#21
|
|||
|
|||
Re: STABLE+IPSEC
Alex Korchmar написал(а) к Eugene Grosbein в Jun 17 13:51:58 по местному времени:
From: Alex Korchmar <noreply@linux.e-moe.ru> Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote: EG> 3 ESRCН No such process. No process could be found corresponding to that EG> specified by the given process ID. спасибо, кэп - я вообще-то хотел спросить, не в курсе ли вы, ЧТО за сраный "процесс" оно искало? Я вот таких ошибок от racoon никогда не встречал, обычно он обламывается об no such file, и это понятно где искать, гугль о такой строке тоже не в курсе. Очень даже может быть, что искало оно вовсе не процесс, а строку в SA. EG> На самом деле ядро уже давно возвращает ESRCН далеко не только EG> для не найденного PID, но и для других ресурсов тоже. на самом деле автор, возвращающий такие ошибки без уточнения где в его чудо- программе оно слуцилась и что же это он такое искал-не нашел, безусловно $дак. К сожалению, их таких тыщи. > Alex --- ifmail v.2.15dev5.4 |
#22
|
|||
|
|||
STABLE+IPSEC
Victor Sudakov написал(а) к Eugene Grosbein в Jun 17 18:28:52 по местному времени:
Dear Eugene, 20 Jun 17 17:00, you wrote to Sergey Anohin: SA>> ты пpо это? SA>> script "/usr/local/etc/racoon/teardown.sh" phase1down; SA>> script "/usr/local/etc/racoon/teardown.sh" phase1dead; EG> Про все места где у тебя вызывается setkey - эти вызовы убрать, EG> они больше не нужны. EG>>> включая вот эти стpочки из /etc/ipsec.conf: SA>> Забыл скопипастить? Покажешь конфиг? SA>> Сейчас у меня используется setkey.conf в качестве ipsec.conf: SA>> ipsec_enable="YES" SA>> ipsec_file="/usr/local/etc/racoon/setkey.conf" SA>> flush; SA>> spdflush; SA>> spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec SA>> esp/transport//require; spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp SA>> -P out ipsec esp/transport//require; EG> Да, вот это. Тоже убери, это уже всё автоматом. Кто автомат обеспечивает в случае racoon+mpd5? EG>>> тепеpь ядpо всё это делает автоматически и не надо ему мешать. Как это? Откуда оно узнает, что мне хочется шифровать 1701/udp, потому что это l2tp, который мне захотелось завернуть в IPSec? Victor Sudakov, VAS4-RIPE, VAS47-RIPN --- GoldED+/BSD 1.1.5-b20160322-b20160322 |
#23
|
|||
|
|||
STABLE+IPSEC
Andrew Kant написал(а) к Eugene Grosbein в Jun 17 14:45:39 по местному времени:
Нello Eugene! Tuesday June 20 2017 17:00, Eugene Grosbein wrote to Sergey Anohin: SA>> Сейчас у меня используется setkey.conf в качестве ipsec.conf: SA>> ipsec_enable="YES" SA>> ipsec_file="/usr/local/etc/racoon/setkey.conf" SA>> flush; SA>> spdflush; SA>> spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec SA>> esp/transport//require; spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp -P SA>> out ipsec esp/transport//require; EG> Да, вот это. Тоже убери, это уже всё автоматом. А откуда этот "автомат" узнает, что я использую ESP, причем в траспорт-моде, причем только для udp по конкретному порту? А если я захочу не l2tp? Всё равно где-то в конфигах это должно быть, угадать тот-же racoon это не сможет. Good bye! Andrew --- GoldED+/W32 1.1.4.7 |
#24
|
|||
|
|||
Re: STABLE+IPSEC
Sergey Anohin написал(а) к Eugene Grosbein в Jun 17 16:20:59 по местному времени:
Нello Eugene* *Grosbein SA>> script "/usr/local/etc/racoon/teardown.sh" phase1down; SA>> script "/usr/local/etc/racoon/teardown.sh" phase1dead; EG> Пpо все места где у тебя вызывается setkey - эти вызовы убpать, EG> они больше не нужны. Если я пpав, то только это, если нет ткни носом плз EG>>> включая вот эти стpочки из /etc/ipsec.conf: SA>> Забыл скопипастить? Покажешь конфиг? SA>> Сейчас у меня используется setkey.conf в качестве ipsec.conf: SA>> ipsec_enable="YES" SA>> ipsec_file="/usr/local/etc/racoon/setkey.conf" SA>> flush; SA>> spdflush; SA>> spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec SA>> esp/transport//require; spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp -P SA>> out ipsec esp/transport//require; EG> Да, вот это. Тоже убеpи, это уже всё автоматом. Так он пустой должен быть ipsec.conf? EG>>> тепеpь ядpо всё это делает автоматически и не надо ему мешать. EG>>> В /etc/ipsec.conf можно оставить паpаметpы для статических EG>>> туннелей, котоpыми не занимается racoon, они пpодолжат pаботать. SA>> Пpишли пpимеp плз EG> В остальном у тебя всё ноpмально, только миp синхpонизиpуй. Ок спасибо, уже сбоpка идет, осталось только уточнить что должно быть в ipsec.conf Bye, Eugene Grosbein, 20 июня 17 --- FIPS/IP <build 01.14> |
#25
|
|||
|
|||
Re: STABLE+IPSEC
Eugene Grosbein написал(а) к Alex Korchmar в Jun 17 21:13:39 по местному времени:
20 июня 2017, вторник, в 12:51 NOVT, Alex Korchmar написал(а): EG>> 3 ESRCН No such process. No process could be found corresponding to AK> that EG>> specified by the given process ID. AK> спасибо, кэп - я вообще-то хотел спросить, не в курсе ли вы, ЧТО за сраный AK> "процесс" оно искало? Не знаю, но наверняка политику. Eugene --- slrn/1.0.2 (FreeBSD) |
#26
|
|||
|
|||
Re: STABLE+IPSEC
Eugene Grosbein написал(а) к Andrew Kant в Jun 17 11:12:03 по местному времени:
20 июня 2017, вторник, в 13:45 NOVT, Andrew Kant написал(а): SA>>> Сейчас у меня используется setkey.conf в качестве ipsec.conf: SA>>> ipsec_enable="YES" SA>>> ipsec_file="/usr/local/etc/racoon/setkey.conf" SA>>> flush; SA>>> spdflush; SA>>> spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec SA>>> esp/transport//require; spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp -P SA>>> out ipsec esp/transport//require; EG>> Да, вот это. Тоже убери, это уже всё автоматом. AK> А откуда этот "автомат" узнает, что я использую ESP, причем в траспорт-моде, AK> причем только для udp по конкретному порту? racoon скажет, получив эту информацию от клиента. AK> А если я захочу не l2tp? Тоже будет работать. Eugene -- Поэты - страшные люди. У них все святое. --- slrn/1.0.2 (FreeBSD) |
#27
|
|||
|
|||
Re: STABLE+IPSEC
Eugene Grosbein написал(а) к Sergey Anohin в Jun 17 11:12:55 по местному времени:
20 июня 2017, вторник, в 15:20 NOVT, Sergey Anohin написал(а): SA> Так он пустой должен быть ipsec.conf? Да, если у тебя нет статических туннелей. EG>>>> тепеpь ядpо всё это делает автоматически и не надо ему мешать. EG>>>> В /etc/ipsec.conf можно оставить паpаметpы для статических EG>>>> туннелей, котоpыми не занимается racoon, они пpодолжат pаботать. SA>>> Пpишли пpимеp плз EG>> В остальном у тебя всё ноpмально, только миp синхpонизиpуй. SA> Ок спасибо, уже сбоpка идет, осталось только уточнить что должно быть в SA> ipsec.conf Ничего в твоём случае. Eugene -- Поэты - страшные люди. У них все святое. --- slrn/1.0.2 (FreeBSD) |
#28
|
|||
|
|||
Re: STABLE+IPSEC
Eugene Grosbein написал(а) к Victor Sudakov в Jun 17 11:13:43 по местному времени:
20 июня 2017, вторник, в 17:28 NOVT, Victor Sudakov написал(а): EG>> Да, вот это. Тоже убери, это уже всё автоматом. VS> Кто автомат обеспечивает в случае racoon+mpd5? racoon (IKE). EG>>>> тепеpь ядpо всё это делает автоматически и не надо ему мешать. VS> Как это? Откуда оно узнает, что мне хочется шифровать 1701/udp, потому что это VS> l2tp, который мне захотелось завернуть в IPSec? Из IKE от клиента. Eugene -- Поэты - страшные люди. У них все святое. --- slrn/1.0.2 (FreeBSD) |
#29
|
|||
|
|||
Re: STABLE+IPSEC
Eugene Grosbein написал(а) к Victor Sudakov в Jun 17 11:32:44 по местному времени:
20 июня 2017, вторник, в 17:28 NOVT, Victor Sudakov написал(а): VS> Как это? Откуда оно узнает, что мне хочется шифровать 1701/udp, потому что это VS> l2tp, который мне захотелось завернуть в IPSec? Вот так оно нычне выглядит автоматом, когда с андроида коннект идёт через билайновскую сеть 3G через билайновский NAT: # setkey -DP an.dr.o.id[any] fr.ee.b.sd[1701] udp in ipsec esp/transport//unique:2 created: Jun 21 06:25:29 2017 lastused: Jun 21 06:25:35 2017 lifetime: 28800(s) validtime: 0(s) spid=27 seq=1 pid=16579 scope=global refcnt=2 fr.ee.b.sd[1701] an.dr.o.id[any] udp out ipsec esp/transport//unique:2 created: Jun 21 06:25:29 2017 lastused: Jun 21 06:25:33 2017 lifetime: 28800(s) validtime: 0(s) spid=28 seq=0 pid=16579 scope=global refcnt=2 # setkey -D fr.ee.b.sd[4500] an.dr.o.id[26052] esp-udp mode=transport spi=192462156(0x0b78bd4c) reqid=2(0x00000002) E: 3des-cbc 2663bfa0 890539dd ae0a900d 61a2954a cf65b372 545273ed A: hmac-sha1 cfe43fdf bc141944 8c4ce094 d479d434 d57d9e1e seq=0x00000037 replay=4 flags=0x00000000 state=mature created: Jun 21 06:25:29 2017 current: Jun 21 06:29:38 2017 diff: 249(s) hard: 28800(s) soft: 23040(s) last: Jun 21 06:25:30 2017 hard: 0(s) soft: 0(s) current: 5304(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 55 hard: 0 soft: 0 sadb_seq=1 pid=16587 refcnt=1 an.dr.o.id[26052] fr.ee.b.sd[4500] esp-udp mode=transport spi=200499294(0x0bf3605e) reqid=2(0x00000002) E: 3des-cbc bb265921 6777da3b ce465e0c 8fe6d27a 158f77d8 33cc4e25 A: hmac-sha1 cedc4fc7 f38926b6 10344da6 8dc49dfc 6c3ce1e1 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: Jun 21 06:25:29 2017 current: Jun 21 06:29:38 2017 diff: 249(s) hard: 28800(s) soft: 23040(s) last: Jun 21 06:25:30 2017 hard: 0(s) soft: 0(s) current: 2418(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 42 hard: 0 soft: 0 sadb_seq=0 pid=16587 refcnt=1 Eugene -- Смотри, но не смей трогать --- slrn/1.0.2 (FreeBSD) |
#30
|
|||
|
|||
STABLE+IPSEC
Andrew Kant написал(а) к Eugene Grosbein в Jun 17 08:28:46 по местному времени:
Нello Eugene! Wednesday June 21 2017 11:13, Eugene Grosbein wrote to Victor Sudakov: EG> 20 июня 2017, вторник, в 17:28 NOVT, Victor Sudakov написал(а): EG>>> Да, вот это. Тоже убери, это уже всё автоматом. VS>> Кто автомат обеспечивает в случае racoon+mpd5? EG> racoon (IKE). EG>>>>> тепеpь ядpо всё это делает автоматически и не надо ему мешать. VS>> Как это? Откуда оно узнает, что мне хочется шифровать 1701/udp, VS>> потому что это l2tp, который мне захотелось завернуть в IPSec? EG> Из IKE от клиента. Ну, вообще-то racoon это не ядро, но не будем придираться к словам, это не суть важно в данном случае :) И начиная с какой версии он это умеет? Ну или хотя-бы в какой версии он это умеет? Есть какие-то параметры, которые управляют данным поведением? Чего-то не хочется, чтоб при очередном апгрейде поломались существующие тунели, хотя давно пора было этот функционал добавить. Good bye! Andrew --- GoldED+/W32 1.1.4.7 |