URL: https://www.opennet.me/cgi-bin/openforum/vsluhboard.cgi
Форум: vsluhforumID1
Нить номер: 66412
[ Назад ]

Исходное сообщение
"racoon & ESP"
Отправлено taphy , 19-Май-06 17:12

Доброго дня. Подскажите, плиз, в чем может быть проблема?
Есть "стандартное"  на базе isec & racoon (FreeBSD 5.3-RELEASE)
[lan1]--[Freebds1]----inet---[FreeBSD2]---[lan2]
(ipsec-tools-0.6.3)
Все идет гладко, в логах никакой ругани. А вот приходящие esp пакет попросту игнорируются: tcpdump показывает, что пакеты есть, но никакой реакции на них нет. Такая ситуация в обоих направлениях.
bash-3.00# tcpdump -pni rl0 host x.x.x.x
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes
17:06:24.070758 IP x.x.x.x > y.y.y.y: ESP(spi=0x0f824c9b,seq=0x8)
17:06:27.068470 IP x.x.x.x > y.y.y.y: ESP(spi=0x0f824c9b,seq=0x9)
17:06:30.266302 IP x.x.x.x > y.y.y.y: ESP(spi=0x0f824c9b,seq=0xa)
root@gate# ipfw sho
00001       8       912 allow esp from any to any
00001      11      1712 allow udp from any 500 to any dst-port 500
/var/log/racoon.log:
2006-05-19 16:59:47: INFO: IPsec-SA established: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=45728293(0x2b9c225)
2006-05-19 16:59:47: DEBUG: ===
2006-05-19 16:59:47: DEBUG: get pfkey ADD message
2006-05-19 16:59:47: INFO: IPsec-SA established: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=6128402(0x5d8312)
setkey -D:
x.x.x.x y.y.y.y
        esp mode=tunnel spi=116537929(0x06f23a49) reqid=0(0x00000000)
        E: 3des-cbc  23e823ed 4731b551 79e822ba cc4c2715 1fa2e8cd c99109e2
        A: hmac-sha1  25c741ba 64880c28 bad1d62e a3ba8506 bd7d48fa
        seq=0x00000024 replay=4 flags=0x00000000 state=mature
        created: May 19 16:35:46 2006   current: May 19 16:57:39 2006
        diff: 1313(s)   hard: 1800(s)   soft: 1440(s)
        last: May 19 16:41:00 2006      hard: 0(s)      soft: 0(s)
        current: 3952(bytes)    hard: 0(bytes)  soft: 0(bytes)
        allocated: 36   hard: 0 soft: 0
        sadb_seq=1 pid=79569 refcnt=2
y.y.y.y x.x.x.x
        esp mode=tunnel spi=255675560(0x0f3d4ca8) reqid=0(0x00000000)
        E: 3des-cbc  c62bc034 c711ab4a 283d3e83 86403f72 bc855a4c 37feca1b
        A: hmac-sha1  213cd810 04d38771 384ab092 1912b80a b49b6b96
        seq=0x00000000 replay=4 flags=0x00000000 state=mature
        created: May 19 16:35:46 2006   current: May 19 16:57:39 2006
        diff: 1313(s)   hard: 1800(s)   soft: 1440(s)
        last:                           hard: 0(s)      soft: 0(s)
        current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
        allocated: 0    hard: 0 soft: 0
        sadb_seq=0 pid=79569 refcnt=1

Содержание

racoon & ESP,Ilia Kuliev, 20:57 , 19-Май-06

Сообщения в этом обсуждении

"racoon & ESP"
Отправлено Ilia Kuliev , 19-Май-06 20:57

>Доброго дня. Подскажите, плиз, в чем может быть проблема?
>
>Есть "стандартное"  на базе isec & racoon (FreeBSD 5.3-RELEASE)
>[lan1]--[Freebds1]----inet---[FreeBSD2]---[lan2]
>(ipsec-tools-0.6.3)
>
>Все идет гладко, в логах никакой ругани. А вот приходящие esp пакет
>попросту игнорируются: tcpdump показывает, что пакеты есть, но никакой реакции на
>них нет. Такая ситуация в обоих направлениях.
>bash-3.00# tcpdump -pni rl0 host x.x.x.x
>tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
>
>listening on rl0, link-type EN10MB (Ethernet), capture size 96 bytes
>17:06:24.070758 IP x.x.x.x > y.y.y.y: ESP(spi=0x0f824c9b,seq=0x8)
>17:06:27.068470 IP x.x.x.x > y.y.y.y: ESP(spi=0x0f824c9b,seq=0x9)
>17:06:30.266302 IP x.x.x.x > y.y.y.y: ESP(spi=0x0f824c9b,seq=0xa)
>
>root@gate# ipfw sho
>00001       8
>  912 allow esp from any to any
>00001      11
>1712 allow udp from any 500 to any dst-port 500
>
>/var/log/racoon.log:
>2006-05-19 16:59:47: INFO: IPsec-SA established: ESP/Tunnel y.y.y.y[0]->x.x.x.x[0] spi=45728293(0x2b9c225)
>2006-05-19 16:59:47: DEBUG: ===
>2006-05-19 16:59:47: DEBUG: get pfkey ADD message
>2006-05-19 16:59:47: INFO: IPsec-SA established: ESP/Tunnel x.x.x.x[0]->y.y.y.y[0] spi=6128402(0x5d8312)
>
>setkey -D:
>x.x.x.x y.y.y.y
>        esp mode=tunnel spi=116537929(0x06f23a49) reqid=0(0x00000000)
>
>        E: 3des-cbc  23e823ed
>4731b551 79e822ba cc4c2715 1fa2e8cd c99109e2
>        A: hmac-sha1  25c741ba
>64880c28 bad1d62e a3ba8506 bd7d48fa
>        seq=0x00000024 replay=4 flags=0x00000000 state=mature
>
>        created: May 19 16:35:46
>2006   current: May 19 16:57:39 2006
>        diff: 1313(s)
>hard: 1800(s)   soft: 1440(s)
>        last: May 19 16:41:00
>2006      hard: 0(s)
>  soft: 0(s)
>        current: 3952(bytes)
> hard: 0(bytes)  soft: 0(bytes)
>        allocated: 36
>hard: 0 soft: 0
>        sadb_seq=1 pid=79569 refcnt=2
>y.y.y.y x.x.x.x
>        esp mode=tunnel spi=255675560(0x0f3d4ca8) reqid=0(0x00000000)
>
>        E: 3des-cbc  c62bc034
/.../
А скажите, вас не удивляет тот факт, что SPI выдаваемые по setkey -D, и выводимые в лог racoon имеют разные цифры?