VPN L2TP/Racoon/IPSec
mytrix
mytrix at net4you.cz
Thu Apr 28 16:46:37 CEST 2005
Děkuji Vám mnohokrát za radu. :o) Konečně se to podařilo rozběhat a dokonce
hned vše najednou. Chyba byla ve dvou věcech
a) měl jste pravdu s těma IPčkama, jakmile jsem provedl úpravu dle vaši
rady, log hned vypadal zajímavěji. Až na bod b)
b) zde dělala neplechu nastaveni lifetime, servery se zřejmě dost dobře
neshodli na doby vypršení. (ERROR: proposal.c:217:cmpsaprop_alloc(): long
lifetime proposed: my:30 peer:3600)
V našívacích algoritmech kupodivu zásadní problém nebyl a nakonec se nějak
dohodli :). Jinak při mých experimentech se projevil jeden problém, který,
jak jsem se dočetl, má na svědomí použití IPSec. Za chodu jsem si
experimentálně změnil IP stanice, ze které se pokouším připojovat k VPN, kdy
z novou IP adresou samozřejmě spojeni nefungovalo, protože pro něj není SPD
záznam. Když jsem adresu vrátil zpět, tak při pokusu o připojení se mi v
messages objeví hláška "kernel: IPv4 ESP input: no key association found for
spi 43877483". Jak jsem zjistil na diskuzi, tak prostě musím čekat, dokud
nevyprší ta session, nebo tak něco. Nicméně jak lze toto ošetřit, aby k
tomuto nedocházelo? Přeci jenom když by se připojoval k VPN mobilní
uživatel, tak mu hrozí například náhlé odpojení od sítě apd a to by se pak
zpětně nemohl přihlásit?
Ještě každopádně doplním podporu certifikátů a bude to snad pohodě. Ještě
předpokládám, že se budu muset poprat s NAT-T, abych protlačil IPSec spojení
v případě, že by se klient přihlašoval z NATované sítě, což je v dnešní době
celkem běžný problém. Jen doufám, že to nebude zásadní problém.. ? :o)
Děkuji.
-----Original Message-----
From: users-l-bounces at freebsd.cz [mailto:users-l-bounces at freebsd.cz] On
Behalf Of Dan Lukes
Sent: Thursday, April 28, 2005 1:43 PM
To: FreeBSD mailing list
Subject: Re: VPN L2TP/Racoon/IPSec
mytrix napsal/wrote, On 04/28/05 12:30:
> Debug log z Racoona je dostupny zde
http://phoenix.net4you.cz/racoon.log.txt
Jak uz jsem psal, rozchodte nejprve IPSEC a az ho budetemit funkcni,
tak se teprve poustejte do dalsiho. Z LOGu me zaujalo:
> oakley.c:1237:oakley_validate_auth(): HASH for PSK validated.
To znamena, ze key mate skutecne spravne.
> isakmp_quick.c:2017:get_proposal_r():
> no policy found, try to generate the policy :
> 192.168.10.2/32[1701] 192.168.10.1/32[1701] proto=udp dir=in
Jestli to spravne chapu, tak v SPD mate predvyplneno neco jako
192.168.10.1/32[1701] 0.0.0.0/0[0] proto=any dir=in ...
0.0.0.0/0[0] 192.168.10.1/32[1701] proto=any dir=out
Prichazejici pozadavek je ale jiny,
192.168.10.2/32[1701] 192.168.10.1/32[1701] proto=udp dir=in
... a tak se zadny z predvyplnenych nepouzije. Misto toho se zalozi novy
SP zaznam, jehoz parametry se prevezmou z konfigurace racoona.
Jedna z moznosti tedy je, ze to co se vytvori neni vyhovujici.
Osobne
bych pro zacatek zkusil do SPD predvyplnit zaznamy presne odpovidajici
prichazejicim pozadavkum.
Nasledujici dlouhatansky kus LOGu (vcetne prorezanych casti) se
zabyva
analyzou a provnavanim nabizenych transformaci.
Z nasi strany jde o:
proto_id=ESP encmode=Transport trns_id=3DES authtype=hmac-sha
Druha strana ovsem nenabizi noc lepsiho, nez
proto_id=ESP encmode=Transport trns_id=DES authtype=hmac-md5)
Tam neni shoda ani v pouzitem sifrovani, ani v hashovaci funkci.
Soudim tedy, ze parametry vlozene automaticky do SPD na zaklade
konfigurace prevzate z konfiguracnoho souboru racoona jsou neslucitelne
s aktualni konfiguraci IPSECu ve Windows.
A to je patrne cely problem.
Osobne si myslim, ze - tedy - pokud opravdu zamyslite vubec IPSEC
pouzivat - je nutne nejprve dukladne znovu projit konfiguraci IPSEC ve
Windows. Myslim, z evyhodn eby bylo omezit sirku nabizenych kombinaci
transformaci, sifrovani a tak dale - LOG se vam tim dost zjednodusi.
Zejmena je ovsem dulezite nastavit tam ty vlastnosti, jake byste
skutecne rad v ramci IPSECu mel.
Konformne s tim je pak nutne nastavit SPD tabulky na strane FreeBSD
nebo, pokud byste trval na automaticky generovanych policy, pak
konfiguraci racoona.
Dan
--
FreeBSD mailing list (users-l at freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
More information about the Users-l
mailing list