LINUX.ORG.RU
ФорумAdmin

А ipsec умеет отдавать инфу в машиночитаемом виде?

 ,


0

1 
$ sudo ipsec statusall
Status of IKE charon daemon (strongSwan 5.3.4, Linux 4.4.14, x86_64):
  uptime: 4 days, since Feb 08 21:28:27 2021
  malloc: sbrk 2297856, mmap 0, used 280192, free 2017664
  worker threads: 11 of 16 idle, 5/0/0/0 working, job queue: 0/0/0/0, scheduled: 4
  loaded plugins: charon aes des rc2 sha1 sha2 md5 random nonce x509 revocation constraints pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem fips-prf gmp xcbc cmac hmac attr kernel-netlink resolve socket-default stroke updown xauth-generic
Listening IP addresses:
  xxx.xxx.xxx.xxx
  xxx.xxx.xxx.xxx
Connections:
        xxx:  %any...xxx.xxx.xxx.xxx  IKEv2
        xxx:   local:  [pro2269] uses pre-shared key authentication
        xxx:   remote: [xxx.xxx.xxx.xxx] uses pre-shared key authentication
        xxx:   child:  dynamic === 0.0.0.0/0 TUNNEL
Security Associations (1 up, 0 connecting):
        xxx[108]: ESTABLISHED 36 minutes ago, xxx.xxx.xxx.xxx[hostname]...xxx.xxx.xxx.xxx[xxx.xxx.xxx.xxx]
        xxx[108]: IKEv2 SPIs: 2c027681f7a9917f_i* 5502946723f0484b_r, pre-shared key reauthentication in 16 minutes
        xxx[108]: IKE proposal: AES_CBC_128/HMAC_SHA1_96/PRF_HMAC_SHA1/MODP_2048
        xxx{431}:  INSTALLED, TUNNEL, reqid 108, ESP in UDP SPIs: c2ca3a8c_i c587179c_o
        xxx{431}:  AES_CBC_128/HMAC_SHA1_96, 9525 bytes_i (88 pkts, 0s ago), 7977 bytes_o (62 pkts, 6s ago), rekeying in 7 minutes
        xxx{431}:   xxx.xxx.xxx.0/32 === xxx.xxx.xxx.0/27

Как мне получить имя xxx и сколько секунд назад (bytes_i Ns ago) пришел последний пакет без того, чтобы парсить это всё вприсядку регэкспами в надежде что не сменится алгоритм? Есть у ipsec какой-нибудь адекватный машиночитаемый выхлоп?

Ставить новые пакеты нельзя.

★★★★★
centos6: Error: Cannot find a valid baseurl for repo: cr
Netplan перейти на него с готовой конфигурации ifupdown

чтобы парсить это всё вприсядку регэкспами в надежде что не сменится алгоритм?

А чем ты будешь парсить машиночитаемый выхлоп и почему ты решил что алгоритм его вывода не изменится?

https://libreswan.org/wiki/How_to_read_status_output

zgen ★★★★★
()
Последнее исправление: zgen (всего исправлений: 2)

Ставить новые пакеты нельзя.


Аааа, ну иди на *** тогда.

zgen ★★★★★
()
Ответ на: комментарий от Bloody

Недоступен для целевого дистрибутива

PPP328 ★★★★★
() автор топика
Ответ на: комментарий от NDfan 
~
$ sudo ipsec whack --status
/usr/sbin/ipsec: unknown IPsec command `whack' (`ipsec --help' for list)


~
$ sudo ipsec --version
Linux strongSwan U5.3.4/K4.4.14
Institute for Internet Technologies and Applications
University of Applied Sciences Rapperswil, Switzerland
See 'ipsec --copyright' for copyright information.
PPP328 ★★★★★
() автор топика
Последнее исправление: PPP328 (всего исправлений: 1)
Ответ на: комментарий от PPP328

А, ну у LibreSwan работает.

Тогда из очевидного только такое https://wiki.strongswan.org/projects/strongswan/wiki/Win7EapStatus

и swanctl может что умеет дополнительное (наверняка можно обыграть в т.ч. и portable-вариант без установки).

Вообще, вряд ли силами управляющих утилит такую специфическую информацию удастся собрать.

NDfan
()
Ответ на: комментарий от NDfan

Печально. Видимо когда их писали не предполагали что кто-то захочет построить автоматику на значении статуса.

PPP328 ★★★★★
() автор топика 
ip -statistics xfrm policy get селектор
thesis ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
centos6: Error: Cannot find a valid baseurl for repo: cr
Admin
Netplan перейти на него с готовой конфигурации ifupdown