Windows 7 DNSSEC klient kontra linux/bind

[Michal Dobes]

	Zdravím,

	nesrazil jste se někdo s požadavkem na oživení DNSSEC klienta
z Windows 7 proti linuxu? Ten vestavěný klient není validující, takže
očekává provedení validace od DNS serveru. Není problém, ale pro
ošetření poslední míle mezi Win klientem a DNS serverem proto používá
IPsec. A zde jsem narazil, pokud si aktivuji IPsec přímo s DNSSEC
klientem přes Name Resolution Policy Table (NRPT), tak Wokna ihned
zahájí IKE vyjednávání, ale Openswan i Strongswan jsou z toho vyděšeni.
Jde o to, že v tomto případě do IKE nacpou Win jako první hlavičku
svoji verzi AuthIP (payload type 133) a ani jedna implementace stále
není schopna ji ignorovat?

Openswan 2.6.39 na CentOS6 na to jen:
pluto[28411]: packet from 10.84.14.52:500: next payload type of ISAKMP 
Message has an unknown value: 133
pluto[28411]: packet from 10.84.14.52:500: size (52) differs from size 
specified in ISAKMP HDR (0)

Další částí vypadají celkem OK, dle pohledu tcpdumpem, ale tu úvodní
nějak neustojí její ignoraci.

Očekával bych, že se bude nabídka AuthIP ignorovat, odpoví se
na normální IKEv1 a Wokna pochopí z odpovědi, že AuthIP nemají
dál cpát. Ale není vůbec na to reagováno (vyjma chybičky do logu).

Pokud aktivaci IPsecu místo v NRPT udělám třeba klasicky konfigurací
přes Zásady zabezpečení IPSEC v mmc, tak IPSec jede OK, ale není to tak
pohodlné a možno řídit, jak z NRPT (či-li něco IPsecem obalovat,
něco ne, v závislosti na poptávané doméně, ...).

M.