Freeswan IPSEC 1.94++ & auth=rsasig ?? (delsi)
Michal Ludvig
michal-linux na logix.cz.nospam
Čtvrtek Únor 7 20:35:00 CET 2002
Zdenek Pizl wrote:
> BTW - na leve strane je 1.94++ ale na prave strane je 1.91 :(
> Jestli i tohle nebude mit vliv
Tezko rict. Tuhle kombinaci jsem nikdy nezkousel. BTW uz vyslo 1.95 (ale
je zatim jen na FTP, na webu ji jeste neoznamili).
> jak dlouhe maji byt 2048 bitu v podobe s prefixem 0s ?
Moje jsou 346 znaku (pokud dobre pocitam).
>>A zatreti - dejte tam jen auto=add (misto auto=route) a
>>poslete nam vypis 'ipsec auto --status' a 'ipsec look'
>>... treba z toho neco vykoumame :-)
> obavam se, ze tady nemohu slevit. Protoze ty masinky pak
> nenastavi spravne routing. A nebo nevim jak je k tomu prinutit.
Slevit jiste muzete. Ja kdyz ladim novy tunel, tak mam vzdy auto=add na
obou koncich a potom pomoci 'ipsec auto --up tunelX' z jednoho konce to
spojeni nahodim. Pak kdyz jsem si jist, ze to spojeni funguje, tak to
zmenim na auto=start, aby pri pristim bootu uz naskocilo samo.
> Po zmene na auto=add mi totiz nenastavi routu host-to-host
> a dopadne to takhle : [...]
> Coz znamena , ze komunikace se deje pres nekodovanou eth0...
IPsec komunikace ponekud obchazi normalni routovaci tabulku a nejakym
zpusobem vyuziva jakousi 'extended routing table' pristupnou prikazem
'ipsec eroute'. Bohuzel netusim v cem se lisi auto=route a auto=start,
ale je fakt, ze jsem nikdy nepotreboval nic jineho nez auto=add a
auto=start. Mimochodem i auto=add lze vynechat a pridavat tunely rucne
pomoci 'ipsec auto --add tunelX'.
> Vypis LEFT ( ipsec auto --status)
> [root na srv1 etc]# ipsec auto --status
> 000 interface ipsec0/eth0 10.0.0.130
> 000
> 000 "secure0": 10.0.0.130...10.0.0.1
^^^^^^^^^^^^^^^^^^^^^
> 000 "secure0": policy: RSASIG+ENCRYPT+TUNNEL+PFS; interface: eth0;
routed HOLD
> 000 #1: "secure0" STATE_MAIN_I1 (sent MI1, expecting MR1);
EVENT_RETRANSMIT in 8s
>
> Vypis RIGHT (ipsec auto --status)
> 000 "secure0": 10.0.0.130...10.0.0.1
^^^^^^^^^^^^^^^^^^^^^
> 000 "secure0": policy: RSASIG+ENCRYPT+TUNNEL+PFS; interface: ; unrouted
Prekvapuje me, ze oba konce ukazuji stejny smer: 10.0.0.130...10.0.0.1
Na mych strojich je vlevo vzdy lokalni konec a vpravo ten vzdaleny.
Kdyz vypnete ipsec tak na sebe pingaji?
Pokud mate na obou uplne stejnou konfiguraci, tak me prekvapuje, ze levy
se o spojeni pokousi (jednak "routed HOLD" a druhak "#1: ..."), zatimco
pravy je pasivni.
Jeste me napada - nemate firewall, ktery blokuje ESP, nebo AH protokol
(asi ne, kdyz vam manualni spojeni slo), nebo UDP port 500 (ten tusim u
manualniho rezimu neni treba)?
Zkuste (pokud je to mozne) na obou strojich upgradovat na 1.95 a
pregenerovat klice.
FYI muj typicky ipsec.conf vypada takhle:
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
compress=yes
leftrsasigkey=%dns
rightrsasigkey=%dns
conn tunel1
leftid=@gw.domain1.cz
left=a.b.c.59
leftnexthop=a.b.c.62
leftsubnet=a.b.d.32/27
leftrsasigkey=0sAQOSzSp1yD[...]5Vv9aAl
rightid=@gw.domain2.cz
right=k.l.m.114
rightnexthop=k.l.m.113
rightsubnet=k.l.n.96/27
rightrsasigkey=0sAQO8StJdl[...]mg2ZOoP
auto=start
Jeste muzete zkusit verzi s PSK (preshared key) - neni to RSA, ale je to
taky automaticke a jednoduche na nastaveni. V tom pripade bych vam mohl
poskytnout jeden testovaci konec na mem testovacim serveru.
Michal Ludvig
Další informace o konferenci Linux