VPN L2TP/Racoon/IPSec

mytrix mytrix at net4you.cz
Thu Apr 28 15:07:16 CEST 2005


Dekuji za analýzu. Pokusím se upravit nastavení dle vašich rad a případně se
ozvu.

-----Original Message-----
From: users-l-bounces at freebsd.cz [mailto:users-l-bounces at freebsd.cz] On
Behalf Of Dan Lukes
Sent: Thursday, April 28, 2005 1:43 PM
To: FreeBSD mailing list
Subject: Re: VPN L2TP/Racoon/IPSec

mytrix napsal/wrote, On 04/28/05 12:30:
> Debug log z Racoona je dostupny zde
http://phoenix.net4you.cz/racoon.log.txt

	Jak uz jsem psal, rozchodte nejprve IPSEC a az ho budetemit funkcni,

tak se teprve poustejte do dalsiho. Z LOGu me zaujalo:

 > oakley.c:1237:oakley_validate_auth(): HASH for PSK validated.

To znamena, ze key mate skutecne spravne.

 > isakmp_quick.c:2017:get_proposal_r():
 >    no policy found, try to generate the policy :
 >    192.168.10.2/32[1701] 192.168.10.1/32[1701] proto=udp dir=in

	Jestli to spravne chapu, tak v SPD mate predvyplneno neco jako
192.168.10.1/32[1701] 0.0.0.0/0[0] proto=any dir=in ...
0.0.0.0/0[0] 192.168.10.1/32[1701] proto=any dir=out

	Prichazejici pozadavek je ale jiny,
192.168.10.2/32[1701] 192.168.10.1/32[1701] proto=udp dir=in
... a tak se zadny z predvyplnenych nepouzije. Misto toho se zalozi novy 
SP zaznam, jehoz parametry se prevezmou z konfigurace racoona.

	Jedna z moznosti tedy je, ze to co se vytvori neni vyhovujici.
Osobne 
bych pro zacatek zkusil do SPD predvyplnit zaznamy presne odpovidajici 
prichazejicim pozadavkum.

	Nasledujici dlouhatansky kus LOGu (vcetne prorezanych casti) se
zabyva 
analyzou a provnavanim nabizenych transformaci.

	Z nasi strany jde o:
proto_id=ESP encmode=Transport trns_id=3DES authtype=hmac-sha

Druha strana ovsem nenabizi noc lepsiho, nez
proto_id=ESP encmode=Transport trns_id=DES authtype=hmac-md5)

	Tam neni shoda ani v pouzitem sifrovani, ani v hashovaci funkci.

	Soudim tedy, ze parametry vlozene automaticky do SPD na zaklade 
konfigurace prevzate z konfiguracnoho souboru racoona jsou neslucitelne 
s aktualni konfiguraci IPSECu ve Windows.

	A to je patrne cely problem.

	Osobne si myslim, ze - tedy - pokud opravdu zamyslite vubec IPSEC 
pouzivat - je nutne nejprve dukladne znovu projit konfiguraci IPSEC ve 
Windows. Myslim, z evyhodn eby bylo omezit sirku nabizenych kombinaci 
transformaci, sifrovani a tak dale - LOG se vam tim dost zjednodusi. 
Zejmena je ovsem dulezite nastavit tam ty vlastnosti, jake byste 
skutecne rad v ramci IPSECu mel.

	Konformne s tim je pak nutne nastavit SPD tabulky na strane FreeBSD 
nebo, pokud byste trval na automaticky generovanych policy, pak 
konfiguraci racoona.

							Dan
-- 
FreeBSD mailing list (users-l at freebsd.cz)
http://www.freebsd.cz/listserv/listinfo/users-l





More information about the Users-l mailing list