Racoon vs. WinVista

[Jan Marek]

Zdravim,

On Fri, Jun 13, 2008 at 02:53:33PM +0200, Michal Dobes wrote:
> Jan Marek napsal(a):
> > Zkousel jsem pridat
> > 
> > log debug; nebo log debug2;
> > 
> > ale vypisovalo mi to nejake obsahy packetu, popravde receno,
> > blize jsem to nezkoumal...
> 
> Možná v těch detailech by nějaké vysvětlení bylo. :-)

no, cetl jsem si to, ale moc moudry z toho nejsem... Vystavil
jsem to ke stazeni na http://hazard.jcu.cz/down/debug.0 (je to
cca 71kB, S.S.S.S je IP serveru s racoonem, C.C.C.C je IP klienta
s Win Vista Bussiness).

Jedina vec, ktera me tam padla do oka, je tento radek:

malformed cookie received. it has to be as the initiator.

ale stejne mi moc nepomohl :-( Cekal bych, ze server posle
klientovi nejakou cookie (new cookie a hodnota), klient ji nejak
zpracuje a posle serveru. Ten pak zjisti, ze je to opravdu
spravny klient a pusti ho dovnitr. Racoon sice hlasi, ze posila
nejake packety, ale vubec mi neni jasne proc.

> > U certifikatu si s jejich spravnosti uplne jisty nejsem. Delal
> > jsem si je sam, cili Visty o certifikacni autorite nemaji poneti.
> > Z navodu, ktere jsem pouzil, nevyplyvalo, ze bych mel nejak
> > Vistam dat vedet o duveryhodnosti ci neduveryhodnosti
> > certifikacni autority (samozrejme bych to rad udelal, poradite
> > jak?).
> 
> Visty neznám, ale předpokládám, že by mohly stejně jako XPčka podporovat
> i použití sdíleného klíče pro IPsec. Takže bych zkusil třeba prvně tuto
> konfiguraci, zda to najede a pak řešil certifikáty v druhém kole,
> až to nějak pojede.

to me napadlo taky a zkusil jsem to prekonfigurovat, ale uspech
se nedostavil...

> 
> U starších verzí woken dle materiálů u Microsoftu bylo vyžadováno,
> aby certifikát serveru byl podepsán stejným certifikátem jako klienta,
> jinak to mělo selhat. Další požadavek je, že server jako součást
> požadavku na certifikát klienta měl poslat i informaci o tom,
> jakou certifikační autoritou má být klientský certifikát podepsán
> a podle toho klient nějaký vybral. Tohle racoon poslat neumí (přesněji
> žádost poslat umí, volba send_cr yes, ale neumí tam vložit to CN CA),
> ale v praxi je to klientovi celkem jedno a obvykle to pak dopadlo tak,
> že vybral náhodně nějaký certifikát a ten použil, pokud tam máte jen
> jeden, tak by k omylu nemělo dojít. A i kdyby, mělo by to při podrobném
> debugu v racoonu vyplavat, že odmítl certifikát. Taktéž aspoň starší
> okna hlásily, pokud nenašly žádný použitelný certifikát (ale trošku
> blbě, pokud nebyl vůbec žádný certifikát splňující nějaké podmínky,
> tak se to hlásilo, pokud byl nějaký blbý, tak bylo ticho a wokna ho
> zkusily použít, přestože třeba nesouhlasila podepisující CA).
> 
> Certifikát CA dostanete do oken tak, že nejlépe ten certifikát klienta
> budete mít v pk12 formátu a v něm bude včleněn i certifikát CA a pak
> jen naimportovat do úložiště pro místní počítač (aspoň pro W2K/XP).

Me se nakonec ten certifikat RA do Windows podarilo dostat...

> 
> > Racoon ma k dispozici CRL soubor... Atributy pouziti jsou
> > nastaveny na vsechno, alespon Visty to tak hlasi.
> 
> Atributy nastaveny na všechno také může znamenat, že není nastaveno nic,
> což se má chápat jako povoleno vše. Pokud tomu tak je, tak mám určitou
> blbou zkušenost s openssl, že pokud se certifikát kontroluje proti
> neprázdnému CRL a pokud nemá specifikované použití, tak to pak selhalo, 
> přestože certifikát je OK. Ale tohle by mělo také vyplavat v logu
> racoona.

Mozna jej neumim cist... :-(

Nasel jsem i chybu, kterou hlasily Visty, ale bohuzel ji ted
nemam k dispozici. Kazdopadne dle stranky, vyhledane googlem, se
jednalo o chybu, ktera byla tesne pred chybou, ktera by se tykala
spatneho certifikatu (ted ji ale nemuzu najit)...

> 
> M.
> 

Diky za (pripadne) popostrceni...

Zdravi
Honza Marek
-- 
Ing. Jan Marek               | Nez mi poslete prilohu .doc, .xls 
University of South Bohemia  | nebo .ppt, prectete si, prosim,
Academic Computer Centre     | WWW stranku uvedenou na poslednim
Phone: +420-38-9032080       | radku signatury...
http://www.gnu.org/philosophy/no-word-attachments.cs.html