Freeswan IPSEC 1.94++ & auth=rsasig ?? (delsi)
Zdenek Pizl
z.p na linux-cd.cz
Pátek Únor 8 13:34:14 CET 2002
Dne pá 8. únor 2002 11:33 Michal Ludvig napsal(a):
> Zdenek Pizl wrote:
> > Tak tohle si necham rad vysvetlit. Mozna jsem to
> > nerekl, ale ty dve masiny jsou spojeny "naprimo", tedy
> > neni mezi nimi zadny adresovatelny nexthop. Napovidaji
> > o tom i jejich adresy 10.0.0.1 a 10.0.0.130.
>
> To jste sice nerekl, ale pochopil jsem to z konfiguraku
> :-) Ted jsem si vyzkousel stejnou konfiguraci (1.93 <->
> cand2002jan31y) s RSA klicema s slo mi to v pohode. A
> opravdu i v tomto pripade byla ve vypisu 'ipsec auto
> --status' vlevo vzdy lokalni adresa a vpravo vzdalena.
tohle jsem ted odstranil. Neni totiz dobre miti definovano
jak leftnexthop=%direct tak i righnexthop=%direct. Lepe
nechat pouze na jedne strane ...
>
> > Zajima me, kdyz tedy bude auto=add a po vytvoreni
> > ipsec0, co se bude dit, kdyz si pingnu ze *130 na *1.
>
> Rekneme, ze tam nebude zadne auto=. I po spusteni ipsec
> vsechno bude chodit nezasifrovane.
> Pak date na obou koncich 'ipsec auto --add tunelX' (coz
> je stejne jako auto=add), tak ipsec o tunelu sice razem
> bude vedet, ale nebude ho zatim pouzivat a tudiz i ping
> stale pujde nezasifrovane. Nyni zavelite 'ipsec auto
> --route tunelX' (tedy auto=route) a tim padem se upravi
> routovaci tabulky, ale jeste se nevymeni klice a nenavaze
> spojeni s druhym koncem. V tuhle chvili (ted jenom
> tipuju) neprojde mezi obema konci nic jineho nez UDP/500.
> Ping kazdopadne nebude fungovat. Tenhle krok muzete
> vynechat pokud:
> Nakonec na jednom konci spustite 'ipsec auto --up tunelX'
> a dostanete zhruba nasledujici vypis:
> ~# ipsec auto --up br-ds
> 104 "br-ds" #3: STATE_MAIN_I1: initiate
> 106 "br-ds" #3: STATE_MAIN_I2: from STATE_MAIN_I1; sent
> MI2, expecting MR2 108 "br-ds" #3: STATE_MAIN_I3: from
> STATE_MAIN_I2; sent MI3, expecting MR3 004 "br-ds" #3:
> STATE_MAIN_I4: ISAKMP SA established 112 "br-ds" #4:
> STATE_QUICK_I1: initiate
> 004 "br-ds" #4: STATE_QUICK_I2: sent QI2, IPsec SA
> established ~#
zkusil jsem to presne podle Vas. Nakonec jsem na levem PC
zavelel ipsec auto --up secure0. Vysledek :
[root na left etc]# ipsec auto --up secure0
104 "left" #1: STATE_MAIN_I1: initiate
106 "left" #1: STATE_MAIN_I2: sent MI2, expecting MR2
108 "left" #1: STATE_MAIN_I3: sent MI3, expecting MR3
003 "left" #1: Signature check (on @right) failed (wrong
key?)
217 "left" #1: STATE_MAIN_I3: INVALID_KEY_INFORMATION
!!!!!!!!!!!!!! Ooops, ja jsem ale trubka! Na right jsou v
ipsec.secrets dva RSA klice, a samozrejme, ze ipsec/pluto
nevi, ze by mel pouzit ten druhy, ktery jsem mu generoval
specialne pro tenhle kanal.
Lze to vubec nejak rici, ktery klic ma pouzit na jake
spojeni. Predpokladam, ze ano. V man ipsec.secrets se ty
klice nejak rozlisuji. Kdyz tak mi trochu nakopnete :(
> Jeste jedna mozna dulezita vec - v ipsec.secrets asi mate
> ty stare PSK s identifikaci obou stran. Zkuste je
> zakomentovat. Treba ipsec bere driv ty zaznamy, ktere
> jsou konkretnejsi. To by mozna vysvetlovalo ty hlasky o
> divne delce klicu a spol...
>
Z.P.
Další informace o konferenci Linux