racoon ipsec <-> zywall 5, dlhe - doplnene
Matej Gajdos
mato na d15.sk
Čtvrtek Červenec 10 21:41:02 CEST 2008
Zdravim,
Mašek Radek wrote:
> Zase zdravim,
>
> nasel jsem takovou drobnost :-) ve vypisu tcpdumpu >>
>
> komunikace po UDP 500 [ IKE ] ještě neznamena IPSec ..
> v této fazi se zatím vyjednavaji šifrovací klice, hashe atd ...
>
> konkretne ve phase 1 se vyjednava komunikace mezi obema konci spojeni aby si
> mohli ve phase 2 bezpecne vyjednat jednotlive policies pro prenos dat
> ve chvili kdy se mezi sebou domluvi tak si oba konce zapisi policies do SAD
> pro odchozi a prichozi pakety, nasledne potom komunikuji protokolem ESP
> a/nebo AH.
>
Tak nejako som to pochopil aj ja :-).
Zistil som zaujimavu vec, ked sa pripojim z Win, tak vidim na brane cez
ktoru to ide cez tcpdump pakety z mojej IP z nejakeho portu (ale nie
500) na GS.GS.GS.GS na port 500. Pokial sa pripojim cez racoon, idu
pakety z mojej IP port 500 na GS.GS.GS.GS port 500. Nemoze byt toto
nejaka zrada?
Najhorsie na tom je to, ze protistrana, Zywall 5 v logu nic zaujimave
nepise (t.j. nestazuje sa a tvari sa ze je vsetko OK).
> SAD vypisete přes setkey -D
>
Po "nadviazani" vidim toto po setkey -D:
192.168.2.3[500] GS.GS.GS.GS[500]
esp-udp mode=tunnel spi=387506112(0x1718dfc0) reqid=0(0x00000000)
E: 3des-cbc 005c1525 0aa6bacb 667d9983 b572e314 f9e91d9b 2e3d28f9
A: hmac-sha1 66fec28a 055f61e2 425cc68e 15206523 11f617d2
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Jul 10 21:22:28 2008 current: Jul 10 21:23:01 2008
diff: 33(s) hard: 28800(s) soft: 23040(s)
last: Jul 10 21:22:28 2008 hard: 0(s) soft: 0(s)
current: 336(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 4 hard: 0 soft: 0
sadb_seq=1 pid=9172 refcnt=0
GS.GS.GS.GS[500] 192.168.2.3[500]
esp-udp mode=tunnel spi=107114348(0x06626f6c) reqid=0(0x00000000)
E: 3des-cbc 5bda518f 47e32a5c a6929029 9f43311d a6628b4d cd1ded0f
A: hmac-sha1 07c0bad6 38c19588 999a65b1 6854d67f da240a60
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Jul 10 21:22:28 2008 current: Jul 10 21:23:01 2008
diff: 33(s) hard: 28800(s) soft: 23040(s)
last: hard: 0(s) soft: 0(s)
current: 0(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 0 hard: 0 soft: 0
sadb_seq=0 pid=9172 refcnt=0
Zmena IP z 192.168.0.10 na 192.168.2.3 je OK, momentalne to skusam z domu.
Podla toho vypisu mam dojem ze je to OK? Som uz z toho ipsec-u chory :-).
> Neumim rict jak to funguje presne u NAT-Traversal, ale rozhodne datova
> komunikace není přes UDP 500
>
Ak niekto tusi, nech sa pochvali :-).
V kazdom pripade vdaka za namety.
Mato Gajdos
Další informace o konferenci Linux