VPN L2TP/Racoon/IPSec
mytrix
mytrix at net4you.cz
Thu Apr 28 15:07:16 CEST 2005
Dekuji za analýzu. Pokusím se upravit nastavení dle vašich rad a případně se
ozvu.
-----Original Message-----
From: users-l-bounces at freebsd.cz [mailto:users-l-bounces at freebsd.cz] On
Behalf Of Dan Lukes
Sent: Thursday, April 28, 2005 1:43 PM
To: FreeBSD mailing list
Subject: Re: VPN L2TP/Racoon/IPSec
mytrix napsal/wrote, On 04/28/05 12:30:
> Debug log z Racoona je dostupny zde
http://phoenix.net4you.cz/racoon.log.txt
Jak uz jsem psal, rozchodte nejprve IPSEC a az ho budetemit funkcni,
tak se teprve poustejte do dalsiho. Z LOGu me zaujalo:
> oakley.c:1237:oakley_validate_auth(): HASH for PSK validated.
To znamena, ze key mate skutecne spravne.
> isakmp_quick.c:2017:get_proposal_r():
> no policy found, try to generate the policy :
> 192.168.10.2/32[1701] 192.168.10.1/32[1701] proto=udp dir=in
Jestli to spravne chapu, tak v SPD mate predvyplneno neco jako
192.168.10.1/32[1701] 0.0.0.0/0[0] proto=any dir=in ...
0.0.0.0/0[0] 192.168.10.1/32[1701] proto=any dir=out
Prichazejici pozadavek je ale jiny,
192.168.10.2/32[1701] 192.168.10.1/32[1701] proto=udp dir=in
... a tak se zadny z predvyplnenych nepouzije. Misto toho se zalozi novy
SP zaznam, jehoz parametry se prevezmou z konfigurace racoona.
Jedna z moznosti tedy je, ze to co se vytvori neni vyhovujici.
Osobne
bych pro zacatek zkusil do SPD predvyplnit zaznamy presne odpovidajici
prichazejicim pozadavkum.
Nasledujici dlouhatansky kus LOGu (vcetne prorezanych casti) se
zabyva
analyzou a provnavanim nabizenych transformaci.
Z nasi strany jde o:
proto_id=ESP encmode=Transport trns_id=3DES authtype=hmac-sha
Druha strana ovsem nenabizi noc lepsiho, nez
proto_id=ESP encmode=Transport trns_id=DES authtype=hmac-md5)
Tam neni shoda ani v pouzitem sifrovani, ani v hashovaci funkci.
Soudim tedy, ze parametry vlozene automaticky do SPD na zaklade
konfigurace prevzate z konfiguracnoho souboru racoona jsou neslucitelne
s aktualni konfiguraci IPSECu ve Windows.
A to je patrne cely problem.
Osobne si myslim, ze - tedy - pokud opravdu zamyslite vubec IPSEC
pouzivat - je nutne nejprve dukladne znovu projit konfiguraci IPSEC ve
Windows. Myslim, z evyhodn eby bylo omezit sirku nabizenych kombinaci
transformaci, sifrovani a tak dale - LOG se vam tim dost zjednodusi.
Zejmena je ovsem dulezite nastavit tam ty vlastnosti, jake byste
skutecne rad v ramci IPSECu mel.
Konformne s tim je pak nutne nastavit SPD tabulky na strane FreeBSD
nebo, pokud byste trval na automaticky generovanych policy, pak
konfiguraci racoona.
Dan
--
FreeBSD mailing list (users-l at freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
More information about the Users-l
mailing list