We are in the process of migrating this forum. A new space will be available soon. We are sorry for the inconvenience.

OpenSwan problem z ipsec


mastodont
02-09-2009, 23:11
np Powodzenia z vpnem!

krzysztof_surowiec
02-09-2009, 10:37
Podszedlem do tego jeszcze raz na spokojnie krok po kroku i udało się. Kernel wystartował, długo to trwało ale dał radę. Do kernela dodałem co dla mnie najważniejsze obsługę modułów. Potem instalacja openswan + openswan_modules. Ku mojej wielkiej radości programik odpalił się jak powinien. Opcja ipsec verify po drobnych zabiegach pokazuje same [OK] więc jest super. Teraz biorę się za konfigurację samego połączenia VPN, zobaczymy jak pójdzie.

Wszystkim wielkie dzięki, a głównie dla mastodonta, poruszałem się głównie według jego instrukcji. THX man

Pozdrawiam

mastodont
01-09-2009, 22:05
W configu ovh sa wszystkie urzadzenia, jakie sa obslugiwane przez maszyny (oprocz vkvm; tutaj nie testowalem swoich configow; gdy system wstal w vkvm, nawet bez sieci, to po reboocie z hd uruchomil sie bez problemow).

Jezeli skompilujesz nie dodajac niczego swojego, to masz praktycznie takie samo jadro, jakie daja w netboot (moze bez grsec, ale to mozesz sam dodac). Jezeli potrzebujesz jakiegos dodatkowego urzadzenia/modulu (np bridge, ktory spowoduje po odpaleniu, ze zablokuja Ci port na switchu i nie bedzie dostepu do maszyny) do tego swana, to musisz dodac sam.

Powodzenia!

ps.
moze warto sprobowac skompilowac bez zaznaczania dodatkowych opcji w configu i po prostu sprawdzic, czy uruchomi sie z hd? tak przetestujesz instalacje wlasnego jadra. Potem tylko poprawic config o brakujace openswanowi urzadzenia/moduly...

krzysztof_surowiec
31-08-2009, 13:13
Cytat Napisał mastodont
Weź jakiś config z ftp://ftp.ovh.net/made-in-ovh/bzImage/

  • kopiujesz do katalogu ze zrodlami kernela z nazwa .config
  • robisz make menuconfig
  • wczytujesz twoj .config
  • dodajesz potrzebne urzadzenia
  • zapisujesz config
  • budowa i konfiguracja jak w poscie, do ktorego podalem link wczesniej


W vKvm mi tez nie dzialaly karty sieciowe. Po zabootowaniu z hd dzialaly bez problemu, ale serwer BARDZO DLUGO WSTAJE.

Spróbuj tak.


Czy ten 'swan' uzywa bridge?
Zrobię jeszcze raz dla pewności dokładnie tak jak opisałeś w linku oraz punkty poniżej. Tylko najważniejsze pytanie czy plik .config ovh zawiera włączone już niezbędne elementy kernela (plus ewentualne manualne włączenie tych co opisujesz w linku) ??. Czy w punkcie "dodajesz potrzebne urzadzenia" jest coś krytycznego na co powinienem zwrócić uwagę, jakieś dodatkowe moduły kernela, firmware do kart sieciowych itp. Odpalałem lspci i starałem się włączyć wszystko co niezbędne i co mi się udało odczytać z lspci.

Pozdrawiam

no4b
29-08-2009, 15:09
Sam w sobie nie używa, ale jak chcesz to VPNa można wrzucić do bridge.

mastodont
29-08-2009, 13:56
Weź jakiś config z ftp://ftp.ovh.net/made-in-ovh/bzImage/

  • kopiujesz do katalogu ze zrodlami kernela z nazwa .config
  • robisz make menuconfig
  • wczytujesz twoj .config
  • dodajesz potrzebne urzadzenia
  • zapisujesz config
  • budowa i konfiguracja jak w poscie, do ktorego podalem link wczesniej


W vKvm mi tez nie dzialaly karty sieciowe. Po zabootowaniu z hd dzialaly bez problemu, ale serwer BARDZO DLUGO WSTAJE.

Spróbuj tak.


Czy ten 'swan' uzywa bridge?

krzysztof_surowiec
26-08-2009, 20:25
Witam
Udało mi się skompilować kernel, odpaliłem z vKVM i działa jak najbardziej.
Niepokoi mnie tylko informacja, że nie można załadować kilki modułów np. od RAID, ale może to wina środowiska wirtualnego w którym odpalam system. Wszystko byłoby w jak najlepszym porządku gdyby nie to, że nie wstaje mi na nowym kernelu eth0:0. Polecenie ifconfig -a nie pokazuje nic poza lo. Przeglądałem jeszcze raz kernel oraz dmesg, włączyłem dla pewności obsługę kilku innych urządzeń sieciowych. Dmesg pokazuje, że karta sieciowa jedzie na chipsecie REALTEKA, taki też jest włączony, Intela także. Dmesg pokazuje również w początkowej fazie rozruchu, że interfejs eth0 jest up. Potem jednak kicha.
Wywala tylko komunikat
Configuring network interface SIOCSIFADDR: No such device
eth0:0 ERROR while getting interface flags, no such device
SIOCSIFNETMASK: No such device 0
Failed to bring up interface eth0:0
a na końcu wywala miły komunikat "done".
Niestety eth0:0 brak.

Proszę bardzo o pomoc. Pozdrawiam

krzysztof_surowiec
26-08-2009, 08:37
Witam
Zrobiłem tak jak opisał mastodont + poradniki z sieci na temat kompilacji jądra.
A więc
1. Pobranie kernela z kernel.org.
2. make oldconfig - z tego co się dowiedziałem pobiera ustawienia aktualnego kernela
3. make menuconfig + załadowanie ustawień z pliku .config
4. potem make bzImage, make modules, make modules_install
Reszta dokładnie tak jak w opisie, czyli pobranie obrazu iscsi od ovh, i update lilo.conf i samego lilo.
Wszystko przebiegło bez problemu, po restarcie jednak odpalam sobie podgląd na KVM. Startuje lilo, jest do wyboru nowy kernel więc go odpalam. Chwilę coś się laduje po czym wywala kernel panic, i wpis cos o interrupts. OK, brakuje coś w kernelu.
Cały problem w tym, że po restarcie w oknie lilo wybieram sobie kernela oryginalnego linux zainstalowanego wraz z systemem automatycznie przez ovh. Zaznaczam, że w nim NIC nie zmieniałem. Kernel wygląda na to, że ładuje się poprawnie jednak zatrzymuje się w miejscu gdzie próbuje pobrać tak mi się wydaje adres z dhcp. I tu pojawia się problem, bo robi to w kółko, czekałem spory czas bez rezultatu. Problem jest poruszany już na forum http://forum.ovh.pl/showthread.php?t=10447 Cały problem w tym, że jak przełączę sobie w netboocie z hd na kernel z ovh np. 2.6.28.4 system wstaje bez problemu.

Trochę to kłopotliwe bo OpenSWan dalej u mnie leży

mastodont
23-08-2009, 09:56
Robiles jak tutaj: http://forum.ovh.pl/showpost.php?p=52337&postcount=5 ?

Mnie sie udalo. Sprawdz pod vKVM. Potem przelacz na hd. Mi wstaje ok. 30 minut. Trzeba odczekac.

Powodzenia!

krzysztof_surowiec
21-08-2009, 12:13
Skoro już mówimy o konieczności kompilacji kernela to czy jest możliwość podejrzeć proces uruchamiania systemu lub jakiś plik z logiem. System z nowym kernelem nie startuje, a chciałbym wiedzieć co w kernelu konkretnie nie działa. Odpala się dobrze z opcją Netboot, ale po kompilacji kernela i zmianie opcji w menadżeże na hd system nie startuje.

Pozdrawiam

sLoDkI
19-08-2009, 08:44
W naszych kernelach nie ma włączonej obsługi modułów oraz /proc/config.gz. Musisz samemu skompilować jajko jeżeli chcesz włączyć powyższe.

Pozdrawiam.

no4b
18-08-2009, 20:16
Na to wygląda i w ogólnym przypadku jest to całkiem rozsądne.

krzysztof_surowiec
18-08-2009, 15:15
Rozumiem, że nie chodzi tu o prawa dostępu tylko o brak pliku. O ile pierszy komunikat tak bardzo mnie nie dziwi, bo rzeczywiście samodzielnie nie kompilowałem jądra o tyle drugi wydaje mi się dziwny. Czy wynika on z faktu, że w jajku nie mam włączonej opcji ładowania modułów (kernel module load) ??
Pozdro

no4b
18-08-2009, 15:04
Chyba nie rozumiesz tych komunikatów. One nie oznaczają odmowy dostępu tylko brak plików (które nie są obowiązkowe). Wygląda na to, że musisz skonfigurować i skompilować jądro.

krzysztof_surowiec
18-08-2009, 14:50
Wykonałem podane polecenia, ale niestety zawód już po pierwszym. Okazało się, że
zgrep -i CONFIG_INET_XFRM_MODE_TRANSPORT /proc/config.gz
gzip: /proc/config.gz: No such file or directory
Nie wiem czego to jest wina. Miałem nadzieję, że RPS daje mi jednak 100% dostęp do zasobów sprzętu, chyba jednak tak nie jest. Myślałem też o załadowaniu odpowiedniego modułu kernela niestety kolejny ciekawy komunikat:
lsmod
Opening /proc/modules: No such file or directory
Proszę o pomoc czy jest to wina systemu, sprzętu czy muszę zgłosić się do OVH w celu uzyskania pełnego dostępu do zasobów.
Pozdrawiam

no4b
14-08-2009, 15:47
zgrep -i CONFIG_INET_XFRM_MODE_TRANSPORT /proc/config.gz
zgrep -i CONFIG_INET_XFRM_MODE_TUNNEL /proc/config.gz
zgrep -i CONFIG_INET_XFRM_MODE_BEET /proc/config.gz

Oprócz tego potrzebnych jest kilka innych opcji (np tunelowanie IP).

krzysztof_surowiec
14-08-2009, 14:49
Dzięki za propozycję co do OpenVPS, rzeczywiście jest opisany jako bardzo przyjazny do konfiguracji i uruchomienia. Niestety piszą też na stronie, że obsługuje tylko protokół SSL, a mi niestety niezbędny jest protokół IPsec. Jeśli są one względem siebie kompatybilne to spoko, w przeciwnym razie w grę wchodzi tylko oprogramowanie działające na IPsec.
pozdro

krzysztof_surowiec
14-08-2009, 14:43
Też tak myślę, ale jakoś kompletnie nie wiem jaki moduł do kernela jest potrzebny. Z tego co udało mi się dowiedzieć to są dwa moduły KLIPS oraz NETKEY. KLIPS podobo trzeba osobno ładować, jeśli używa się kernela w wersji 2.4 lub niższej. W wersji 2.6 modułem kernela jest NETKEY niby standardowo wkompilowany w jądro. Nie wiem tylko do końca czy jest wkompilowany standardowo i czy jest włączony w moim jajku. Zaznaczam, że narazie nie robiłem w nim żadnych modyfikacji.

Na potwierdzenie, że z suportem kernela dla IPsec jest wszystko teoretycznie ok komunikat ipsec verify

Checking your system to see if IPsec got installed and started correctly:
Version check and ipsec on-path [OK]
Linux Openswan U2.4.9/K2.6.27.10-grsec-xxxx-grs-ipv4-32 (netkey)
Checking for IPsec support in kernel [OK]
NETKEY detected, testing for disabled ICMP send_redirects [OK]
NETKEY detected, testing for disabled ICMP accept_redirects [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADEing [OK]
Checking for 'ip' command [OK]
Checking for 'iptables' command [OK]
Opportunistic Encryption Support [DISABLED]
pozdro

no4b
14-08-2009, 13:51
Wygląda na to, że nie masz wymaganych rzeczy załadowanych do jądra.
Jeśli masz możliwość wyboru, użyj OpenVPN, jest znacznie łatwiejszy i przyjemniejszy w konfiguracji.

krzysztof_surowiec
14-08-2009, 13:33
Witam
Chciałem uruchomić na serwerze RPS I oprogramowanie do zestawiania tuneli VPN, wybrałem OpenSwan. Instalacja poprzez apt-get pod ubuntu - pakiety openswan oraz openswan-modules-sources. Kompilacja przebiega bez problemu. Komenda ipsec verify pokazuje wszystko [OK].
Po wykonaniu polecenia /etc/init.d/ipsec start konsola wywala następujące komunikaty:

ipsec_setup: Starting Openswan IPsec U2.4.9/K2.6.27.10-grsec-xxxx-grs-ipv4-32...
ipsec_setup: WARNING: cannot adjust KLIPS flags, no /proc/sys/net/ipsec directory!
ipsec_setup: /usr/lib/ipsec/tncfg: Socket ioctl failed on attach -- No such device. Is the virtual device valid? Is the ipsec module linked into the kernel or loaded as a module?
a następnie

ipsec_setup: SIOCSIFADDR: No such device
ipsec_setup: ipsec0: ERROR while getting interface flags: No such device
ipsec_setup: SIOCSIFBRDADDR: No such device
ipsec_setup: ipsec0: ERROR while getting interface flags: No such device
ipsec_setup: SIOCSIFNETMASK: No such device
Walczyłem z tym już kilka dni, ale niestety bez skutku Czy komuś udało się na RPS I z atomem odpalić openswan(ipsec)

Wielkie dzięki za odpowiedź
Pozdro