© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
In epistula a Thomas Beer, die horaque Mon, Nov 29, 2004 at 06:05:04PM +0100:
> Hi,
>
Guten Abend,
> setkey -D
Zur Erklärung, weil einen die Ausgaben normalerweise erschlagen:
> 192.168.2.2 192.168.2.8
Ist klar: Quell- und Zieladdressen.
> esp mode=tunnel spi=427292166(0x1977f606) reqid=0(0x00000000)
Heißt, diese Security Association bezeichnet einen ESP-Tunnel mit
dem Security Parameter Index (sowas wie eine eindeutige ID):
0x1977f606. Der wird in den ESP-Paketen zur Identifizierung
der Pakete benutzt, damit beide Seiten wissen, ob sie mit dem
Paket was anfangen können und, wenn ja, was für Algorithmen
sie auf das Paket anwenden sollen.
> E: 3des-cbc e0218046 3bce8e48 bb33ebdd b665aed9 937b4576 145c6a15
> A: hmac-sha1 57b629f6 3b9ffff3 c473b193 b9545444 20cf54f4
Protokollparameter: Mit 3DES und dem angegebenen Schlüssel verschlüsseln
und mit HMAC-SHA1 und dem angegebenen Schlüssel authentifizieren.
> seq=0x00000281 replay=4 flags=0x00000000 state=mature
Die Sequenznummer ist hier nicht Null, da die sich immer
vergrößern muß, kann man sehen, daß das System diese Policy schon
benutzt hat.
> [root(at)amd root]# setkey -DP
Das sind die Security Policies, die angeben, wann eine SA (siehe oben)
auf ein Paket angewandt wird.
> 192.168.2.8[any] 0.0.0.0/0[any] any
Von 192.168.2.8 auf jedem Port überallhin mit jedem "Unterprotokoll"
> in ipsec
sofern das Paket reinkommt
> esp/tunnel/192.168.2.8-192.168.2.2/require
wird getunnelt.
> > % ipseccmd show all
> >
> > auf Windows (ohne eventuelle Shared-Secrets natürlich ;-)) wäre
> > nicht schlecht.
>
> das Kommando hat mein XP (Professional!) nicht?!
Sorry, ich hab's in der Dokumentation überlesen. Ist Teil von den
Support Tools [1].
> >
> > % tcpdump -vvvv -i <if>
> > rechnerB% ping rechnerB
>
> von dem was ich im tcpdump sehe, gehe ich davon aus, dass
> beide miteinander kommunizieren. XP zeigt mir auch den
> Austausch von Pakteten an. Ich seh auch die Mac Adresse des
> XP Rechners unter FBSD.
>
Wenn ich jetzt mal davon ausgehe, daß sich zwischen den Aufrufen
von setkey oben und dem tcpdump keine Neuaushandlung der Schlüssel
befindet (unwahrscheinlich, weil eine SPI noch übereinstimmt), dann
ist hier irgendetwas falsch gelaufen:
> tcpdump -i wi0 -t
> tcpdump: listening on wi0
> wifi.mobile > ibm.mobile: ESP(spi=0x1977f606,seq=0x2b6)
> wifi.mobile > ibm.mobile: ESP(spi=0x1977f606,seq=0x2b7)
> wifi.mobile > ibm.mobile: ESP(spi=0x1977f606,seq=0x2b8)
> wifi.mobile > ibm.mobile: ESP(spi=0x1977f606,seq=0x2b9)
Das dürften deine ICMP-Pakete vom Ping sein.
> ibm.mobile > wifi.mobile: ESP(spi=0x00bd4cfa,seq=0x15)
Die Zeile verwundert mich hier kommt an der Maschine
ein Paket mit einem SPI an, der auf FreeBSD-Seite unbekannt ist.
Eigentlich sollte hier spi=0x0bb7f439 stehen. In der Ausgabe
von ipseccmd sieht man dann, was für Policies auf Windows-Seite
installiert sind. Es müssen dieselben mit vertauschten Quell-
und Zieladdressen sein.
Ich würde mir die Debug-Ausgaben von racoon und dem Oakley-Dienst
unter Windows (zum Aktivieren siehe Links in vorheriger Mail) ansehen.
Gruß,
Peter
PS.: IPsec ist wirklich toll ... aber nur, wenn es
auf Anhieb funktioniert ;-)
[1] http://www.microsoft.com/resources/documentation/windows/xp/all/proddocs/en-us/ipsecmd.mspx
-- Wir leben in einer Welt, worin ein Narr viele Narren, aber ein weiser Mann nur wenige Weise macht. -- Immanuel Kant To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Mon 29 Nov 2004 - 20:35:42 CET