On 08/23/2017 20:42, Sándor Fehér wrote:
/ipsec up ikev2-vpn/
unable to resolve %any, initiate aborted
tried to check-in and delete nonexisting IKE_SA
establishing connection 'ikev2-vpn' failed
en forrasbol raktam, igy nem tudok nyilatkozni a debian repoban levorol.
eppen azert raktam fel forrasbol, mert nekem rendkivul ellenszenves,
ahogy peldaul a konfigokat kezelik, szemben a standard csomagbol
forditottal. ha bugos a repoban levo, arra tehat nem en fogok rajonni,
en is csak elhinnem amit az internet ir. oreg vagyok en mar ahhoz, hogy
egy szimpla apache konfigot is symlinkelgessek szanaszet es 20 file-ban
kelljen turkalni - en a forrasbol forditott dolgokban hiszek.
a hibauzenet annyibol erdekes, hogy nem derul ki melyik oldalrol
szarmazik. a szerverrol, onnan ahonnan a konfigot is masoltad? akkor
nem trivialis, hogy a left vagy right oldalra panaszkodott. Nyilvan a
leftnek nem kotelezo any-nek lennie, azt kicserelhetned az ismert cimre,
akkor legalabb egyertelmu lenne, melyik oldallal van baja.
de egyetertek abban, hogy az uzenet nem normalis, mivel nevfeloldasi
hibanak tunik, noha ezt a specialis nevet eppen, hogy nem kellene
nevfeloldania.
Nem ismeri a konfigban a %any pedig ez kell az RW-hez.
ertem en, hogy valtozik a cimed ahonnan a kapcsolatot teszteled, de csak
a proba kedveert megcsinalnam a konfigot az aktualis ip cimre es
megneznem, hogy amugy egyebkent mukodne-e, vagy az any-n kivul van-e meg
mas baja is.
vegigneztem a konfigot amit bemasoltal, par gondolat:
latom, aes256-ot hasznalsz. ezt olvastad?
https://www.schneier.com/blog/archives/2009/07/another_new_aes.html
nem tudom milyen vegpontokra szamitasz, de ha esetleg mobil eszkozokkel
hasznalod, en megfontolnam az aes128-at, sot, akar a 3des -t is -
kevesse cpu intenziv, jot tesz az aksinak.
ezzel parhuzamosan valoszinuleg az 1024-es kulcshosszt megemelnem
1536-ra - mivel ez csak phase 1-ben kerul hasznalatra, ritkabban terheli
a cpu-t, de ugy tudom az 1024 bites kulcsok ma mar nem szamitanak
kulonosebben biztonsagosnak.
nalam auto=start van, azaz indulaskor betolti a konfigot es el is
inditja, nalad csak betolti, de lehet, hogy van valami okod, hogy
szandekosan kezzel akarod inditani - de ez csak kozmetikai kulonbseg.
nem teljesen ertem, hogy a rekey miert no. rejtelyes hibak forrasa
lehet, ami ilyen konfig mellett a tuloldaltol fugg, hogy elojon-e vagy
sem. ha a tuloldalon is no van, akkor a lejaro kapcsolat parameterei
nem lesznek ujraegyeztetve. de megint csak: nem tudok a
hattersztorirol, lehet valami okod van ezt hasznalni.
az sem teljesen vilagos, mi ertelme van left any-t allitani, majd leftid
-t megadni, elegendo lenne left=ip cim is szerintem.
mivel a rightid alapertelmezetten a right erteket veszi fel, ezt sem
ertem miert duplaztad, es mivel pont az %any-rol szol a hibauzeneted,
ezt a konfigban atirnam, mielott nekiesek forditani egyet forrasbol.
egy minta tolem, ami mukodik egy cisco 877 routerrel, ami csak
kvazi-roadwarrior, mivel a maga mogotti halozatot is lathatova teszi:
conn %default
ikelifetime = 1d
keylife = 8h
keyingtries = 20
keyexchange = ikev1
authby = secret
ike = aes128-sha1-modp2048!
esp = aes128-sha256!
type = tunnel
conn mjv-mira_to_core
left = a.b.c.d
leftfirewall = no
leftsubnet = e.f.g.h/26
right = %any
rightsubnet = i.j.k.l/26
ike = aes128-sha1-modp1536!
esp = aes128-sha!
auto = start
mivel az elejen onnan indult a sztori, ha jol emlekszem, hogy a voip rtp
nem megy, gondolom ahhoz reszeled a vpn-t, en egy fenti konfiggal
probalkoznek, ahol left nyilvan az ipsec szervered publikus ip-je,
leftsubnet az a privat (akar loopback) interfesz amit el kell erni a
vpn-en at, rightsubnet pedig az akinek a forgalma titkositasra kerul,
azaz a halozat ahol a voip kliensek vannak.
mint latod en kisebb kulcsszammal csinaltam aes-t, elsosorban azert,
mert a 877-es router egy eleg csoffadt darab, nem kell, hogy a cpu futse
a szobat amiben van. valamint en csak ikev1-et hasznalok. igy a
relevans reszeket modositva (pl. ikev2) a sajat esetedre egy mindenkepp
jo konfigot kell kapj.
azaz, ha
- az any-kat ideiglenesen kiveve mukodik, akkor csak kozmetikai hibak
vannak a konfigodban, ne foglalkozz a levelemmel
- az any-kat ideiglenesen kiveve sem mukodik akkor egyertelmu hibauzenet
lesz, mi a gond, javitsd
- miutan elerted a mukodest, ha _egy_ any -val sem mukodik, akkor johet
a forrasbol forditas, mert akkor a bugba futottal
--
udv
Adam
_______________________________________________
Techinfo mailing list
[email protected]
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
