19:28:10 wolacinio charon: 07[ENC] generating ID_PROT request 0 [ SA V V V V V ] Aug 24 19:28:10 wolacinio charon: 07[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (216 bytes) Aug 24 19:28:10 wolacinio charon: 09[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (188 bytes) Aug 24 19:28:10 wolacinio charon: 09[ENC] parsed ID_PROT response 0 [ SA V V V V V ] Aug 24 19:28:10 wolacinio charon: 09[IKE] received NAT-T (RFC 3947) vendor ID Aug 24 19:28:10 wolacinio charon: 09[IKE] received DPD vendor ID Aug 24 19:28:10 wolacinio charon: 09[ENC] received unknown vendor ID: 82:99:03:17:57:a3:60:82:c6:a6:21:de:00:05:05:a9 Aug 24 19:28:10 wolacinio charon: 09[IKE] received FRAGMENTATION vendor ID Aug 24 19:28:10 wolacinio charon: 09[IKE] received FRAGMENTATION vendor ID Aug 24 19:28:10 wolacinio charon: 09[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ] Aug 24 19:28:10 wolacinio charon: 09[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (308 bytes) Aug 24 19:28:10 wolacinio charon: 10[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (292 bytes) Aug 24 19:28:10 wolacinio charon: 10[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] Aug 24 19:28:10 wolacinio charon: 10[IKE] local host is behind NAT, sending keep alives Aug 24 19:28:10 wolacinio charon: 10[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ] Aug 24 19:28:10 wolacinio charon: 10[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:28:14 wolacinio charon: 04[IKE] sending retransmit 1 of request message ID 0, seq 3 Aug 24 19:28:14 wolacinio charon: 04[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:28:21 wolacinio charon: 13[IKE] sending retransmit 2 of request message ID 0, seq 3 Aug 24 19:28:21 wolacinio charon: 13[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:28:34 wolacinio charon: 15[IKE] sending retransmit 3 of request message ID 0, seq 3 Aug 24 19:28:34 wolacinio charon: 15[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:28:55 wolacinio charon: 05[IKE] sending keep alive to 178.217.199.212[4500] Aug 24 19:28:57 wolacinio charon: 08[IKE] sending retransmit 4 of request message ID 0, seq 3 Aug 24 19:28:57 wolacinio charon: 08[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:29:18 wolacinio charon: 09[IKE] sending keep alive to 178.217.199.212[4500] Aug 24 19:29:38 wolacinio charon: 10[IKE] sending keep alive to 178.217.199.212[4500] Aug 24 19:29:39 wolacinio charon: 11[IKE] sending retransmit 5 of request message ID 0, seq 3 Aug 24 19:29:39 wolacinio charon: 11[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:30:00 wolacinio charon: 04[IKE] sending keep alive to 178.217.199.212[4500] Aug 24 19:30:20 wolacinio charon: 13[IKE] sending keep alive to 178.217.199.212[4500] Aug 24 19:30:40 wolacinio charon: 14[IKE] sending keep alive to 178.217.199.212[4500] Aug 24 19:30:55 wolacinio charon: 15[IKE] giving up after 5 retransmits Aug 24 19:30:55 wolacinio charon: 15[IKE] peer not responding, trying again (2/3) Aug 24 19:30:56 wolacinio charon: 15[IKE] initiating Main Mode IKE_SA myvpn[1] to 178.217.199.212 Aug 24 19:30:56 wolacinio charon: 15[ENC] generating ID_PROT request 0 [ SA V V V V V ] Aug 24 19:30:56 wolacinio charon: 15[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (216 bytes) Aug 24 19:30:56 wolacinio charon: 06[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (188 bytes) Aug 24 19:30:56 wolacinio charon: 06[ENC] parsed ID_PROT response 0 [ SA V V V V V ] Aug 24 19:30:56 wolacinio charon: 06[IKE] received NAT-T (RFC 3947) vendor ID Aug 24 19:30:56 wolacinio charon: 06[IKE] received DPD vendor ID Aug 24 19:30:56 wolacinio charon: 06[ENC] received unknown vendor ID: 82:99:03:17:57:a3:60:82:c6:a6:21:de:00:05:05:a9 Aug 24 19:30:56 wolacinio charon: 06[IKE] received FRAGMENTATION vendor ID Aug 24 19:30:56 wolacinio charon: 06[IKE] received FRAGMENTATION vendor ID Aug 24 19:30:56 wolacinio charon: 06[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ] Aug 24 19:30:56 wolacinio charon: 06[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (308 bytes) Aug 24 19:30:56 wolacinio ipsec[6962]: 00[DMN] Starting IKE charon daemon (strongSwan 5.6.0, Linux 4.11.0-1-amd64, x86_64) Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loading ca certificates from '/etc/ipsec.d/cacerts' Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loading aa certificates from '/etc/ipsec.d/aacerts' Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loading ocsp signer certificates from '/etc/ipsec.d/ocspcerts' Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loading attribute certificates from '/etc/ipsec.d/acerts' Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loading crls from '/etc/ipsec.d/crls' Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loading secrets from '/etc/ipsec.secrets' Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loaded IKE secret for %any Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loading secrets from '/etc/ipsec.d/nm-l2tp-ipsec-878042e2-b216-4bd8-a3ed-5f1888ebd707.secrets' Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loaded IKE secret for %any Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loading secrets from '/etc/ipsec.d/nm-l2tp-ipsec-f71f9d84-c809-45f5-ab6f-856cacd5f5bb.secrets' Aug 24 19:30:56 wolacinio ipsec[6962]: 00[CFG] loaded IKE secret for %any Aug 24 19:30:56 wolacinio ipsec[6962]: 00[LIB] loaded plugins: charon aes des rc2 sha2 sha1 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf gmp curve25519 xcbc cmac hmac attr kernel-netlink resolve socket-default stroke vici updown xauth-generic Aug 24 19:30:56 wolacinio ipsec[6962]: 00[JOB] spawning 16 worker threads Aug 24 19:30:56 wolacinio ipsec[6962]: 05[CFG] received stroke: add connection 'myvpn' Aug 24 19:30:56 wolacinio ipsec[6962]: 05[CFG] added configuration 'myvpn' Aug 24 19:30:56 wolacinio ipsec[6962]: 07[CFG] received stroke: initiate 'myvpn' Aug 24 19:30:56 wolacinio ipsec[6962]: 07[IKE] initiating Main Mode IKE_SA myvpn[1] to 178.217.199.212 Aug 24 19:30:56 wolacinio ipsec[6962]: 07[ENC] generating ID_PROT request 0 [ SA V V V V V ] Aug 24 19:30:56 wolacinio ipsec[6962]: 07[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (216 bytes) Aug 24 19:30:56 wolacinio ipsec[6962]: 09[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (188 bytes) Aug 24 19:30:56 wolacinio ipsec[6962]: 09[ENC] parsed ID_PROT response 0 [ SA V V V V V ] Aug 24 19:30:56 wolacinio ipsec[6962]: 09[IKE] received NAT-T (RFC 3947) vendor ID Aug 24 19:30:56 wolacinio ipsec[6962]: 09[IKE] received DPD vendor ID Aug 24 19:30:56 wolacinio ipsec[6962]: 09[ENC] received unknown vendor ID: 82:99:03:17:57:a3:60:82:c6:a6:21:de:00:05:05:a9 Aug 24 19:30:56 wolacinio ipsec[6962]: 09[IKE] received FRAGMENTATION vendor ID Aug 24 19:30:56 wolacinio ipsec[6962]: 09[IKE] received FRAGMENTATION vendor ID Aug 24 19:30:56 wolacinio ipsec[6962]: 09[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ] Aug 24 19:30:56 wolacinio ipsec[6962]: 09[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (308 bytes) Aug 24 19:30:56 wolacinio ipsec[6962]: 10[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (292 bytes) Aug 24 19:30:56 wolacinio ipsec[6962]: 10[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] Aug 24 19:30:56 wolacinio ipsec[6962]: 10[IKE] local host is behind NAT, sending keep alives Aug 24 19:30:56 wolacinio ipsec[6962]: 10[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ] Aug 24 19:30:56 wolacinio ipsec[6962]: 10[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:30:56 wolacinio ipsec[6962]: 04[IKE] sending retransmit 1 of request message ID 0, seq 3 Aug 24 19:30:56 wolacinio ipsec[6962]: 04[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:30:56 wolacinio ipsec[6962]: 13[IKE] sending retransmit 2 of request message ID 0, seq 3 Aug 24 19:30:56 wolacinio ipsec[6962]: 13[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:30:56 wolacinio ipsec[6962]: 15[IKE] sending retransmit 3 of request message ID 0, seq 3 Aug 24 19:30:56 wolacinio ipsec[6962]: 15[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:30:56 wolacinio ipsec[6962]: 05[IKE] sending keep alive to 178.217.199.212[4500] Aug 24 19:30:56 wolacinio ipsec[6962]: 08[IKE] sending retransmit 4 of request message ID 0, seq 3 Aug 24 19:30:56 wolacinio ipsec[6962]: 08[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:30:56 wolacinio ipsec[6962]: 09[IKE] sending keep alive to 178.217.199.212[4500] Aug 24 19:30:56 wolacinio ipsec[6962]: 10[IKE] sending keep alive to 178.217.199.212[4500] Aug 24 19:30:56 wolacinio ipsec[6962]: 11[IKE] sending retransmit 5 of request message ID 0, seq 3 Aug 24 19:30:56 wolacinio ipsec[6962]: 11[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:30:56 wolacinio ipsec[6962]: 04[IKE] sending keep alive to 178.217.199.212[4500] Aug 24 19:30:56 wolacinio ipsec[6962]: 13[IKE] sending keep alive to 178.217.199.212[4500] Aug 24 19:30:56 wolacinio ipsec[6962]: 14[IKE] sending keep alive to 178.217.199.212[4500] Aug 24 19:30:56 wolacinio ipsec[6962]: 15[IKE] giving up after 5 retransmits Aug 24 19:30:56 wolacinio ipsec[6962]: 15[IKE] peer not responding, trying again (2/3) Aug 24 19:30:56 wolacinio ipsec[6962]: 15[IKE] initiating Main Mode IKE_SA myvpn[1] to 178.217.199.212 Aug 24 19:30:56 wolacinio ipsec[6962]: 15[ENC] generating ID_PROT request 0 [ SA V V V V V ] Aug 24 19:30:56 wolacinio ipsec[6962]: 15[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (216 bytes) Aug 24 19:30:56 wolacinio ipsec[6962]: 06[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (188 bytes) Aug 24 19:30:56 wolacinio ipsec[6962]: 06[ENC] parsed ID_PROT response 0 [ SA V V V V V ] Aug 24 19:30:56 wolacinio ipsec[6962]: 06[IKE] received NAT-T (RFC 3947) vendor ID Aug 24 19:30:56 wolacinio ipsec[6962]: 06[IKE] received DPD vendor ID Aug 24 19:30:56 wolacinio ipsec[6962]: 06[ENC] received unknown vendor ID: 82:99:03:17:57:a3:60:82:c6:a6:21:de:00:05:05:a9 Aug 24 19:30:56 wolacinio ipsec[6962]: 06[IKE] received FRAGMENTATION vendor ID Aug 24 19:30:56 wolacinio ipsec[6962]: 06[IKE] received FRAGMENTATION vendor ID Aug 24 19:30:56 wolacinio ipsec[6962]: 06[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ] Aug 24 19:30:56 wolacinio charon: 05[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (292 bytes) Aug 24 19:30:56 wolacinio charon: 05[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] Aug 24 19:30:56 wolacinio charon: 05[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ] Aug 24 19:30:56 wolacinio charon: 05[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:31:00 wolacinio charon: 10[IKE] sending retransmit 1 of request message ID 0, seq 3 Aug 24 19:31:00 wolacinio charon: 10[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:31:07 wolacinio charon: 11[IKE] sending retransmit 2 of request message ID 0, seq 3 Aug 24 19:31:07 wolacinio charon: 11[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:31:20 wolacinio charon: 12[IKE] sending retransmit 3 of request message ID 0, seq 3 Aug 24 19:31:20 wolacinio charon: 12[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:31:43 wolacinio charon: 04[IKE] sending retransmit 4 of request message ID 0, seq 3 Aug 24 19:31:43 wolacinio charon: 04[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:32:25 wolacinio charon: 13[IKE] sending retransmit 5 of request message ID 0, seq 3 Aug 24 19:32:25 wolacinio charon: 13[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:33:12 wolacinio dbus[654]: [system] Activating via systemd: service name='org.freedesktop.hostname1' unit='dbus-org.freedesktop.hostname1.service' Aug 24 19:33:12 wolacinio systemd[1]: Starting Hostname Service... Aug 24 19:33:12 wolacinio dbus[654]: [system] Successfully activated service 'org.freedesktop.hostname1' Aug 24 19:33:12 wolacinio systemd[1]: Started Hostname Service. Aug 24 19:33:41 wolacinio charon: 07[IKE] giving up after 5 retransmits Aug 24 19:33:41 wolacinio charon: 07[IKE] peer not responding, trying again (3/3) Aug 24 19:33:42 wolacinio charon: 07[IKE] initiating Main Mode IKE_SA myvpn[1] to 178.217.199.212 Aug 24 19:33:42 wolacinio charon: 07[ENC] generating ID_PROT request 0 [ SA V V V V V ] Aug 24 19:33:42 wolacinio charon: 07[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (216 bytes) Aug 24 19:33:42 wolacinio charon: 09[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (188 bytes) Aug 24 19:33:42 wolacinio charon: 09[ENC] parsed ID_PROT response 0 [ SA V V V V V ] Aug 24 19:33:42 wolacinio charon: 09[IKE] received NAT-T (RFC 3947) vendor ID Aug 24 19:33:42 wolacinio charon: 09[IKE] received DPD vendor ID Aug 24 19:33:42 wolacinio charon: 09[ENC] received unknown vendor ID: 82:99:03:17:57:a3:60:82:c6:a6:21:de:00:05:05:a9 Aug 24 19:33:42 wolacinio charon: 09[IKE] received FRAGMENTATION vendor ID Aug 24 19:33:42 wolacinio charon: 09[IKE] received FRAGMENTATION vendor ID Aug 24 19:33:42 wolacinio charon: 09[ENC] generating ID_PROT request 0 [ KE No NAT-D NAT-D ] Aug 24 19:33:42 wolacinio charon: 09[NET] sending packet: from 192.168.1.177[500] to 178.217.199.212[500] (308 bytes) Aug 24 19:33:42 wolacinio charon: 10[NET] received packet: from 178.217.199.212[500] to 192.168.1.177[500] (292 bytes) Aug 24 19:33:42 wolacinio charon: 10[ENC] parsed ID_PROT response 0 [ KE No NAT-D NAT-D ] Aug 24 19:33:42 wolacinio charon: 10[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ] Aug 24 19:33:42 wolacinio charon: 10[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:33:46 wolacinio charon: 04[IKE] sending retransmit 1 of request message ID 0, seq 3 Aug 24 19:33:46 wolacinio charon: 04[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:33:53 wolacinio charon: 13[IKE] sending retransmit 2 of request message ID 0, seq 3 Aug 24 19:33:53 wolacinio charon: 13[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:34:06 wolacinio charon: 14[IKE] sending retransmit 3 of request message ID 0, seq 3 Aug 24 19:34:06 wolacinio charon: 14[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:34:29 wolacinio charon: 15[IKE] sending retransmit 4 of request message ID 0, seq 3 Aug 24 19:34:29 wolacinio charon: 15[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:35:07 wolacinio dbus[654]: [system] Activating via systemd: service name='org.freedesktop.hostname1' unit='dbus-org.freedesktop.hostname1.service' Aug 24 19:35:07 wolacinio systemd[1]: Starting Hostname Service... Aug 24 19:35:08 wolacinio dbus[654]: [system] Successfully activated service 'org.freedesktop.hostname1' Aug 24 19:35:08 wolacinio systemd[1]: Started Hostname Service. Aug 24 19:35:11 wolacinio charon: 06[IKE] sending retransmit 5 of request message ID 0, seq 3 Aug 24 19:35:11 wolacinio charon: 06[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Ostatnio edytowany przez wolacinio (2017-08-24 19:37:57)
Offline
KONIECZNIE potrzebny jest log od strony serwera.
według logi forti nie wysyła Ci żadnej odpowiedzi
Aug 24 19:33:42 wolacinio charon: 10[ENC] generating ID_PROT request 0 [ ID HASH N(INITIAL_CONTACT) ] Aug 24 19:33:42 wolacinio charon: 10[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:33:46 wolacinio charon: 04[IKE] sending retransmit 1 of request message ID 0, seq 3 Aug 24 19:33:46 wolacinio charon: 04[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:33:53 wolacinio charon: 13[IKE] sending retransmit 2 of request message ID 0, seq 3 Aug 24 19:33:53 wolacinio charon: 13[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:34:06 wolacinio charon: 14[IKE] sending retransmit 3 of request message ID 0, seq 3 Aug 24 19:34:06 wolacinio charon: 14[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes) Aug 24 19:34:29 wolacinio charon: 15[IKE] sending retransmit 4 of request message ID 0, seq 3 Aug 24 19:34:29 wolacinio charon: 15[NET] sending packet: from 192.168.1.177[4500] to 178.217.199.212[4500] (108 bytes)
Może to oznaczać, że wysyłasz złe parametry i po cichy zrywa sesję.
Offline
@urbinek - dokładnie tak samo mi się wydaje. Niestety nie mam dostępu do serwera i nie ma możliwości przeanalizowanie logów serwera.
Z Wireshark'a dostaje to:
178.217.199.212 192.168.1.177 ISAKMP 122 Identity Protection (Main Mode)
Druga sprawa. Dziwna sytuacja. Innym sposobem, łącze się za pomocą network-manager-l2tp i ustawiając ustawienia IPSec jest to samo. Natomiast ustawiając PPP idzie, nawet się łączy a w Wireshark'u wyświetla:
18373 420.893652692 178.217.199.212 192.168.1.177 PPP PAP 72 Authenticate-Nak (Message='Login incorrect')
[url]http://imgur.com/a/JjM5c[/url]
Offline
Ipsec ma dosyć skomplikowaną konfigurację sieciową, mam na myśli FW, NAT i otwarte porty po obu stronach.
Nie masz możliwości "wymusić" na drugiej stronie OpenVPNa?
Zwłaszcza, że adres docelowy 192.168.1.177 to przecież LAN z klasy 192.168.0.0/16
a nie internet.
W ogóle, jak chcesz bawić się Ipseciem, to najpierw postaw sobie środowisko testowe,
w którym będziesz kontrolował oba strony tunelu.
PS.
Do zabawy w Ipsec polecam Strongswana, jest chyba najłatwiejszą w osbsłudze implementacją Ipsec w Linuxie.
Ostatnio edytowany przez Jacekalex (2017-08-24 21:13:05)
Offline
@Jacekalex - 192.168.1.177 to mój komputer. To była odpowiedź od serwera.
Offline
Ok mój błąd.
Jeżeli Łączysz się do VPN Fortinet, to może spróbujesz ichniejszego klienta?
http://kb.fortinet.com/kb/documentLink.do?externalID=FD39996
Bo zdaje się, że mają jakoś zmieniony ten protokół VPN względem oryginalnego Ipseca.
PS.
Jest też jakiś otwarty klient do tego Forti:
https://github.com/adrienverge/openfortivpn
Ostatnio edytowany przez Jacekalex (2017-08-24 22:28:32)
Offline
@Jacekalex, Oni mają standardową implementację IPsec'a ale jest sporo autogamicznych gówienek do konfiguracji tunelu, które są normalnie pobierane przez [b]mode cong[/b]
Jak poda odpowiednie parametry to będzie prądzić :)
Offline
[quote=urbinek]@Jacekalex, Oni mają standardową implementację IPsec'a ale jest sporo autogamicznych gówienek do konfiguracji tunelu, które są normalnie pobierane przez [b]mode cong[/b]
Jak poda odpowiednie parametry to będzie prądzić :)[/quote]
Nie ma czegoś takiego, jak standardowa implementacja.
Najlepszy przykład to Cisco i BGP - ile razy routery Ciso miały "inną implementację md5" przez co przestawały gadać z innymi routerami BGP?
Oczywiście za każdym razem to poprawiali, ale zawsze kilku klientów poleciało po Cisco, bo to "Przecież BGP".
Myślisz może, że w Forti nie mają dyrektora ds marketingu?
Z reszta może nie słyszałeś o problemach z md5 w BGP, ale o tym, jak w M$ Outlook
i Outlook Pro działa protokół IMAP, cały świat słyszał.
Z resztą po co w ogóle powstał UEFI SecureBoot?
Wymyślili go w Apple, natychmiast pochwycił pomysł M$, jakie "bezpieczeństwo systemu" z tego wynika wszyscy wiemy.
Albo zablokowane bootloadery w Smartfonach, hakerzy z tego mieli zabawę, ale owszem, były.
Kiedy się okazało,ze nie można software'owo postarzać telefonów, to zaczęły się wbudowane na stałe baterie.
Potem leżą na półce dwa Samsungi Galaxy, model 5 i 6.
Galaxy 5 ma 2 lata gwarancji na Smartfona, ale tylko 6 mies na baterię (wymienną), a Galaxy 6 ma baterię wbudowaną na stałe.
Czym się różnią pod względem technicznym baterie w Galaxy 5 i Galaxy 6?
Pozdro
Ostatnio edytowany przez Jacekalex (2017-08-25 10:40:23)
Offline
@Jacekalex - niestety nie mam jak pobrać klienta FortiClient na Linux'a. Tak pobierałem ten jak i inne programy, ale się nie łączy. Nie wiem wgl. jaki jest port do łączenia. Na tym co jest to wychodzi błąd z autentykacją.
@urbinek - "prądzić"?
Btw. mogę podać logi z klienta Forti na Windows'ie.
Offline
[quote=wolacinio]@Jacekalex - niestety nie mam jak pobrać klienta FortiClient na Linux'a. Tak pobierałem ten jak i inne programy, ale się nie łączy. Nie wiem wgl. jaki jest port do łączenia. Na tym co jest to wychodzi błąd z autentykacją.
@urbinek - "prądzić"?
Btw. mogę podać logi z klienta Forti na Windows'ie.[/quote]
A to:
https://github.com/adrienverge/openfortivpn
próbowałeś?
EDIT:
https://hadler.me/linux/forticlient-sslvpn-deb-packages/
Tutaj są jakieś klienty Forti na Ubuntu dostępne bez żadnej autoryzacji.
Ostatnio edytowany przez Jacekalex (2017-08-25 10:48:48)
Offline
[quote=Jacekalex]Ipsec ma dosyć skomplikowaną konfigurację sieciową, mam na myśli FW, NAT i otwarte porty po obu stronach.[/quote]
No nie wiem, wystarczy że twój router obsługuje NAT-T (nie widziałem od lat takiego, który tego nie ma), przekierujesz port 4500/udp, 500/udp i tyle.
Pozatym trochę odpływasz od tematu ale tak, są standardy i są standardy.
Przy czym jeśli chodzi o IPsec'a nie można zrobić czegoś PRAWIE tak jak określa norma RFC bo to będzie oznaczało brak możliwości nawiązania jakiejkolwiek komunikacji z urządzeniami innymi niż Fortigae.
A skąd wiem, że mają standardową implementację? Otóż 4 lata pracowałem jako support techniczny dystrybutora konkrecyjnego produktu, gdzie staraliśmy się wygryźć Fortigate na każdym kroku i robiłem rożnego rodzaju migracje konfiguracji, tunelowanie site-2-site i client-2-site.
Zawsze udawało mi się ogarnąć tunelowanie IPsec ale potrzebowałem do tego konfiguracji Fortigate a nie klienta.
@wolacinio, prądzić = działać
a problem polega na tym, że nie masz pełnej konfiguracji, na pewno nie masz ustawionego esp
Zerknij na ten artykuł: http://socpuppet.blogspot.com/2014/05/openswan-to-fortigate-route-based-vpn.html
alternatywnie możesz spróbowac na forum Forti https://forum.fortinet.com/tt.aspx?forumid=5 możliwe, że będzie to szybsza droga
Jeśli mogę zapytać - na czym polega problem z uzyskaniem logów/konfiguracji FortiGate? Były by one niezwykle pomocne
Offline
[quote=Jacekalex]https://github.com/adrienverge/openfortivpn
próbowałeś?
EDIT:
https://hadler.me/linux/forticlient-sslvpn-deb-packages/
Tutaj są jakieś klienty Forti na Ubuntu dostępne bez żadnej autoryzacji.[/quote]
Tak próbowałem.
@urbinek - Ja programista otrzymałem API na które mam wykonywać wszystkie swoje zapytania. Żeby się dostać muszę mieć połączenie VPN. Api wystawiła inna firma i nie dla tego nie mam do niego dostępu.
Ostatnio edytowany przez wolacinio (2017-08-25 11:29:43)
Offline
Ja bym spróbował z czymś takim:
[b]ipsec.conf[/b]:
config setup protostack=netkey nat_traversal=yes # tunnel specific for each gateway # conn FGT type=tunnel authby=secret left=TWÓJ_PUBLICZNY_IP leftnexthop=%defaultroute leftsubnet=TWÓJ_LAN/MASKA right=IP_PUBLICZNE_FORTI rightsubnet=FORTI_LAN/MASKA ike=aes128-sha1-modp1536 esp=aes128-sha1-modp1536 ikelifetime=86400s keylife=43200s keyexchange=ike pfs=yes aggrmode=yes auto=start
prawą stronę możesz spróbować wyciągnąć z klienta windowsowego po udanym połączeniu
ewentualnie spróbuj modeconf
config setup protostack=netkey nat_traversal=yes # tunnel specific for each gateway # conn FGT modeconfig=push type=tunnel authby=secret left=TWÓJ_PUBLICZNY_IP leftsourceip=%config leftid=TWÓJ LOGIN right=IP_PUBLICZNE_FORTI rightsubnet=FORTI_LAN/MASKA ike=aes128-sha1-modp1536 esp=aes128-sha1-modp1536 ikelifetime=86400s keylife=43200s keyexchange=ike pfs=yes aggrmode=yes auto=start
Offline
Time (s) | Query |
---|---|
0.00009 | SET CHARSET latin2 |
0.00005 | SET NAMES latin2 |
0.00100 | SELECT u.*, g.*, o.logged FROM punbb_users AS u INNER JOIN punbb_groups AS g ON u.group_id=g.g_id LEFT JOIN punbb_online AS o ON o.ident='3.147.71.175' WHERE u.id=1 |
0.00077 | UPDATE punbb_online SET logged=1732715061 WHERE ident='3.147.71.175' |
0.00038 | SELECT * FROM punbb_online WHERE logged<1732714761 |
0.00061 | DELETE FROM punbb_online WHERE ident='18.118.119.129' |
0.00082 | DELETE FROM punbb_online WHERE ident='18.188.140.232' |
0.00044 | SELECT topic_id FROM punbb_posts WHERE id=313679 |
0.00008 | SELECT id FROM punbb_posts WHERE topic_id=29849 ORDER BY posted |
0.00073 | SELECT t.subject, t.closed, t.num_replies, t.sticky, f.id AS forum_id, f.forum_name, f.moderators, fp.post_replies, 0 FROM punbb_topics AS t INNER JOIN punbb_forums AS f ON f.id=t.forum_id LEFT JOIN punbb_forum_perms AS fp ON (fp.forum_id=f.id AND fp.group_id=3) WHERE (fp.read_forum IS NULL OR fp.read_forum=1) AND t.id=29849 AND t.moved_to IS NULL |
0.00008 | SELECT search_for, replace_with FROM punbb_censoring |
0.00141 | SELECT u.email, u.title, u.url, u.location, u.use_avatar, u.signature, u.email_setting, u.num_posts, u.registered, u.admin_note, p.id, p.poster AS username, p.poster_id, p.poster_ip, p.poster_email, p.message, p.hide_smilies, p.posted, p.edited, p.edited_by, g.g_id, g.g_user_title, o.user_id AS is_online FROM punbb_posts AS p INNER JOIN punbb_users AS u ON u.id=p.poster_id INNER JOIN punbb_groups AS g ON g.g_id=u.group_id LEFT JOIN punbb_online AS o ON (o.user_id=u.id AND o.user_id!=1 AND o.idle=0) WHERE p.topic_id=29849 ORDER BY p.id LIMIT 0,25 |
0.00079 | UPDATE punbb_topics SET num_views=num_views+1 WHERE id=29849 |
Total query time: 0.00725 s |