hledani problemu s IPSec

Dan Lukes dan at obluda.cz
Wed May 31 16:14:07 CEST 2017

Previous message (by thread): hledani problemu s IPSec
Next message (by thread): hledani problemu s IPSec
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

Miroslav Lachman wrote:
> Kdyz si pustim ipsec a racoon na tom stroji a pak zkusim ping na cilovou 
> IP, tak v tcpdumpu vidim jen odchozi packet a zadnou odpoved
> 
> (IP adresy jsou zmenene na AA.BB.AA.BB a MM.NN.MM.NN
> 
> # tcpdump -i vmx1 -n -v host MM.NN.MM.NN
> tcpdump: listening on vmx1, link-type EN10MB (Ethernet), capture size 
> 65535 bytes
> 22:45:06.616001 IP (tos 0x0, ttl 64, id 25484, offset 0, flags [none], 
> proto UDP (17), length 128)
>      AA.BB.AA.BB.500 > MM.NN.MM.NN.500: isakmp 1.0 msgid 00000000: phase 
> 1 I ident:
>      (sa: doi=ipsec situation=identity
>          (p: #1 protoid=isakmp transform=1
>              (t: #1 id=ike (type=lifetype value=sec)(type=lifeduration 
> value=1c20)(type=enc value=3des)(type=auth value=preshared)(type=hash 
> value=sha1)(type=group desc value=modp1024))))
>      (vid: len=16)
> 
> 
> 
> Kdyz uz toho mam zapnuty log debug v racoon.conf, tak se mi do 
> /var/log/debug.log sype spousta informaci, ale zajimavy z toho je asi 
> jen tohle
> 
> 2017-05-30 22:46:33: DEBUG: resend phase1 packet 
> b7d73730b229d839:0000000000000000
> 2017-05-30 22:46:34: [MM.NN.MM.NN] ERROR: phase2 negotiation failed due 
> to time up waiting for phase1. ESP MM.NN.MM.NN[0]->AA.BB.AA.BB[0]
> 2017-05-30 22:46:34: INFO: delete phase 2 handler.
> 
> 
> Jak nejlepe overit, jestli je vubec pruchozi trasa mezi temi IPSec 
> endpointy? (tedy patrne protokol ESP)

ESP neni problem pro tuto chvili. Tak daleko ani nahodou nejsi. Nejprve 
musi racoon ziskat pro IPSEC klice a na to je treba nejprve projit pres 
fazi 1 a fazi 2 ISAKMP protokolu.

Z hlasku phase2 failed due phase1 timeout soudim, ze momentalne jeste 
nejsi uspesne ani za prvni fazi, takze ESP te jeste fakt palit nemusi ;-)

Tcpdump zachytil inicialni paket faze1 z tve strany a z te hlasky o 
timeutu hadam, ze odpoved nedorazila.

Ja si akorat uz nepamatuju, jestli ISAKMP server nejak reaguje, pokud od 
tebe prijde paket, kteremu nerozumi pripadne sice rozumi, ale jehoz 
parametry nejsou shledany prijatelne. Takze nevim jestli je chyba

1. na tve strane protoze ISAKMP pakety (coz jsou technicky UDP pakety z 
portu 500 na port 500)
    A) od tebe neprojdou ven (tvuj firewall)
    B) od nich neprojdou dovnitr (tvuj firewall)
    C) navrhuji parametry pro server neprijatelne (konfigurace racoon)
2. na jejich strane, protoze ISAKMP pakety
    A) od tebe neprojdou k nim (jejich firewall)
    B) od nich neprojdou k tobe (jejich firewall)
3. na strane nekoho jineho (protoze jeho firewall po ceste)

Co se navrhovanych parametru tyce - dovedu si predstavit, ze 3DES uz 
dneska akceptovany neni a modp1024 uz je taky diskutabilni. Pokud mas 
dokumentaci zalozenou na tehdejsich Vodafone specifikacich, nemusi to 
dneska spojeni umoznit. Chce se to podivat na soucasne Vodafone 
pozadavky. Doufejme, ze specifikaci mas nebo je jeji ziskani problem 
nekoho jineho - moje zkusenost se schopnosti Vodafone resit technicke 
problemy/poskytovat technicke informace je dost tristni.

Dan

Previous message (by thread): hledani problemu s IPSec
Next message (by thread): hledani problemu s IPSec
Messages sorted by: [ date ] [ thread ] [ subject ] [ author ]

More information about the Users-l mailing list