Ipsec-FreeSWAN-W2K

Boško Jaromír bosko na stapro.cz
Úterý Duben 16 17:47:43 CEST 2002


Tak jsem se dostal o kousek dál.
Problém byl nejspíše v tom, že jsem jako vzdálenou neveřejnou síť používal
naši 172.16.0.0 a tlouklo se mi to s omezujícími filtry na neveřejné adresy.
Provedl jsem tedy vytvoření zkušebního pracoviště, sestávajícího se z
LINUXUs s FreeSWANem (62.77.77.10 a 172.17.10.1, není tu žadný firewall,
žadné iptables) a W2000 (172.17.10.2).
Obě karty 172.10.x.x jse zapojil do samostatného hubu, 62.77.77.10 je
připojen přímo na cisco routru.

Ze svého stroje 62.77.77.158 (W2000, síť 62.77.77.128) jsem vytvořil pomocí
ipsecpol (pomocí ipsec.exe) tunel na 62.77.77.10 a 172.17.0.0/16.

Povedlo se mi připojit sdílený adresář z 172.17.10.2 (W2K). Komunikace
probíhá přes ipsec.
ALE. Při pokusu o stažení cca 3MB souboru se to kousne. Pokus o ping na
tento stroj (172.17.10.2)pak končí timeoutem.
Musím provést opět navázání komunikace pomocí ping 172.17.10.1(LINUX) , poté
opět funguje ping na 172.17.10.2.

Mám pocit, že jsem někde cosi k tomu stuhnutí zahlédl, ale nevím už kde.

Takto to vypadá přes ipsec.exe -debug

c:\Program Files\IPsec>ipsec -debug  na 62.77.77.158
IPSec Version 2.0.1 (c) 2001,2002 Marcus Mueller
Getting running Config ...
Microsoft's Windows 2000 identified
Debugging on.
Host name is: bosko
No RAS connections found.
LAN IP address: 62.77.77.158
Setting up IPSec ...

        Deactivating old policy...
        Removing old policy...
Connection roadwarrior:
        MyTunnel     : 62.77.77.158
        MyNet        : 62.77.77.158/255.255.255.255
        PartnerTunnel: 62.77.77.10
        PartnerNet   : 62.77.77.10/255.255.255.255
        CA (ID)      : C=CZ, S=Czech republic, L=Pardubice, O=Stapro s.r....
        PFS          : y
        Auto         : start
        Auth.Mode    : MD5
        Rekeying     : 3600S/50000K

Command 1: ipsecpol -w REG -p FreeSwan -r Host-roadwarrior -t 62.77.77.10 -f
62.
77.77.158/255.255.255.255=62.77.77.10/255.255.255.255 -n
ESP[MD5,3DES]3600S/5000
0KPFS -a CERT:"C=CZ, S=Czech republic, L=Pardubice, O=Stapro s.r.o,
OU=Sprava IS
, CN=Certificate Authority, Email=ca na stapro.cz" -lan > NUL:
Command 2: ipsecpol -w REG -p FreeSwan -r roadwarrior-Host -t 62.77.77.158
-f 62
.77.77.10/255.255.255.255=62.77.77.158/255.255.255.255 -n
ESP[MD5,3DES]3600S/500
00KPFS -a CERT:"C=CZ, S=Czech republic, L=Pardubice, O=Stapro s.r.o,
OU=Sprava I
S, CN=Certificate Authority, Email=ca na stapro.cz" -lan > NUL:
        Activating policy...

Command 3: ipsecpol -w REG -p FreeSwan -x > NUL:

Connection roadwarrior-net:
        MyTunnel     : 62.77.77.158
        MyNet        : 62.77.77.158/255.255.255.255
        PartnerTunnel: 62.77.77.10
        PartnerNet   : 172.17.0.0/255.255.0.0
        CA (ID)      : C=CZ, S=Czech republic, L=Pardubice, O=Stapro s.r....
        PFS          : y
        Auto         : start
        Auth.Mode    : MD5
        Rekeying     : 3600S/50000K

Command 1: ipsecpol -w REG -p FreeSwan -r Host-roadwarrior-net -t
62.77.77.10 -f
 62.77.77.158/255.255.255.255=172.17.0.0/255.255.0.0 -n
ESP[MD5,3DES]3600S/50000
KPFS -a CERT:"C=CZ, S=Czech republic, L=Pardubice, O=Stapro s.r.o, OU=Sprava
IS,
 CN=Certificate Authority, Email=ca na stapro.cz" -lan > NUL:
Command 2: ipsecpol -w REG -p FreeSwan -r roadwarrior-net-Host -t
62.77.77.158 -
f 172.17.0.0/255.255.0.0=62.77.77.158/255.255.255.255 -n
ESP[MD5,3DES]3600S/5000
0KPFS -a CERT:"C=CZ, S=Czech republic, L=Pardubice, O=Stapro s.r.o,
OU=Sprava IS
, CN=Certificate Authority, Email=ca na stapro.cz" -lan > NUL:
        Activating policy...

Command 3: ipsecpol -w REG -p FreeSwan -x > NUL:

FreSWAN na 62.77.77.10
-----------
# /etc/ipsec.conf - FreeS/WAN IPsec configuration file

config setup
        interfaces= "ipsec0=eth1"
        klipsdebug=none
        plutodebug=all
        plutoload=%search
        plutostart=%search
        uniqueids=yes
        forwardcontrol=yes

conn %default
        keyingtries=1
        compress=yes
        disablearrivalcheck=no
        authby=rsasig
        leftrsasigkey=%cert
        rightrsasigkey=%cert
        left=62.77.77.10
        leftnexthop=62.77.77.1
        leftcert=noe.stapro.cz.pem
        auto=add
        pfs=yes

conn roadvariator
        right=%any
        rightid="C=CZ, ST=Czech republic, L=Praha, O=Stapro s.r.o, OU=Vyvoj,
CN=
        rightcert=winhost.stapro.cz.pem

conn roadvariator-net
        right=%any
        leftsubnet=172.17.0.0/255.255.0.0
        rightid="C=CZ, ST=Czech republic, L=Praha, O=Stapro s.r.o, OU=Vyvoj,
CN=
        rightcert=winhost.stapro.cz.pem


S pozdravem
--  
Jaromír Boško
 
Správa IS
STAPRO s.r.o.
bosko na stapro.cz
 
 

> -----Original Message-----
> From: Ing. Pavel PaJaSoft Janousek [mailto:janousek na fonet.cz]
> Sent: Friday, April 12, 2002 4:28 PM
> To: linux na linux.cz
> Subject: Re: Ipsec-FreeSWAN-W2K
> 
> 
> Boško Jaromír wrote:
> > Tam kde je vzdálená brána a za ní nějaká síť ( privátní 
> adresy) musí tam být
> > VŽDY nějaký systém s ipchains popř s iptables ?
> 
> 	Ano, resp. mne napada, ze v principu ne - protoze v tom 
> pripade IP
> branu (pouze ovsem pro IPsec) dela samotny FreeSWAN a tedy je zadouci,
> aby zadny Masquerading neprobihal... - v tomto pripade, ale nemaji
> klienti primy pristup k Inetu  a musi jet vzdy pres nejakou proxy
> (Squid, SMTP server apod.)
> 
> > Při zadání leftfirewall=yes se FreeSWAN při pokusu o 
> přístup na nějakou
> > adresu z této sítě rozčiluje, že tam nejsou žádná pravidla.
> 
> 	??? presnejsi popis by nebyl?
> 
> > V mém konkrétním případě se snažím přistoupit jako nějaký 
> mobilní uživatel,
> > tzn nikoli subsit proti subsit, ale user - remote subsit.
> 	
> 	Myslim, ze tomto jsme za jedno a mluvime o tom samem...
> 


Další informace o konferenci Linux