racoon ipsec <-> zywall 5, dlhe - doplnene

Matej Gajdos mato na d15.sk
Čtvrtek Červenec 10 21:41:02 CEST 2008 

Zdravim,

Mašek Radek wrote:
> Zase zdravim,
>
> nasel jsem takovou drobnost :-) ve vypisu tcpdumpu >>
>  
> komunikace po UDP 500 [ IKE ] ještě neznamena IPSec ..
> v této fazi se zatím vyjednavaji šifrovací klice, hashe atd ... 
>
> konkretne ve phase 1 se vyjednava komunikace mezi obema konci spojeni aby si
> mohli ve phase 2 bezpecne vyjednat jednotlive policies pro prenos dat
> ve chvili kdy se mezi sebou domluvi tak si oba konce zapisi policies do SAD
> pro odchozi a prichozi pakety, nasledne potom komunikuji protokolem ESP
> a/nebo AH.
>   
Tak nejako som to pochopil aj ja :-).
Zistil som zaujimavu vec, ked sa pripojim z Win, tak vidim na brane cez 
ktoru to ide cez tcpdump pakety z mojej IP z nejakeho portu (ale nie 
500) na GS.GS.GS.GS na port 500. Pokial sa pripojim cez racoon, idu 
pakety z mojej IP port 500 na GS.GS.GS.GS port 500. Nemoze byt toto 
nejaka zrada?
Najhorsie na tom je to, ze protistrana, Zywall 5 v logu nic zaujimave 
nepise (t.j. nestazuje sa a tvari sa ze je vsetko OK).

> SAD vypisete přes setkey -D
>   
Po "nadviazani" vidim toto po setkey -D:

192.168.2.3[500] GS.GS.GS.GS[500]
        esp-udp mode=tunnel spi=387506112(0x1718dfc0) reqid=0(0x00000000)
        E: 3des-cbc  005c1525 0aa6bacb 667d9983 b572e314 f9e91d9b 2e3d28f9
        A: hmac-sha1  66fec28a 055f61e2 425cc68e 15206523 11f617d2
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Jul 10 21:22:28 2008   current: Jul 10 21:23:01 2008
        diff: 33(s)     hard: 28800(s)  soft: 23040(s)
        last: Jul 10 21:22:28 2008      hard: 0(s)      soft: 0(s)
        current: 336(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 4    hard: 0 soft: 0
        sadb_seq=1 pid=9172 refcnt=0
GS.GS.GS.GS[500] 192.168.2.3[500]
        esp-udp mode=tunnel spi=107114348(0x06626f6c) reqid=0(0x00000000)
        E: 3des-cbc  5bda518f 47e32a5c a6929029 9f43311d a6628b4d cd1ded0f
        A: hmac-sha1  07c0bad6 38c19588 999a65b1 6854d67f da240a60
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: Jul 10 21:22:28 2008   current: Jul 10 21:23:01 2008
        diff: 33(s)     hard: 28800(s)  soft: 23040(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=0 pid=9172 refcnt=0

Zmena IP z 192.168.0.10 na 192.168.2.3 je OK, momentalne to skusam z domu.
Podla toho vypisu mam dojem ze je to OK? Som uz z toho ipsec-u chory :-).

> Neumim rict jak to funguje presne u NAT-Traversal, ale rozhodne datova
> komunikace není přes UDP 500
>   
Ak niekto tusi, nech sa pochvali :-).

V kazdom pripade vdaka za namety.

Mato Gajdos

Další informace o konferenci Linux