Разве строчки с "my_identifier address" и "peers_identifier address" в "racoon.conf" не должны определять разные ID на инициаторе?03.02.04 15:54 Число просмотров: 1979 Автор: Damage Статус: Незарегистрированный пользователь
> > isakmp.c:1139:isakmp_parsewoh(): seen nptype=5(id) > > 2004-02-02 16:37:36: DEBUG: > > isakmp.c:1139:isakmp_parsewoh(): seen nptype=5(id) > > 2004-02-02 16:37:36: DEBUG: > > Это должны быть initiator ID и responder ID > соответственно. Поля эти используются опционально и их > использование зависит от решения инициатора соединения. > Одинаковые ID - это не правильно. Посмотрите настройки > (если они есть) параметров использования этих полей (в > приведенных настройках я их не увидел, там содержатся > только параметры контекста безопасности). >
См. строчку в приведенном файле racoon.conf в разделе remote anonymous:
....
remote anonymous
{
# exchange_mode main,aggressive;
exchange_mode aggressive, main;
doi ipsec_doi;
#situation identity_only;
Trouble,configuring ipsec tunnel with ike within solaris9 and freebsd.02.02.04 20:02 [JINN, !mm, fly4life, ZaDNiCa] Автор: Damage Статус: Незарегистрированный пользователь
There is an aim to establish tunnel 10.0.2.108 (Solaris Host) - 10.0.1.108 (Solaris Gateway) < - > 10.0.1.109 (FreeBSD Gateway) - 10.0.1.109 (FreeBSD Host).
If Solaris-Gateway is Initiator and FreeBSD-Gateway is Responder then -> all ok. But if FreeBSD is Initiator there is touble on Phase 2 of IKE proceccing.
Here is configs for Solaris:
File -> ipsecinit.conf:
{laddr 10.0.1.108 raddr 10.0.1.109} ipsec {encr_algs any encr_auth_algs any sa shared}
{laddr 10.0.1.109 raddr 10.0.1.108} ipsec {encr_algs any encr_auth_algs any sa shared}
File -> ike.preshared:
{ # sun-ca_server preshared
localidtype IP
localid 10.0.1.108
remoteidtype IP
remoteid 10.0.1.109
#preshared key
key 282828282828282828282129292929292929292929
}
ifconfig trace(Solaris):
lo0: flags=1000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4> mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
le0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
inet 10.0.1.108 netmask ffffff00 broadcast 10.0.1.255
ether 8:0:20:91:ce:e7
le0:1: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
inet 10.0.0.108 netmask ffffff00 broadcast 10.255.255.255
le0:2: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
inet 10.0.2.108 netmask ffffff00 broadcast 10.255.255.255
ip.tun0: flags=10028d1<UP,POINTOPOINT,RUNNING,NOARP,MULTICAST,UNNUMBERED,IPv4> mtu 1480 index 4
inet tunnel src 10.0.1.108 tunnel dst 10.0.1.109
tunnel security settings esp (3des-cbc/hmac-md5)
tunnel hop limit 60
inet 10.0.2.108 --> 10.0.2.109 netmask ffffff00
Here is configs for FreeBSD Gateway:
Ipsec policy File:
spdadd 0.0.0.0 0.0.0.0 any -P out ipsec esp/tunnel/10.0.1.109-10.0.1.108/require;
spdadd 0.0.0.0 0.0.0.0 any -P in ipsec esp/tunnel/10.0.1.108-10.0.1.109/require;
spdadd 10.0.2.109 10.0.2.108 any -P out ipsec esp/tunnel/10.0.1.109-10.0.1.108/require;
spdadd 10.0.2.108 10.0.2.109 any -P in ipsec esp/tunnel/10.0.1.108-10.0.1.109/require;
IKE daemon File -> racoon.conf:
# "padding" defines some parameter of padding. You should not touch these.
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
# if no listen directive is specified, racoon will listen to all
# available interface addresses.
listen
{
#isakmp ::1 [7000];
#isakmp 202.249.11.124 [500];
#admin [7002]; # administrative's port by kmpstat.
#strict_address; # required all addresses must be bound.
}
# Specification of default various timer.
timer
{
# These value can be changed per remote node.
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per a send.
# timer for waiting to complete each phase.
phase1 30 sec;
phase2 30 sec;
}
> isakmp.c:1139:isakmp_parsewoh(): seen nptype=5(id) > 2004-02-02 16:37:36: DEBUG: > isakmp.c:1139:isakmp_parsewoh(): seen nptype=5(id) > 2004-02-02 16:37:36: DEBUG:
Это должны быть initiator ID и responder ID соответственно. Поля эти используются опционально и их использование зависит от решения инициатора соединения. Одинаковые ID - это не правильно. Посмотрите настройки (если они есть) параметров использования этих полей (в приведенных настройках я их не увидел, там содержатся только параметры контекста безопасности).
2JINN & Imm0rtal:
За что штраф?
Разве строчки с "my_identifier address" и "peers_identifier address" в "racoon.conf" не должны определять разные ID на инициаторе?03.02.04 15:54 Автор: Damage Статус: Незарегистрированный пользователь
> > isakmp.c:1139:isakmp_parsewoh(): seen nptype=5(id) > > 2004-02-02 16:37:36: DEBUG: > > isakmp.c:1139:isakmp_parsewoh(): seen nptype=5(id) > > 2004-02-02 16:37:36: DEBUG: > > Это должны быть initiator ID и responder ID > соответственно. Поля эти используются опционально и их > использование зависит от решения инициатора соединения. > Одинаковые ID - это не правильно. Посмотрите настройки > (если они есть) параметров использования этих полей (в > приведенных настройках я их не увидел, там содержатся > только параметры контекста безопасности). >
См. строчку в приведенном файле racoon.conf в разделе remote anonymous:
....
remote anonymous
{
# exchange_mode main,aggressive;
exchange_mode aggressive, main;
doi ipsec_doi;
#situation identity_only;
Строки seen nptype=5(id) - это тип обрабатываемого поля (ID), а не его содержимое.
Так понимаю, что то, что выдол plogdump - проблемный пакет. Есть утилита petscview для просмотра таких дампов (сейчас FreeBSD под рукой нет).
В ручную разобрать не получается. Исходя из формата IKE пакета первые 4 и 4-е 4 байта с конца - адреса респондера и инициатора соответственно.
Возможно вообще отключить использование идентификационных частей?
подробно о проекте
Анализ криптографических сетевых...
новое сообщение
закрытая нитка
новое сообщение
в закрытой нитке
старое сообщение
