LINUX.ORG.RU
ФорумAdmin

ipsec+raconn, трафик не шифруется


0

1

Доброго времени суток. Имеется два сервера с двумя сетевыми картами. Одна из карт eth0 смотрит в локальную сеть, вторая карта eth1 подключена в VLAN (он соединяет eth1 на двух серверах). Проблема в том, что судя по выхлопу tcpdump'а трафик не шифруется. Т.е. всё содержимое пакетов, что проходят между eth1 одного сервера и eth1 второго видно. Так же, если намеренно внести неверные данные в конфиг то пакеты перестают ходить (т.е. связь через ipsec+racoon есть).

host1 (192.168.129.184/22, 10.0.0.1/24)

ipsec-tools.conf 

#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.156.0/22 192.168.128.0/22 any -P in ipsec esp/tunnel/10.0.0.2-10.0.0.1/require;
spdadd 192.168.128.0/22 192.168.156.0/22 any -P out ipsec esp/tunnel/10.0.0.1-10.0.0.2/require;

racoon.conf 

path pre_shared_key "/etc/racoon/psk.txt";

log info;

listen {
	isakmp 10.0.0.1 [500];
}

remote 10.0.0.2 {
	my_identifier address 10.0.0.1;
	exchange_mode main,aggressive;
	nat_traversal off;
	
	proposal {
		encryption_algorithm 3des;
		hash_algorithm md5;
		authentication_method pre_shared_key;
		dh_group modp1024;
	}

	passive off;
	proposal_check obey;
	verify_cert off;
	lifetime time 28800 sec;
	exchange_mode main;
	dpd_delay 30;
}

sainfo address 192.168.128.0/22 any address 192.168.156.0/22 any {
	pfs_group modp1024;
	lifetime time 28800 sec;
	encryption_algorithm aes;
	authentication_algorithm hmac_sha1;
	compression_algorithm deflate;
}

sainfo address 192.168.156.0/22 any address 192.168.128.0/22 any {
	pfs_group modp1024;
	lifetime time 28800 sec;
	encryption_algorithm aes;
	authentication_algorithm hmac_sha1;
	compression_algorithm deflate;
}

psk.txt 

10.0.0.2 xxxx

host2 (192.168.159.10/22, 10.0.0.2/24)

ipsec-tools.conf 

#!/usr/sbin/setkey -f

flush;
spdflush;

spdadd 192.168.128.0/22 192.168.156.0/22 any -P in ipsec esp/tunnel/10.0.0.1-10.0.0.2/require;
spdadd 192.168.156.0/22 192.168.128.0/22 any -P out ipsec esp/tunnel/10.0.0.2-10.0.0.1/require;

racoon.conf 

path pre_shared_key "/etc/racoon/psk.txt";

log info;

listen {
	isakmp 10.0.0.2 [500];
}

remote 10.0.0.1 {
	my_identifier address 10.0.0.2;
	exchange_mode main,aggressive;
	nat_traversal off;
	
	proposal {
		encryption_algorithm 3des;
		hash_algorithm md5;
		authentication_method pre_shared_key;
		dh_group modp1024;
	}

	passive off;
	proposal_check obey;
	verify_cert off;
	lifetime time 28800 sec;
	exchange_mode main;
	dpd_delay 30;
}

sainfo address 192.168.128.0/22 any address 192.168.156.0/22 any {
	pfs_group modp1024;
	lifetime time 28800 sec;
	encryption_algorithm aes;
	authentication_algorithm hmac_sha1;
	compression_algorithm deflate;
}

sainfo address 192.168.156.0/22 any address 192.168.128.0/22 any {
	pfs_group modp1024;
	lifetime time 28800 sec;
	encryption_algorithm aes;
	authentication_algorithm hmac_sha1;
	compression_algorithm deflate;
}

psk.txt 

10.0.0.1 xxxx

Заранее спасибо!

★★★★★

Последнее исправление: cyclon (всего исправлений: 2)
[xen][usb]Не удаётся пробросить USB в гостевую систему
[pacemaker][libvirt] Тестирование failover

ЕМНИП, трафик между серверами и не должен шифроваться. Шифроваться должен трафик между подсетями, которые они объединяют. Т.е. пингуй из одной сети машину в другой и тогда уже смотри tcpdump на наличие ESP.

Masque
()
Ответ на: комментарий от Masque

Попутал терминологию... я имел ввиду между сетями:

 # tcpdump -i eth1 -vvv ip dst 192.168.159.188 tcpdump: listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes 
11:44:26.370964 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 192.168.128.250 > 192.168.159.188: ICMP echo request, id 22920, seq 27, length 64 
11:44:27.372432 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 192.168.128.250 > 192.168.159.188: ICMP echo request, id 22920, seq 28, length 64 
11:44:28.374426 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 192.168.128.250 > 192.168.159.188: ICMP echo request, id 22920, seq 29, length 64
cyclon ★★★★★
() автор топика
Ответ на: комментарий от cyclon

Я на openswan поднимал, там есть очень хорошая штука - ipsec verify. М.б. тут в манах что-то похожее есть для самопроверки?

Masque
()
Ответ на: комментарий от Masque

Мдаа.... неправильно снифил))

Я так понимаю так можно считать, что трафик шифруется?

14:02:21.059162 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ESP (50), length 152) 10.0.0.1 > 10.0.0.2: ESP(spi=0x049ae23d,seq=0x2c9b), length 132
14:02:21.059162 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 192.168.128.250 > 192.168.159.188: ICMP echo request, id 23830, seq 1, length 64
14:02:21.059494 IP (tos 0x0, ttl 64, id 23929, offset 0, flags [none], proto ESP (50), length 152) 10.0.0.2 > 10.0.0.1: ESP(spi=0x00a9a131,seq=0x7820), length 132
14:02:22.059592 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ESP (50), length 152) 10.0.0.1 > 10.0.0.2: ESP(spi=0x049ae23d,seq=0x2c9c), length 132
14:02:22.059592 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 192.168.128.250 > 192.168.159.188: ICMP echo request, id 23830, seq 2, length 64
14:02:22.059790 IP (tos 0x0, ttl 64, id 23930, offset 0, flags [none], proto ESP (50), length 152) 10.0.0.2 > 10.0.0.1: ESP(spi=0x00a9a131,seq=0x7821), length 132
14:02:23.061147 IP (tos 0x0, ttl 64, id 0, offset 0, flags [DF], proto ESP (50), length 152) 10.0.0.1 > 10.0.0.2: ESP(spi=0x049ae23d,seq=0x2c9d), length 132
14:02:23.061147 IP (tos 0x0, ttl 63, id 0, offset 0, flags [DF], proto ICMP (1), length 84) 192.168.128.250 > 192.168.159.188: ICMP echo request, id 23830, seq 3, length 64
14:02:23.061339 IP (tos 0x0, ttl 64, id 23931, offset 0, flags [none], proto ESP (50), length 152) 10.0.0.2 > 10.0.0.1: ESP(spi=0x00a9a131,seq=0x7822), length 132
cyclon ★★★★★
() автор топика
Ответ на: комментарий от fr_butch

Меня просто во всём этом смутило то, что завелось без бубна и сразу))

cyclon ★★★★★
() автор топика
Ответ на: комментарий от cyclon

шифрование можно проверить с помощью:

setkey -D

Если выдал: 

No SAD entries.

шифрование не работает, если что-то типа: 

10.10.0.201 10.10.0.200
        esp mode=tunnel spi=17865689(0x01109bd9) reqid=0(0x00000000)
        E: blowfish-cbc  14a70f17 efcc6847 4ce01d3c f8f4ed0e
        A: hmac-md5  f8ee683c 49162f79 8797723f 8db6aea6
        seq=0x00000002 replay=4 flags=0x00000000 state=mature
        created: Oct  2 21:56:09 2010   current: Oct  2 22:02:37 2010
        diff: 388(s)    hard: 36000(s)  soft: 28800(s)
        last: Oct  2 21:56:11 2010      hard: 0(s)      soft: 0(s)
        current: 272(bytes)     hard: 0(bytes)  soft: 0(bytes)
        allocated: 2    hard: 0 soft: 0
        sadb_seq=3 pid=1420 refcnt=2
...
Все ок =)

Sahaviev
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
[xen][usb]Не удаётся пробросить USB в гостевую систему
Admin
[pacemaker][libvirt] Тестирование failover