Miroslav Lachman wrote:
Kdyz si pustim ipsec a racoon na tom stroji a pak zkusim ping na cilovou
IP, tak v tcpdumpu vidim jen odchozi packet a zadnou odpoved
(IP adresy jsou zmenene na AA.BB.AA.BB a MM.NN.MM.NN
# tcpdump -i vmx1 -n -v host MM.NN.MM.NN
tcpdump: listening on vmx1, link-type EN10MB (Ethernet), capture size
65535 bytes
22:45:06.616001 IP (tos 0x0, ttl 64, id 25484, offset 0, flags [none],
proto UDP (17), length 128)
AA.BB.AA.BB.500 > MM.NN.MM.NN.500: isakmp 1.0 msgid 00000000: phase
1 I ident:
(sa: doi=ipsec situation=identity
(p: #1 protoid=isakmp transform=1
(t: #1 id=ike (type=lifetype value=sec)(type=lifeduration
value=1c20)(type=enc value=3des)(type=auth value=preshared)(type=hash
value=sha1)(type=group desc value=modp1024))))
(vid: len=16)
Kdyz uz toho mam zapnuty log debug v racoon.conf, tak se mi do
/var/log/debug.log sype spousta informaci, ale zajimavy z toho je asi
jen tohle
2017-05-30 22:46:33: DEBUG: resend phase1 packet
b7d73730b229d839:0000000000000000
2017-05-30 22:46:34: [MM.NN.MM.NN] ERROR: phase2 negotiation failed due
to time up waiting for phase1. ESP MM.NN.MM.NN[0]->AA.BB.AA.BB[0]
2017-05-30 22:46:34: INFO: delete phase 2 handler.
Jak nejlepe overit, jestli je vubec pruchozi trasa mezi temi IPSec
endpointy? (tedy patrne protokol ESP)
ESP neni problem pro tuto chvili. Tak daleko ani nahodou nejsi. Nejprve
musi racoon ziskat pro IPSEC klice a na to je treba nejprve projit pres
fazi 1 a fazi 2 ISAKMP protokolu.
Z hlasku phase2 failed due phase1 timeout soudim, ze momentalne jeste
nejsi uspesne ani za prvni fazi, takze ESP te jeste fakt palit nemusi ;-)
Tcpdump zachytil inicialni paket faze1 z tve strany a z te hlasky o
timeutu hadam, ze odpoved nedorazila.
Ja si akorat uz nepamatuju, jestli ISAKMP server nejak reaguje, pokud od
tebe prijde paket, kteremu nerozumi pripadne sice rozumi, ale jehoz
parametry nejsou shledany prijatelne. Takze nevim jestli je chyba
1. na tve strane protoze ISAKMP pakety (coz jsou technicky UDP pakety z
portu 500 na port 500)
A) od tebe neprojdou ven (tvuj firewall)
B) od nich neprojdou dovnitr (tvuj firewall)
C) navrhuji parametry pro server neprijatelne (konfigurace racoon)
2. na jejich strane, protoze ISAKMP pakety
A) od tebe neprojdou k nim (jejich firewall)
B) od nich neprojdou k tobe (jejich firewall)
3. na strane nekoho jineho (protoze jeho firewall po ceste)
Co se navrhovanych parametru tyce - dovedu si predstavit, ze 3DES uz
dneska akceptovany neni a modp1024 uz je taky diskutabilni. Pokud mas
dokumentaci zalozenou na tehdejsich Vodafone specifikacich, nemusi to
dneska spojeni umoznit. Chce se to podivat na soucasne Vodafone
pozadavky. Doufejme, ze specifikaci mas nebo je jeji ziskani problem
nekoho jineho - moje zkusenost se schopnosti Vodafone resit technicke
problemy/poskytovat technicke informace je dost tristni.
Dan
--
FreeBSD mailing list (users-l@freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l
