Üdv!
Nem bírok ezzel strongswannak nevezett sz*rr*l és agyvérzés szélén állok.
Új fordítás - sikertelen
Másik disztró - sikertelen ( ubuntu szerver 1604LTS)
Másik disztró saját fordítással - sikertelen
Korábbi verzió 5.1 saját fordítással - sikertelen
hiba minden esetben:
unable to resolve %any, initiate aborted
tried to checkin and delete nonexisting IKE_SA
establishing connection 'nat-t' failed
SEHOGY nem eszi meg a right=%any
FELADOM ezt a bughalmazt el is felejtem örökre.
A gyári oldalon lévő rw konfigok sem működnek (%any miatt) és nem linkel
mikrotikkel sem.
Ezeréves verziókkal meg nem szórakozok.
Keresek alternatívát, több időt nem szánok erre.
Ha valami javaslatod volna meghallgatom.
Köszönöm az eddigi segítséged!
2017. 08. 23. 23:10 keltezéssel, [email protected] írta:
On 08/23/2017 20:42, Sándor Fehér wrote:
/ipsec up ikev2-vpn/
unable to resolve %any, initiate aborted
tried to check-in and delete nonexisting IKE_SA
establishing connection 'ikev2-vpn' failed
en forrasbol raktam, igy nem tudok nyilatkozni a debian repoban
levorol. eppen azert raktam fel forrasbol, mert nekem rendkivul
ellenszenves, ahogy peldaul a konfigokat kezelik, szemben a standard
csomagbol forditottal. ha bugos a repoban levo, arra tehat nem en
fogok rajonni, en is csak elhinnem amit az internet ir. oreg vagyok
en mar ahhoz, hogy egy szimpla apache konfigot is symlinkelgessek
szanaszet es 20 file-ban kelljen turkalni - en a forrasbol forditott
dolgokban hiszek.
a hibauzenet annyibol erdekes, hogy nem derul ki melyik oldalrol
szarmazik. a szerverrol, onnan ahonnan a konfigot is masoltad? akkor
nem trivialis, hogy a left vagy right oldalra panaszkodott. Nyilvan a
leftnek nem kotelezo any-nek lennie, azt kicserelhetned az ismert
cimre, akkor legalabb egyertelmu lenne, melyik oldallal van baja.
de egyetertek abban, hogy az uzenet nem normalis, mivel nevfeloldasi
hibanak tunik, noha ezt a specialis nevet eppen, hogy nem kellene
nevfeloldania.
Nem ismeri a konfigban a %any pedig ez kell az RW-hez.
ertem en, hogy valtozik a cimed ahonnan a kapcsolatot teszteled, de
csak a proba kedveert megcsinalnam a konfigot az aktualis ip cimre es
megneznem, hogy amugy egyebkent mukodne-e, vagy az any-n kivul van-e
meg mas baja is.
vegigneztem a konfigot amit bemasoltal, par gondolat:
latom, aes256-ot hasznalsz. ezt olvastad?
https://www.schneier.com/blog/archives/2009/07/another_new_aes.html
nem tudom milyen vegpontokra szamitasz, de ha esetleg mobil
eszkozokkel hasznalod, en megfontolnam az aes128-at, sot, akar a 3des
-t is - kevesse cpu intenziv, jot tesz az aksinak.
ezzel parhuzamosan valoszinuleg az 1024-es kulcshosszt megemelnem
1536-ra - mivel ez csak phase 1-ben kerul hasznalatra, ritkabban
terheli a cpu-t, de ugy tudom az 1024 bites kulcsok ma mar nem
szamitanak kulonosebben biztonsagosnak.
nalam auto=start van, azaz indulaskor betolti a konfigot es el is
inditja, nalad csak betolti, de lehet, hogy van valami okod, hogy
szandekosan kezzel akarod inditani - de ez csak kozmetikai kulonbseg.
nem teljesen ertem, hogy a rekey miert no. rejtelyes hibak forrasa
lehet, ami ilyen konfig mellett a tuloldaltol fugg, hogy elojon-e vagy
sem. ha a tuloldalon is no van, akkor a lejaro kapcsolat parameterei
nem lesznek ujraegyeztetve. de megint csak: nem tudok a
hattersztorirol, lehet valami okod van ezt hasznalni.
az sem teljesen vilagos, mi ertelme van left any-t allitani, majd
leftid -t megadni, elegendo lenne left=ip cim is szerintem.
mivel a rightid alapertelmezetten a right erteket veszi fel, ezt sem
ertem miert duplaztad, es mivel pont az %any-rol szol a hibauzeneted,
ezt a konfigban atirnam, mielott nekiesek forditani egyet forrasbol.
egy minta tolem, ami mukodik egy cisco 877 routerrel, ami csak
kvazi-roadwarrior, mivel a maga mogotti halozatot is lathatova teszi:
conn %default
ikelifetime = 1d
keylife = 8h
keyingtries = 20
keyexchange = ikev1
authby = secret
ike = aes128-sha1-modp2048!
esp = aes128-sha256!
type = tunnel
conn mjv-mira_to_core
left = a.b.c.d
leftfirewall = no
leftsubnet = e.f.g.h/26
right = %any
rightsubnet = i.j.k.l/26
ike = aes128-sha1-modp1536!
esp = aes128-sha!
auto = start
mivel az elejen onnan indult a sztori, ha jol emlekszem, hogy a voip
rtp nem megy, gondolom ahhoz reszeled a vpn-t, en egy fenti konfiggal
probalkoznek, ahol left nyilvan az ipsec szervered publikus ip-je,
leftsubnet az a privat (akar loopback) interfesz amit el kell erni a
vpn-en at, rightsubnet pedig az akinek a forgalma titkositasra kerul,
azaz a halozat ahol a voip kliensek vannak.
mint latod en kisebb kulcsszammal csinaltam aes-t, elsosorban azert,
mert a 877-es router egy eleg csoffadt darab, nem kell, hogy a cpu
futse a szobat amiben van. valamint en csak ikev1-et hasznalok. igy
a relevans reszeket modositva (pl. ikev2) a sajat esetedre egy
mindenkepp jo konfigot kell kapj.
azaz, ha
- az any-kat ideiglenesen kiveve mukodik, akkor csak kozmetikai hibak
vannak a konfigodban, ne foglalkozz a levelemmel
- az any-kat ideiglenesen kiveve sem mukodik akkor egyertelmu
hibauzenet lesz, mi a gond, javitsd
- miutan elerted a mukodest, ha _egy_ any -val sem mukodik, akkor
johet a forrasbol forditas, mert akkor a bugba futottal
_______________________________________________
Techinfo mailing list
[email protected]
Fel- és leiratkozás: http://lista.sulinet.hu/mailman/listinfo/techinfo
Illemtan: http://www.szag.hu/illemtan.html
Ügyfélszolgálat FAQ: http://sulinet.niif.hu/
