আমি CentOS 6.5 এ ওপেনসwan ব্যবহার করে আইপিএসেক ভিপিএন সেট আপ করেছি। কিন্তু টানেল আপ এবং চলমান পেতে পারবেন না। যখন সাইট B আমার VPS (সাইট A) পিং করার চেষ্টা করে, তখন তাদের নিম্নলিখিত ত্রুটি ঘটে:
Feb 26 11:33:59 [IKEv1 DEBUG]IP = ip1, IKE MM Initiator FSM error history (struct &0x00007fff3b110df0) <state>, <event>: MM_DONE, EV_ERROR-->MM_WAIT_MSG2, EV_RETRY-->MM_WAIT_MSG2, EV_TIMEOUT-->MM_WAIT_MSG2, NullEvent-->MM_SND_MSG1, EV_SND_MSG-->MM_SND_MSG1, EV_START_TMR-->MM_SND_MSG1, EV_RESEND_MSG-->MM_WAIT_MSG2, EV_RETRY
Feb 26 11:33:59 [IKEv1 DEBUG]IP = ip1, IKE SA MM:2bceea55 terminating: flags 0x01000022, refcnt 0, tuncnt 0
Feb 26 11:33:59 [IKEv1 DEBUG]IP = ip1, sending delete/delete with reason message`
MM_WAIT_MSG2
পিয়ার ফিরে ফিরে রুট সঙ্গে একটি সমস্যা আছে ইঙ্গিত করে।
আমি নিম্নলিখিত কাজ করেছেন:
shell>yum install openswan lsof
shell>vim /etc/sysctl.conf
net.ipv4.ip_forward = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
shell>sysctl -p
shell>iptables -A INPUT -p udp --dport 500 -j ACCEPT
shell>iptables -A INPUT -p tcp --dport 4500 -j ACCEPT
shell>iptables -A INPUT -p udp --dport 4500 -j ACCEPT
shell>iptables -t nat -A POSTROUTING -s ip1/32 -d ip3/32 -j SNAT --to ip1
shell>/sbin/service iptables save
shell>service iptables restart
আমার ipsec.conf
নিম্নলিখিত মত দেখাচ্ছে:
config setup
# Debug-logging controls: "none" for (almost) none, "all" for lots.
# klipsdebug=none
# plutodebug="control parsing"
# For Red Hat Enterprise Linux and Fedora, leave protostack=netkey
plutodebug=all
plutostderrlog=/var/log/pluto.log
protostack=netkey
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:192.168.0.0/16,%v4:172.16.0.0/16
oe=off
# Enable this if you see "failed to find any available worker"
# nhelpers=0
conn my_first_ipsec
authby=secret
auto=start
ike=aes128-sha1;modp1024
keyexchange=ike
phase2=esp
phase2alg=aes128-sha1;modp1024
type=tunnel
compress=no
pfs=no
left=ip1
leftid=ip1
leftsubnet=ip1/32
leftnexthop=%defaultroute
right=ip2
rightsubnet=ip3/32
আমার ipsec.secrets
নিম্নলিখিত মত দেখাচ্ছে:
ip1 ip2: PSK "XXXXXXXXXXXXXX"
Ipsec পরিষেবাটি পুনরায় আরম্ভ করা হচ্ছে:
shell>/etc/init.d/ipsec restart
সেবা সঠিকভাবে শুরু হয়।
আমি আইপি রুট চেক কিন্তু লক্ষ্য আইপি জন্য কোন রুট ছিল। তাই, আমি নিজে যোগ করেছি।
shell>route add -host ip3 gw ip1
এখন যখন আমি ipsec পরিষেবা অবস্থা পরীক্ষা করে দেখি, এটি নিম্নরূপ দেখায়:
shell>service ipsec status
IPsec running - pluto pid: 23570
pluto pid 23570
No tunnels up
শেল & gt; ipsec auto-status
000 using kernel interface: netkey
000 interface lo/lo ::1
000 interface lo/lo 127.0.0.1
000 interface lo/lo 127.0.0.1
000 interface eth0/eth0 ip1
000 interface eth0/eth0 ip1
000 %myid = (none)
000 debug raw+crypt+parsing+emitting+control+lifecycle+klips+dns+oppo+controlmore+pfkey+nattraversal+x509+dpd+oppoinfo
000
000 virtual_private (%priv):
000 - allowed 3 subnets: 10.0.0.0/8, 192.168.0.0/16, 172.16.0.0/16
000 - disallowed 0 subnets:
000 WARNING: Disallowed subnets in virtual_private= is empty. If you have
000 private address space in internal use, it should be excluded!
000
000 stats db_ops: {curr_cnt, total_cnt, maxsz} :context={0,1,64} trans={0,1,3072} attrs= {0,1,2048}
000
000 "my_first_ipsec": ip1/32===ip1<ip1>[+S=C]---69.28.92.1...ip2<ip2>[+S=C]===ip3/32; erouted HOLD; eroute owner: #0
000 "my_first_ipsec": myip=unset; hisip=unset;
000 "my_first_ipsec": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0; nat_keepalive: yes
000 "my_first_ipsec": policy: PSK+ENCRYPT+TUNNEL+UP+IKEv2ALLOW+SAREFTRACK+lKOD+rKOD; prio: 32,32; interface: eth0;
000 "my_first_ipsec": dpd: action:clear; delay:0; timeout:0;
000 "my_first_ipsec": newest ISAKMP SA: #0; newest IPsec SA: #0;
000 "my_first_ipsec": IKE algorithms wanted: AES_CBC(7)_128-SHA1(2)_000-MODP1024(2)
000 "my_first_ipsec": IKE algorithms found: AES_CBC(7)_128-SHA1(2)_160-MODP1024(2)
000 "my_first_ipsec": ESP algorithms wanted: AES(12)_128-SHA1(2)_000; pfsgroup=MODP1024(2)
000 "my_first_ipsec": ESP algorithms loaded: AES(12)_128-SHA1(2)_160
000
000 #77: "my_first_ipsec":500 STATE_MAIN_I3 (sent MI3, expecting MR3); EVENT_RETRANSMIT in 19s; nodpd; idle; import:admin initiate
000 #77: pending Phase 2 for "my_first_ipsec" replacing #0
পোর্ট 500 এবং 4500 খোলা থাকলেও আমি চেক করেছি।
IP1 জন্য Nmap স্ক্যান রিপোর্ট
Host is up (0.00056s latency).
PORT STATE SERVICE
500/tcp closed isakmp
4500/tcp closed sae-urn
পোর্ট খোলা আছে কিন্তু রাজ্য "বন্ধ" দেখায় যার মানে কোনও পোর্ট এই পরিষেবাটি শোনে না। এটা কি ঠিক আছে?
কোনও ধারণা কেন সাইট বি পিং নাকি টেলনেট সাইট A?
ipsec auto --status
যে দেখায়myip
এবংhisip
সেট করা হয় না। এই সমস্যা সৃষ্টি হয়?
কোন সাহায্যের ব্যাপকভাবে প্রশংসা হবে।