Freeswan IPSEC 1.94++ & auth=rsasig ??

Zdenek Pizl z.p na linux-cd.cz
Čtvrtek Únor 7 18:38:16 CET 2002 

Dne čt 7. únor 2002 17:19 Michal Ludvig napsal(a):
> Zdenek Pizl wrote:
> > Problem: ani si na sebe nepingnou. Predesilam, ze s
> > shared-secret-key to funguje, lec neni to zpusob, ktery
> > bych preferoval. Proste tam chci RSA klic ...
>
> Prvni nastrel - ty klice jsou spravne na spravnych
> strojich (= nemate je prohozene)?

Po kontrole a znovuvlozeni vystupu ipsec showhostkey --left / --right
( left provedeno na jednom stroji a right na druhem) si myslim, ze 
oba tyto problemy se me netykaji

!!!
BTW - na leve strane je 1.94++ ale na prave strane je 1.91 :( 
Jestli  i tohle nebude mit vliv
!!!

> Druhy nastrel (moje oblibena chyba): pri cut'n'paste z
> /etc/ipsec.secrets do /etc/ipsec.conf se klic prenese
> jako 3 oddelene stringy (jelikoz se nevejde na obrazovku)
> a tim padem to pak nechodi. Urcite je mate spravne dlouhe
> a spojene?

jak dlouhe maji byt 2048 bitu v podobe s prefixem 0s ?

> A zatreti - dejte tam jen auto=add (misto auto=route) a
> poslete nam vypis 'ipsec auto --status' a 'ipsec look'
> ... treba z toho neco vykoumame :-)

obavam se, ze tady nemohu slevit. Protoze ty masinky pak 
nenastavi spravne routing. A nebo nevim jak je k tomu prinutit.

Po zmene na auto=add mi totiz nenastavi routu host-to-host
 a dopadne to takhle :
10.0.0.0        *               255.255.255.0   U     0      0        0 eth0
10.0.0.0        *               255.255.255.0   U     0      0        0 ipsec0
127.0.0.0       *              255.0.0.0       U     0      0        0 lo
default         10.0.0.1   0.0.0.0         UG    0      0        0 eth0

Coz znamena , ze komunikace se deje pres nekodovanou eth0...

Vypis LEFT ( ipsec auto --status)
[root na srv1 etc]#  ipsec auto --status
000 interface ipsec0/eth0 10.0.0.130
000
000 "secure0": 10.0.0.130...10.0.0.1
000 "secure0":   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0
000 "secure0":   policy: RSASIG+ENCRYPT+TUNNEL+PFS; interface: eth0; routed HOLD
000 "secure0":   newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0
000
000 #1: "secure0" STATE_MAIN_I1 (sent MI1, expecting MR1); EVENT_RETRANSMIT in 8s

Vypis LEFT (ipsec look)
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         10.0.0.1        0.0.0.0         UG       40 0          0 eth0
10.0.0.0        0.0.0.0         255.255.255.0   U        40 0          0 eth0
10.0.0.0        0.0.0.0         255.255.255.0   U        40 0          0 ipsec0
10.0.0.1        10.0.0.1        255.255.255.255 UGH      40 0          0 ipsec0

Vypis RIGHT (ipsec auto --status)
000 "secure0": 10.0.0.130...10.0.0.1
000 "secure0":   ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 3
000 "secure0":   policy: RSASIG+ENCRYPT+TUNNEL+PFS; interface: ; unrouted
000 "secure0":   newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0

Vypis RIGHT (ipsec look)
ipsec1->eth1 mtu=16260(1500)->1500
Destination     Gateway         Genmask         Flags   MSS Window  irtt Iface
0.0.0.0         194.213.203.153 0.0.0.0         UG        0 0          0 eth0
10.0.0.0        0.0.0.0         255.255.255.0   U         0 0          0 eth1
10.0.0.0        0.0.0.0         255.255.255.0   U         0 0          0 ipsec1
10.0.0.130      10.0.0.130      255.255.255.255 UGH       0 0          0 ipsec1
192.168.1.0     0.0.0.0         255.255.255.0   U         0 0          0 eth1
w.x.y.z	 0.0.0.0         255.255.255.252 U         0 0          0 eth0
w.x.y.z	 0.0.0.0         255.255.255.252 U         0 0          0 ipsec0

Další informace o konferenci Linux