From: Sergey Zabolotny 2:469/122.2 29 Mar 2020 22:32 +0300
To: Alex Korchmar <1187513428@ddt.demos.su>
Subject: cisco ipsec
Hello *Alex.* Thursday 26 March 2020 09:02, Alex Korchmar wrote to Sergey Zabolotny: SZ>> тогда мне совсем непонятно к чему мне дали второй кусок конфига от SZ>> другой софтины AK> чтоб ты мог настроить любую по выбору. AK> Это для тебя конфиги, не для их сервера. теперь то уже понятно. изначально я подумал, что сервер поднят на софте, конфиги которого мне дали.
From: Dmitry Ivanov 2:5023/24.3209 28 Mar 2020 16:30 +0200
To: Victor Sudakov 2:5005/49
Subject: if_ipsec(4)
Здравствуйте, Victor. Вы писали 28 марта 2020 г., 21:10:00: DI>> GRE на моей памяти резал какой-о бекбон московский. Причем совершенно DI>> официально. > Они же этим PPTP людям ломали, а это был ещё лет 10 назад очень > распространённый протокол VPN у пользователей винды. И все терпели такое безобразие? Hазвание его ек припомню уже. Он обслуживал каку-то научную сеть из универов и институтов и там в договоре прямо было сказано про это. Что-то вроде "трафик мы вам бесплатно дадим, но GRE низя". Как-так.. -- С уважением, Dmitry
From: Victor Sudakov 2:5005/49 28 Mar 2020 13:10 +0200
To: Dmitry Ivanov 2:5023/24.3209
Subject: if_ipsec(4)
Dear Dmitry, 17 Mar 20 18:32, you wrote to me: >> Я никаких преимуществ gre перед ipencap не вижу, разве что DI> GRE на моей памяти резал какой-о бекбон московский. Причем совершенно DI> официально. Они же этим PPTP людям ломали, а это был ещё лет 10 назад очень распространённый протокол VPN у пользователей винды. И все терпели такое безобразие? Victor Sudakov, VAS4-RIPE, VAS47-RIPN
From: Victor Sudakov 2:5005/49 27 Mar 2020 15:28 +0200
To: Andrew Kant 2:469/83.1
Subject: if_ipsec(4)
Dear Andrew, 17 Mar 20 19:47, you wrote to me: VS>> Я никаких преимуществ gre перед ipencap не вижу, разве что VS>> теоретически кто-нибудь умеет натить (в смысле PAT-ить) gre по VS>> каким-нибудь полям в gre-заголовке. AK> Hу чисто функционально GRE может тунелировать и L2, и L3, IPinIP AK> соответственно умеет только L3. Так что, как минимум, это преимущество AK> есть :) Как раз в эхотаге туннелирование L2 делается через gif, а не через gre. Может можно и через gre, но пример в bridge(4) именно с gif. Victor Sudakov, VAS4-RIPE, VAS47-RIPN
From: Alex Korchmar <1187513428@ddt.demos.su> 26 Mar 2020 09:02 +0200
To: Sergey Zabolotny 2:469/122.2
Subject: cisco ipsec
From: Alex Korchmar Sergey Zabolotny wrote: SZ> тогда мне совсем непонятно к чему мне дали второй кусок конфига от другой SZ> софтины чтоб ты мог настроить любую по выбору. Это для тебя конфиги, не для их сервера. > Alex
From: Sergey Zabolotny 2:469/122.2 26 Mar 2020 00:03 +0200
To: Eugene Grosbein grosbein.net
Subject: cisco ipsec
Hello *Eugene.* Wednesday 25 March 2020 22:45, Eugene Grosbein wrote to Sergey Zabolotny: SZ>>>> понадобилось настроить впн клиента. с серверной стороны дали SZ>>>> serverip, username, userpass, groupname и shared key пол дня SZ>>>> ищу варианты как это настроить на линуксе/бдс и пока SZ>>>> безрезультатно. до сих пор не приходилось настраивать впн с SZ>>>> использованием групп. подскажите правильный софт SZ>>>> (strongswan/что-то другое?) и по возможности пример конфига. EG>>> А режим IPsec дали? Их так-то много. Судя по наличию shared key, EG>>> username и userpass, похоже на L2TP/IPsec, но всё равно уточни, EG>>> есть и другие варианты. И ещё надо бы знать, IKEv1 или IKEv2. SZ>> с той стороны используется Shrew Soft VPN. кусок конфига от него: EG> Если я правильно читаю https://www.shrew.net/software , EG> Shrew Soft VPN это не сервер, это клиент. тогда мне совсем непонятно к чему мне дали второй кусок конфига от другой софтины
From: Alex Korchmar <1187513427@ddt.demos.su> 25 Mar 2020 19:16 +0200
To: Eugene Grosbein grosbein.net
Subject: cisco ipsec
From: Alex Korchmar Eugene Grosbein wrote: EG> Если я правильно читаю https://www.shrew.net/software , EG> Shrew Soft VPN это не сервер, это клиент. да, очень похоже что конфиг для того и дали, чтоб было просто что себе копировать. Hу так я бы просто скачал shresoft'овый клиент и запустил с этим конфигом. > Alex
From: Eugene Grosbein grosbein.net 25 Mar 2020 16:49 +0200
To: Sergey Zabolotny 2:469/122.2
Subject: cisco ipsec
25 марта 2020, среда, в 10:42 NOVT, Sergey Zabolotny написал(а): EG>>> А режим IPsec дали? Их так-то много. Судя по наличию shared key, EG>>> username и userpass, похоже на L2TP/IPsec, но всё равно уточни, AK>> судя по наличию group - больше похоже на голый ipsec с xauth. AK>> vpnc в помощь SZ> пробовал. валится с response was invalid [1]: SZ> (ISAKMP_N_INVALID_EXCHANGE_TYPE)(7) SZ> или я его недонастроил (вписал в конфиг только креденшалсы) или оно не SZ> совместимо с настройками серверной стороны (см соседнее письмо) Ты его недонастроил. s:phase1-exchange:aggressive намекает, что и на клиенте тебе надо включить режим aggressive вместо дефолтного main для первой фазы. Eugene -- И у священных источников живут алчные монахи. (Дхарма)
From: Sergey Zabolotny 2:469/122.2 25 Mar 2020 15:21 +0200
To: Eugene Grosbein grosbein.net
Subject: cisco ipsec
Hello *Eugene.* Wednesday 25 March 2020 16:49, Eugene Grosbein wrote to Sergey Zabolotny: EG>>>> А режим IPsec дали? Их так-то много. Судя по наличию shared EG>>>> key, username и userpass, похоже на L2TP/IPsec, но всё равно EG>>>> уточни, AK>>> судя по наличию group - больше похоже на голый ipsec с xauth. AK>>> vpnc в помощь SZ>> пробовал. валится с response was invalid [1]: SZ>> (ISAKMP_N_INVALID_EXCHANGE_TYPE)(7) SZ>> или я его недонастроил (вписал в конфиг только креденшалсы) или SZ>> оно не совместимо с настройками серверной стороны (см соседнее SZ>> письмо) EG> Ты его недонастроил. s:phase1-exchange:aggressive намекает, EG> что и на клиенте тебе надо включить режим aggressive вместо дефолтного EG> main для первой фазы. тисипидамп говорит, что aggressive таки включен. в стронгсване пробовал отключать aggressive - в таком случае серверная сторона вообще никак не отвечает. ответных пакетов нет совсем. кроме того, в настройках vpnc я не вижу возможности менять этот режим.
From: Sergey Zabolotny 2:469/122.2 25 Mar 2020 10:42 +0200
To: Alex Korchmar <1187513426@ddt.demos.su>
Subject: cisco ipsec
Hello *Alex.* Tuesday 24 March 2020 22:58, Alex Korchmar wrote to Eugene Grosbein: EG>> А режим IPsec дали? Их так-то много. Судя по наличию shared key, EG>> username и userpass, похоже на L2TP/IPsec, но всё равно уточни, AK> судя по наличию group - больше похоже на голый ipsec с xauth. AK> vpnc в помощь пробовал. валится с response was invalid [1]: (ISAKMP_N_INVALID_EXCHANGE_TYPE)(7) или я его недонастроил (вписал в конфиг только креденшалсы) или оно не совместимо с настройками серверной стороны (см соседнее письмо)