forum.opennet.ru - "racoon & ESP" (1)

форумы

помощь

поиск

регистрация

майллист

ВХОД

слежка

"racoon & ESP"

Форумы OpenNET: Виртуальная конференция (Public)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[Проследить за развитием треда]

"racoon & ESP"
Сообщение от taphy (ok) on 19-Май-06, 17:12
Доброго дня. Подскажите, плиз, в чем может быть проблема? Есть "стандартное" на базе isec & racoon (FreeBSD 5.3-RELEASE) [lan1]--[Freebds1]----inet---[FreeBSD2]---[lan2] (ipsec-tools-0.6.3) Все идет гладко, в логах никакой ругани. А вот приходящие esp пакет попросту игнорируются: tcpdump показывает, что пакеты есть, но никакой реакции на них нет. Такая ситуация в обоих направлениях. bash-3.00# tcpdump -pni rl0 host x.x.x.x tcpdump: verbose output suppressed, use -v or -vv for full protocol decode listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes 17:06:24.070758 IP x.x.x.x > y.y.y.y: ESP(spi=0x0f824c9b,seq=0x8) 17:06:27.068470 IP x.x.x.x > y.y.y.y: ESP(spi=0x0f824c9b,seq=0x9) 17:06:30.266302 IP x.x.x.x > y.y.y.y: ESP(spi=0x0f824c9b,seq=0xa) root@gate# ipfw sho 00001 8 912 allow esp from any to any 00001 11 1712 allow udp from any 500 to any dst-port 500 /var/log/racoon.log: 2006-05-19 16:59:47: INFO: IPsec-SA established: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=45728293(0x2b9c225) 2006-05-19 16:59:47: DEBUG: === 2006-05-19 16:59:47: DEBUG: get pfkey ADD message 2006-05-19 16:59:47: INFO: IPsec-SA established: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=6128402(0x5d8312) setkey -D: x.x.x.x y.y.y.y esp mode=tunnel spi=116537929(0x06f23a49) reqid=0(0x00000000) E: 3des-cbc 23e823ed 4731b551 79e822ba cc4c2715 1fa2e8cd c99109e2 A: hmac-sha1 25c741ba 64880c28 bad1d62e a3ba8506 bd7d48fa seq=0x00000024 replay=4 flags=0x00000000 state=mature created: May 19 16:35:46 2006 current: May 19 16:57:39 2006 diff: 1313(s) hard: 1800(s) soft: 1440(s) last: May 19 16:41:00 2006 hard: 0(s) soft: 0(s) current: 3952(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 36 hard: 0 soft: 0 sadb_seq=1 pid=79569 refcnt=2 y.y.y.y x.x.x.x esp mode=tunnel spi=255675560(0x0f3d4ca8) reqid=0(0x00000000) E: 3des-cbc c62bc034 c711ab4a 283d3e83 86403f72 bc855a4c 37feca1b A: hmac-sha1 213cd810 04d38771 384ab092 1912b80a b49b6b96 seq=0x00000000 replay=4 flags=0x00000000 state=mature created: May 19 16:35:46 2006 current: May 19 16:57:39 2006 diff: 1313(s) hard: 1800(s) soft: 1440(s) last: hard: 0(s) soft: 0(s) current: 0(bytes) hard: 0(bytes) soft: 0(bytes) allocated: 0 hard: 0 soft: 0 sadb_seq=0 pid=79569 refcnt=1
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Оглавление

racoon & ESP, Ilia Kuliev, 20:57 , 19-Май-06, (1)

Сообщения по теме [Сортировка по времени, UBB]

1. "racoon & ESP"

Сообщение от Ilia Kuliev on 19-Май-06, 20:57

>Доброго дня. Подскажите, плиз, в чем может быть проблема?
>
>Есть "стандартное"  на базе isec & racoon (FreeBSD 5.3-RELEASE)
>[lan1]--[Freebds1]----inet---[FreeBSD2]---[lan2]
>(ipsec-tools-0.6.3)
>
>Все идет гладко, в логах никакой ругани. А вот приходящие esp пакет
>попросту игнорируются: tcpdump показывает, что пакеты есть, но никакой реакции на
>них нет. Такая ситуация в обоих направлениях.
>bash-3.00# tcpdump -pni rl0 host x.x.x.x
>tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
>
>listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes
>17:06:24.070758 IP x.x.x.x > y.y.y.y: ESP(spi=0x0f824c9b,seq=0x8)
>17:06:27.068470 IP x.x.x.x > y.y.y.y: ESP(spi=0x0f824c9b,seq=0x9)
>17:06:30.266302 IP x.x.x.x > y.y.y.y: ESP(spi=0x0f824c9b,seq=0xa)
>
>root@gate# ipfw sho
>00001       8
>  912 allow esp from any to any
>00001      11
>1712 allow udp from any 500 to any dst-port 500
>
>/var/log/racoon.log:
>2006-05-19 16:59:47: INFO: IPsec-SA established: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=45728293(0x2b9c225)
>2006-05-19 16:59:47: DEBUG: ===
>2006-05-19 16:59:47: DEBUG: get pfkey ADD message
>2006-05-19 16:59:47: INFO: IPsec-SA established: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=6128402(0x5d8312)
>
>setkey -D:
>x.x.x.x y.y.y.y
>        esp mode=tunnel spi=116537929(0x06f23a49) reqid=0(0x00000000)
>
>        E: 3des-cbc  23e823ed
>4731b551 79e822ba cc4c2715 1fa2e8cd c99109e2
>        A: hmac-sha1  25c741ba
>64880c28 bad1d62e a3ba8506 bd7d48fa
>        seq=0x00000024 replay=4 flags=0x00000000 state=mature
>
>        created: May 19 16:35:46
>2006   current: May 19 16:57:39 2006
>        diff: 1313(s)
>hard: 1800(s)   soft: 1440(s)
>        last: May 19 16:41:00
>2006      hard: 0(s)
>  soft: 0(s)
>        current: 3952(bytes)
> hard: 0(bytes)  soft: 0(bytes)
>        allocated: 36
>hard: 0 soft: 0
>        sadb_seq=1 pid=79569 refcnt=2
>y.y.y.y x.x.x.x
>        esp mode=tunnel spi=255675560(0x0f3d4ca8) reqid=0(0x00000000)
>
>        E: 3des-cbc  c62bc034
/.../
А скажите, вас не удивляет тот факт, что SPI выдаваемые по setkey -D, и выводимые в лог racoon имеют разные цифры?

Правка | Высказать мнение | Ответить | Cообщить модератору | Наверх

Архив | Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Оцените тред (1=ужас, 5=супер)? [ 1 | 2 | 3 | 4 | 5 ] [Рекомендовать для помещения в FAQ]

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "racoon & ESP"
Сообщение от Ilia Kuliev on 19-Май-06, 20:57
>Доброго дня. Подскажите, плиз, в чем может быть проблема? > >Есть "стандартное" на базе isec & racoon (FreeBSD 5.3-RELEASE) >[lan1]--[Freebds1]----inet---[FreeBSD2]---[lan2] >(ipsec-tools-0.6.3) > >Все идет гладко, в логах никакой ругани. А вот приходящие esp пакет >попросту игнорируются: tcpdump показывает, что пакеты есть, но никакой реакции на >них нет. Такая ситуация в обоих направлениях. >bash-3.00# tcpdump -pni rl0 host x.x.x.x >tcpdump: verbose output suppressed, use -v or -vv for full protocol decode > >listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes >17:06:24.070758 IP x.x.x.x > y.y.y.y: ESP(spi=0x0f824c9b,seq=0x8) >17:06:27.068470 IP x.x.x.x > y.y.y.y: ESP(spi=0x0f824c9b,seq=0x9) >17:06:30.266302 IP x.x.x.x > y.y.y.y: ESP(spi=0x0f824c9b,seq=0xa) > >root@gate# ipfw sho >00001 8 > 912 allow esp from any to any >00001 11 >1712 allow udp from any 500 to any dst-port 500 > >/var/log/racoon.log: >2006-05-19 16:59:47: INFO: IPsec-SA established: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=45728293(0x2b9c225) >2006-05-19 16:59:47: DEBUG: === >2006-05-19 16:59:47: DEBUG: get pfkey ADD message >2006-05-19 16:59:47: INFO: IPsec-SA established: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=6128402(0x5d8312) > >setkey -D: >x.x.x.x y.y.y.y > esp mode=tunnel spi=116537929(0x06f23a49) reqid=0(0x00000000) > > E: 3des-cbc 23e823ed >4731b551 79e822ba cc4c2715 1fa2e8cd c99109e2 > A: hmac-sha1 25c741ba >64880c28 bad1d62e a3ba8506 bd7d48fa > seq=0x00000024 replay=4 flags=0x00000000 state=mature > > created: May 19 16:35:46 >2006 current: May 19 16:57:39 2006 > diff: 1313(s) >hard: 1800(s) soft: 1440(s) > last: May 19 16:41:00 >2006 hard: 0(s) > soft: 0(s) > current: 3952(bytes) > hard: 0(bytes) soft: 0(bytes) > allocated: 36 >hard: 0 soft: 0 > sadb_seq=1 pid=79569 refcnt=2 >y.y.y.y x.x.x.x > esp mode=tunnel spi=255675560(0x0f3d4ca8) reqid=0(0x00000000) > > E: 3des-cbc c62bc034 /.../ А скажите, вас не удивляет тот факт, что SPI выдаваемые по setkey -D, и выводимые в лог racoon имеют разные цифры?
Правка \| Высказать мнение \| Ответить \| Cообщить модератору \| Наверх

Архив \| Удалить	Индекс форумов \| Темы \| Пред. тема \| След. тема
Оцените тред (1=ужас, 5=супер)? [ 1 \| 2 \| 3 \| 4 \| 5 ] [Рекомендовать для помещения в FAQ]