Freeswan IPSEC 1.94++ & auth=rsasig ?? (delsi)

Michal Ludvig michal-linux na logix.cz.nospam
Čtvrtek Únor 7 20:35:00 CET 2002 

Zdenek Pizl wrote:
> BTW - na leve strane je 1.94++ ale na prave strane je 1.91 :( 
> Jestli  i tohle nebude mit vliv

Tezko rict. Tuhle kombinaci jsem nikdy nezkousel. BTW uz vyslo 1.95 (ale 
je zatim jen na FTP, na webu ji jeste neoznamili).

> jak dlouhe maji byt 2048 bitu v podobe s prefixem 0s ?

Moje jsou 346 znaku (pokud dobre pocitam).

>>A zatreti - dejte tam jen auto=add (misto auto=route) a
>>poslete nam vypis 'ipsec auto --status' a 'ipsec look'
>>... treba z toho neco vykoumame :-)
> obavam se, ze tady nemohu slevit. Protoze ty masinky pak 
> nenastavi spravne routing. A nebo nevim jak je k tomu prinutit.

Slevit jiste muzete. Ja kdyz ladim novy tunel, tak mam vzdy auto=add na 
obou koncich a potom pomoci 'ipsec auto --up tunelX' z jednoho konce to 
spojeni nahodim. Pak kdyz jsem si jist, ze to spojeni funguje, tak to 
zmenim na auto=start, aby pri pristim bootu uz naskocilo samo.

> Po zmene na auto=add mi totiz nenastavi routu host-to-host
> a dopadne to takhle : [...]
> Coz znamena , ze komunikace se deje pres nekodovanou eth0...

IPsec komunikace ponekud obchazi normalni routovaci tabulku a nejakym 
zpusobem vyuziva jakousi 'extended routing table' pristupnou prikazem 
'ipsec eroute'. Bohuzel netusim v cem se lisi auto=route a auto=start, 
ale je fakt, ze jsem nikdy nepotreboval nic jineho nez auto=add a 
auto=start. Mimochodem i auto=add lze vynechat a pridavat tunely rucne 
pomoci 'ipsec auto --add tunelX'.

> Vypis LEFT ( ipsec auto --status)
 > [root na srv1 etc]#  ipsec auto --status
 > 000 interface ipsec0/eth0 10.0.0.130
 > 000
 > 000 "secure0": 10.0.0.130...10.0.0.1
                  ^^^^^^^^^^^^^^^^^^^^^
 > 000 "secure0":   policy: RSASIG+ENCRYPT+TUNNEL+PFS; interface: eth0; 
routed HOLD
 > 000 #1: "secure0" STATE_MAIN_I1 (sent MI1, expecting MR1); 
EVENT_RETRANSMIT in 8s
 >
 > Vypis RIGHT (ipsec auto --status)
 > 000 "secure0": 10.0.0.130...10.0.0.1
                  ^^^^^^^^^^^^^^^^^^^^^
 > 000 "secure0":   policy: RSASIG+ENCRYPT+TUNNEL+PFS; interface: ; unrouted

Prekvapuje me, ze oba konce ukazuji stejny smer: 10.0.0.130...10.0.0.1
Na mych strojich je vlevo vzdy lokalni konec a vpravo ten vzdaleny.
Kdyz vypnete ipsec tak na sebe pingaji?

Pokud mate na obou uplne stejnou konfiguraci, tak me prekvapuje, ze levy 
se o spojeni pokousi (jednak "routed HOLD" a druhak "#1: ..."), zatimco 
pravy je pasivni.

Jeste me napada - nemate firewall, ktery blokuje ESP, nebo AH protokol 
(asi ne, kdyz vam manualni spojeni slo), nebo UDP port 500 (ten tusim u 
manualniho rezimu neni treba)?

Zkuste (pokud je to mozne) na obou strojich upgradovat na 1.95 a 
pregenerovat klice.

FYI muj typicky ipsec.conf vypada takhle:
config setup
         interfaces=%defaultroute
         klipsdebug=none
         plutodebug=none
         plutoload=%search
         plutostart=%search
         uniqueids=yes

conn %default
         keyingtries=0
         disablearrivalcheck=no
         authby=rsasig
         compress=yes
         leftrsasigkey=%dns
         rightrsasigkey=%dns

conn tunel1
         leftid=@gw.domain1.cz
         left=a.b.c.59
         leftnexthop=a.b.c.62
         leftsubnet=a.b.d.32/27
         leftrsasigkey=0sAQOSzSp1yD[...]5Vv9aAl 

         rightid=@gw.domain2.cz
         right=k.l.m.114
         rightnexthop=k.l.m.113
         rightsubnet=k.l.n.96/27
         rightrsasigkey=0sAQO8StJdl[...]mg2ZOoP 

         auto=start

Jeste muzete zkusit verzi s PSK (preshared key) - neni to RSA, ale je to 
taky automaticke a jednoduche na nastaveni. V tom pripade bych vam mohl 
poskytnout jeden testovaci konec na mem testovacim serveru.

Michal Ludvig

Další informace o konferenci Linux