IPSEC - prechod z ISA serveru
Dan Lukes
dan at obluda.cz
Mon Apr 20 22:54:28 CEST 2009
Josef Hrabec napsal/wrote, On 04/20/09 13:19:
>> A celkove mi nejak uniklo, co presne ti vlastne nefunguje (pokud ten
>> ping prochazi).
> Z klienta odchazi echo paket, tento paket je videt na internim interface routeru spravne jako prichozi. Na enc0 neni
> videt zadny paket. Na externim interface jsou videt esp pakety jak chodi
> sem a tam, tedy mezi externim interface FreeBSD a tim druhym vzdalenym
> koncem. Ale na internim interface se jiz odpoved na vysilane echo pakety
> neobjevi.
Takze - kyvadlove ESP pakety naznacuji, ze ping na druhou stranu dojde,
je spravne pochopen a vyvola odpoved, ktera prijde.
To znamena, ze v jednom smeru to je plne funkcni. Problem je s tim
druhym smerem - ESP paket, ktery dorazi neni spravne interpretovan.
Takze bud' ho zablokuje firewall jeste jako ESP paket. Nebo se ho
nepodari desifrovat. Nebo se ho podari desifrovat, ale vysledny paket
neco sezere (firewall). Nebo ho to nesezere, ale vybaleny paket neni
dorucitelny (treba nema spravnou adresu prijemce).
To, ze nam ani ESP paket ani desifrovany paket nezablokuje firewall
vyresis jednoduse - zadny tam po dobu pokusu mit aktivni nebudes.
Ja ted zrovna nikde IPSEC nemam (teda, skoro jiste nekde na nejakem
stroji, kde jsem to nekdy konfiguroval a stale tam mam prava bude, ale
zadny se mi nevybavuje) takze musim varit trochu z vody. Prichozi paket
se k IPSEC pravidlum prirazuje pomoci SPI. Takze je treba proverit,
jestli navracejici se ESP paket ma "spravne" SPI - tedy totez, ktere ma
odpovidajici SPD zaznam. Pokud ne, zname potiz. Pokud ano, mel by takovy
paket smerovat k desifrovani. POkud si pamatuju dobre, tak v SAD se
eviduje kolik byte bylo danym klicem zasifrovano/desifrovano (tedy
doufam, ze se tam nascitavaji obe operace). Pokud se to cislo po
prichodu paketu zvysi, pak by mel byt spravne desifrovan. Pokud se nam
ztraci az ten, melo by se to projevit nekde v netstat statistikach ...
Co se tyce enc0, naprosto nikdy jsem ho nepouzil. Ale rada, co tu padla,
ze na dumpovani musi byt "up" zni pravdepodobne. Pak by mohly dalsi
uzitecne informace vypadnout z nej.
> jake staticke konfigurace pro routovani do IPSEC tunelu mas na mysli? Jak je vyrobit?
> Treba mi chybi prave tohle...
V pripade IPSECu zadne routovani neexistuje. Ale to predbihame.
Nekomplikujme si zivot, dokud na to neni spravny cas. Nejprve je treba
rozfungovat komunikaci mezi obema stroji na koncich toho tunelu. Teprve
az budes mit tohle, muzeme zacit resit takove veci jako je komunikace
jinych stroju pres ten tunel.
Dan
More information about the Users-l
mailing list