IPSEC - prechod z ISA serveru

Dan Lukes dan at obluda.cz
Mon Apr 20 22:54:28 CEST 2009


Josef Hrabec napsal/wrote, On 04/20/09 13:19:
>> A celkove mi nejak uniklo, co presne ti vlastne nefunguje (pokud ten
>> ping prochazi).

> Z klienta odchazi echo paket, tento paket je videt na internim interface routeru spravne jako prichozi. Na enc0 neni
> videt zadny paket. Na externim interface jsou videt esp pakety jak chodi
> sem a tam, tedy mezi externim interface FreeBSD a tim druhym vzdalenym
> koncem. Ale na internim interface se jiz odpoved na vysilane echo pakety
> neobjevi.

Takze - kyvadlove ESP pakety naznacuji, ze ping na druhou stranu dojde, 
je spravne pochopen a vyvola odpoved, ktera prijde.

To znamena, ze v jednom smeru to je plne funkcni. Problem je s tim 
druhym smerem - ESP paket, ktery dorazi neni spravne interpretovan. 
Takze bud' ho zablokuje firewall jeste jako ESP paket. Nebo se ho 
nepodari desifrovat. Nebo se ho podari desifrovat, ale vysledny paket 
neco sezere (firewall). Nebo ho to nesezere, ale vybaleny paket neni 
dorucitelny (treba nema spravnou adresu prijemce).

To, ze nam ani ESP paket ani desifrovany paket nezablokuje firewall 
vyresis jednoduse - zadny tam po dobu pokusu mit aktivni nebudes.

Ja ted zrovna nikde IPSEC nemam (teda, skoro jiste nekde na nejakem 
stroji, kde jsem to nekdy konfiguroval a stale tam mam prava bude, ale 
zadny se mi nevybavuje) takze musim varit trochu z vody. Prichozi paket 
se k IPSEC pravidlum prirazuje pomoci SPI. Takze je treba proverit, 
jestli navracejici se ESP paket ma "spravne" SPI - tedy totez, ktere ma 
odpovidajici SPD zaznam. Pokud ne, zname potiz. Pokud ano, mel by takovy 
paket smerovat k desifrovani. POkud si pamatuju dobre, tak v SAD se 
eviduje kolik byte bylo danym klicem zasifrovano/desifrovano (tedy 
doufam, ze se tam nascitavaji obe operace). Pokud se to cislo po 
prichodu paketu zvysi, pak by mel byt spravne desifrovan. Pokud se nam 
ztraci az ten, melo by se to projevit nekde v netstat statistikach ...

Co se tyce enc0, naprosto nikdy jsem ho nepouzil. Ale rada, co tu padla, 
ze na dumpovani musi byt "up" zni pravdepodobne. Pak by mohly dalsi 
uzitecne informace vypadnout z nej.


> jake staticke konfigurace pro routovani do IPSEC tunelu mas na mysli? Jak je vyrobit? 
> Treba mi chybi prave tohle...

V pripade IPSECu zadne routovani neexistuje. Ale to predbihame. 
Nekomplikujme si zivot, dokud na to neni spravny cas. Nejprve je treba 
rozfungovat komunikaci mezi obema stroji na koncich toho tunelu. Teprve 
az budes mit tohle, muzeme zacit resit takove veci jako je komunikace 
jinych stroju pres ten tunel.

					Dan



More information about the Users-l mailing list