racoon ipsec <-> zywall 5, dlhe - doplnene

Mašek Radek Radek.Masek na o2services.cz
Čtvrtek Červenec 10 20:21:04 CEST 2008


Zase zdravim,

nasel jsem takovou drobnost :-) ve vypisu tcpdumpu >>
 
komunikace po UDP 500 [ IKE ] ještě neznamena IPSec ..
v této fazi se zatím vyjednavaji šifrovací klice, hashe atd ... 

konkretne ve phase 1 se vyjednava komunikace mezi obema konci spojeni aby si
mohli ve phase 2 bezpecne vyjednat jednotlive policies pro prenos dat
ve chvili kdy se mezi sebou domluvi tak si oba konce zapisi policies do SAD
pro odchozi a prichozi pakety, nasledne potom komunikuji protokolem ESP
a/nebo AH.

SAD vypisete přes setkey -D

Neumim rict jak to funguje presne u NAT-Traversal, ale rozhodne datova
komunikace není přes UDP 500

Radek Masek


> Niekto znaly tam vidi nejaky zasadny problem? Podla dvoch poslednych
> riadkov som presvedceny o tom, ze spojenie sa podarilo. I ked nie som o
> tom 100% presvedceny :-).
> 
> Tcpdump na [GWC] ukazuje toto:
> (nadviazanie)
> 12:01:48.008203 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase 1 I
> agg
> 12:01:48.755760 IP SG.SG.SG.SG.500 > CG.CG.CG.CG.500: isakmp: phase 1 R
> agg
> 12:01:48.780412 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase 1 I
> agg
> 12:01:48.781367 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others I inf[E]
> 12:01:48.793385 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others I oakley-quick[E]
> 12:01:49.538332 IP SG.SG.SG.SG.500 > CG.CG.CG.CG.500: isakmp: phase
> 2/others R oakley-quick[E]
> 12:01:49.540478 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others I oakley-quick[E]
> 12:01:49.562731 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others ? #246[EC]
> 12:01:50.562247 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others ? #125[C]
> 12:01:55.562376 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: [|isakmp]
> 
> (ping ciela v ciel. LAN)
> 12:02:05.763689 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others ? #80[E]
> 12:02:06.763675 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others ? #156[C]
> 12:02:13.870675 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others ? #177[E]
> 12:02:14.869877 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others ? #50[]
> 12:02:15.562872 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: [|isakmp]
> 12:02:15.869885 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others ? #140[EC]
> 12:02:16.869908 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others ? #214[E]
> 12:02:17.869943 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others ? #42[]
> 12:02:18.869975 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others ? #23[C]
> 12:02:19.869996 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others ? #196[E]
> 12:02:20.870014 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others ? #206[EC]
> 12:02:21.870045 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others ? #41[EC]
> 12:02:22.870082 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others ? #212[E]
> 12:02:23.870081 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others ? #181[EC]
> 12:02:24.870151 IP CG.CG.CG.CG.500 > SG.SG.SG.SG.500: isakmp: phase
> 2/others ? #138[C]



Další informace o konferenci Linux