Racoon vs. WinVista
Jan Marek
jmarek na jcu.cz
Pondělí Červen 16 15:05:27 CEST 2008
Zdravim,
On Fri, Jun 13, 2008 at 02:53:33PM +0200, Michal Dobes wrote:
> Jan Marek napsal(a):
> > Zkousel jsem pridat
> >
> > log debug; nebo log debug2;
> >
> > ale vypisovalo mi to nejake obsahy packetu, popravde receno,
> > blize jsem to nezkoumal...
>
> Možná v těch detailech by nějaké vysvětlení bylo. :-)
no, cetl jsem si to, ale moc moudry z toho nejsem... Vystavil
jsem to ke stazeni na http://hazard.jcu.cz/down/debug.0 (je to
cca 71kB, S.S.S.S je IP serveru s racoonem, C.C.C.C je IP klienta
s Win Vista Bussiness).
Jedina vec, ktera me tam padla do oka, je tento radek:
malformed cookie received. it has to be as the initiator.
ale stejne mi moc nepomohl :-( Cekal bych, ze server posle
klientovi nejakou cookie (new cookie a hodnota), klient ji nejak
zpracuje a posle serveru. Ten pak zjisti, ze je to opravdu
spravny klient a pusti ho dovnitr. Racoon sice hlasi, ze posila
nejake packety, ale vubec mi neni jasne proc.
> > U certifikatu si s jejich spravnosti uplne jisty nejsem. Delal
> > jsem si je sam, cili Visty o certifikacni autorite nemaji poneti.
> > Z navodu, ktere jsem pouzil, nevyplyvalo, ze bych mel nejak
> > Vistam dat vedet o duveryhodnosti ci neduveryhodnosti
> > certifikacni autority (samozrejme bych to rad udelal, poradite
> > jak?).
>
> Visty neznám, ale předpokládám, že by mohly stejně jako XPčka podporovat
> i použití sdíleného klíče pro IPsec. Takže bych zkusil třeba prvně tuto
> konfiguraci, zda to najede a pak řešil certifikáty v druhém kole,
> až to nějak pojede.
to me napadlo taky a zkusil jsem to prekonfigurovat, ale uspech
se nedostavil...
>
> U starších verzí woken dle materiálů u Microsoftu bylo vyžadováno,
> aby certifikát serveru byl podepsán stejným certifikátem jako klienta,
> jinak to mělo selhat. Další požadavek je, že server jako součást
> požadavku na certifikát klienta měl poslat i informaci o tom,
> jakou certifikační autoritou má být klientský certifikát podepsán
> a podle toho klient nějaký vybral. Tohle racoon poslat neumí (přesněji
> žádost poslat umí, volba send_cr yes, ale neumí tam vložit to CN CA),
> ale v praxi je to klientovi celkem jedno a obvykle to pak dopadlo tak,
> že vybral náhodně nějaký certifikát a ten použil, pokud tam máte jen
> jeden, tak by k omylu nemělo dojít. A i kdyby, mělo by to při podrobném
> debugu v racoonu vyplavat, že odmítl certifikát. Taktéž aspoň starší
> okna hlásily, pokud nenašly žádný použitelný certifikát (ale trošku
> blbě, pokud nebyl vůbec žádný certifikát splňující nějaké podmínky,
> tak se to hlásilo, pokud byl nějaký blbý, tak bylo ticho a wokna ho
> zkusily použít, přestože třeba nesouhlasila podepisující CA).
>
> Certifikát CA dostanete do oken tak, že nejlépe ten certifikát klienta
> budete mít v pk12 formátu a v něm bude včleněn i certifikát CA a pak
> jen naimportovat do úložiště pro místní počítač (aspoň pro W2K/XP).
Me se nakonec ten certifikat RA do Windows podarilo dostat...
>
> > Racoon ma k dispozici CRL soubor... Atributy pouziti jsou
> > nastaveny na vsechno, alespon Visty to tak hlasi.
>
> Atributy nastaveny na všechno také může znamenat, že není nastaveno nic,
> což se má chápat jako povoleno vše. Pokud tomu tak je, tak mám určitou
> blbou zkušenost s openssl, že pokud se certifikát kontroluje proti
> neprázdnému CRL a pokud nemá specifikované použití, tak to pak selhalo,
> přestože certifikát je OK. Ale tohle by mělo také vyplavat v logu
> racoona.
Mozna jej neumim cist... :-(
Nasel jsem i chybu, kterou hlasily Visty, ale bohuzel ji ted
nemam k dispozici. Kazdopadne dle stranky, vyhledane googlem, se
jednalo o chybu, ktera byla tesne pred chybou, ktera by se tykala
spatneho certifikatu (ted ji ale nemuzu najit)...
>
> M.
>
Diky za (pripadne) popostrceni...
Zdravi
Honza Marek
--
Ing. Jan Marek | Nez mi poslete prilohu .doc, .xls
University of South Bohemia | nebo .ppt, prectete si, prosim,
Academic Computer Centre | WWW stranku uvedenou na poslednim
Phone: +420-38-9032080 | radku signatury...
http://www.gnu.org/philosophy/no-word-attachments.cs.html
Další informace o konferenci Linux