Freeswan IPSEC 1.94++ & auth=rsasig ?? (delsi)
Zdenek Pizl
z.p na linux-cd.cz
Pátek Únor 8 09:43:16 CET 2002
Dne čt 7. únor 2002 20:35 Michal Ludvig napsal(a):
> Zdenek Pizl wrote:
> > jak dlouhe maji byt 2048 bitu v podobe s prefixem 0s ?
>
> Moje jsou 346 znaku (pokud dobre pocitam).
odpovida :)
>
> > Po zmene na auto=add mi totiz nenastavi routu
> > host-to-host a dopadne to takhle : [...]
> > Coz znamena , ze komunikace se deje pres nekodovanou
> > eth0...
>
> IPsec komunikace ponekud obchazi normalni routovaci
> tabulku a nejakym zpusobem vyuziva jakousi 'extended
> routing table' pristupnou prikazem 'ipsec eroute'.
> Bohuzel netusim v cem se lisi auto=route a auto=start,
> ale je fakt, ze jsem nikdy nepotreboval nic jineho nez
> auto=add a auto=start. Mimochodem i auto=add lze vynechat
> a pridavat tunely rucne pomoci 'ipsec auto --add tunelX'.
Tak tohle si necham rad vysvetlit. Mozna jsem to nerekl,
ale ty dve masiny jsou spojeny "naprimo", tedy neni mezi
nimi zadny adresovatelny nexthop. Napovidaji o tom i jejich
adresy 10.0.0.1 a 10.0.0.130.
Zajima me, kdyz tedy bude auto=add a po vytvoreni ipsec0,
co se bude dit, kdyz si pingnu ze *130 na *1.
Podle meho pingu je uplne jedno, ze tam je nejaky interface
ipsecX. Ridi se podle routovaci tabulky a kdyz tam ma
nejprve zaznam do site 10.0.0.* (a tedy i na 10.0.0.1) se
dostanes pres eth0, tak proste pujde tudy. A ja potrebuji
aby tam pro veskerou komunikaci byl zaznam na 10.0.0.1 se
dostanes prave a pouze pres ipsecX. Dostal jsem se do
stavu, kdy jsem schopny pomoci auto =route zaridit aby v
routovaci tabulce byl na prvnim miste kyzeny zaznam, to ze
tam pak strasi jeste zaznam pro 10.0.0.* sit mi uz je tak
nejak jedno, to odstinim firewalem ...
>
> > Vypis LEFT ( ipsec auto --status)
> > [root na srv1 etc]# ipsec auto --status
> > 000 interface ipsec0/eth0 10.0.0.130
> > 000
> > 000 "secure0": 10.0.0.130...10.0.0.1
> ^^^^^^^^^^^^^^^^^^^^^
> > 000 "secure0": policy: RSASIG+ENCRYPT+TUNNEL+PFS;
> > interface: eth0;
> routed HOLD
> > 000 #1: "secure0" STATE_MAIN_I1 (sent MI1, expecting
> > MR1);
> EVENT_RETRANSMIT in 8s
> > Vypis RIGHT (ipsec auto --status)
> > 000 "secure0": 10.0.0.130...10.0.0.1
> ^^^^^^^^^^^^^^^^^^^^^
> > 000 "secure0": policy: RSASIG+ENCRYPT+TUNNEL+PFS;
> > interface: ; unrouted
>
> Prekvapuje me, ze oba konce ukazuji stejny smer:
> 10.0.0.130...10.0.0.1 Na mych strojich je vlevo vzdy
> lokalni konec a vpravo ten vzdaleny. Kdyz vypnete ipsec
> tak na sebe pingaji?
>
> Pokud mate na obou uplne stejnou konfiguraci, tak me
> prekvapuje, ze levy se o spojeni pokousi (jednak "routed
> HOLD" a druhak "#1: ..."), zatimco pravy je pasivni.
na pravem jsou dva ipsec interfacy. Jeden bezi nekam do
pryc (ipsec0 na eth0) a druhy je ten zlobivy (ipsec1 na
eth1).
>
> Jeste me napada - nemate firewall, ktery blokuje ESP,
> nebo AH protokol (asi ne, kdyz vam manualni spojeni slo),
> nebo UDP port 500 (ten tusim u manualniho rezimu neni
> treba)?
manualni spojeni jsem nezkousel ! Zkousel jsem preshared
key.
>
> Zkuste (pokud je to mozne) na obou strojich upgradovat na
> 1.95 a pregenerovat klice.
na LEFT to mozne je, na right asi tezko. na te 1.91 se
pouzivaji certifikovane klice a tady me napada, jestli to
neni tim, ze treba 1.91 to neumela a nemuselo to byt nejak
ohackovany ..
>
> Jeste muzete zkusit verzi s PSK (preshared key) - neni to
> RSA, ale je to taky automaticke a jednoduche na
> nastaveni. V tom pripade bych vam mohl poskytnout jeden
> testovaci konec na mem testovacim serveru.
diky, tohle funguje. Viz uvodni mejl :)
Z.P.
>
> Michal Ludvig
>
Další informace o konferenci Linux