ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Eugene Grosbein                      2:5006/1       08 Sep 2006  23:59:42
 To : Auster
 Subject : Re: ipsec & tcp connection stalled
 -------------------------------------------------------------------------------- 
 

 08 сен 2006, пятница, в 16:33 KRAST, Auster написал(а):
 
  >> 1. Как заставить tcpdump декодировать IPSEC-трафик, прошу работающий
  >> пример строки запуска tcpdump.
  A>   % racoonctl ss esp
  A>   A.B.C.D E.F.G.K
  A>   esp mode=transport spi=dadadada(0xAAAAAAAA) reqid=0(0x00000000)
  A>   E: 3des-cbc <KEY1>
  A>   ...
  A>   E.F.G.K A.B.C.D
  A>   esp mode=transport spi=adadadad(0xDDDDDDDD) reqid=0(0x00000000)
  A>   E: 3des-cbc <KEY2>
  A>   ...
  A>   // убирая с KEY1 и KEY2 пробелы - вписываешь в файлик keys.txt:
  A>   0xAAAAAAA@E.F.G.K 3des-cbc-hmac96:0xKEY1
  A>   0xDDDDDDD@A.B.C.D 3des-cbc-hmac96:0xKEY2
  A>   // затем смотришь на интерфейсе
  A>   % tcpdump -i iface -s0 -E 'file keys.txt' 'esp && ...'
  A>   // или с сохраненного pcap'а
 
 Огромное спасибо.
 
 Так как у меня нет racoonctl, на FreeBSD 6.1 (с адресом IP2) сделал так:
 
 setkey -D | awk '
   /^[1-9]/  { ip=$2; }
   $1=="esp" {
                 sub(/spi=[^(]+\(/, "", $3);
                 sub(/\)/, "", $3);
                 printf"%s@%s ",$3,ip;
             }
   $1=="E:"  { printf "%s:0x%s%s%s%s\n", $2, $3, $4, $5, $6; }
 ' > /tmp/keys.txt
 
 Получил в /tmp/keys.txt тот формат, что ты описал:
 
 0x000007d7@IP1 blowfish-cbc:0x................................
 0x000003ef@IP2 blowfish-cbc:0x................................
 
 Запускаю tcpdump, как ты сказал, получаю странную вещь:
 
 00:51:49.268607 IP IP1 > IP2: ESP(spi=0x000003ef,seq=0x25386), length 112:
 ESP(spi=0x000003ef,seq=0x25385), length 88
 00:51:49.268680 IP IP2 > IP1: ESP(spi=0x000007d7,seq=0x42a4), length 88: ICMP
 echo reply, id 57344, seq 0, length 64
 
 Это был входящий ping и он был успешным. Hо tcpdump декодировал только
 ответный echo reply, а во входящем пакете якобы был ESP внутри ESP??
 Что я делаю не так?
 
 Вот /etc/ipsec.conf на этой машине:
 
 add IP1 IP2 esp 1007 -m transport -E blowfish-cbc "...";
 add IP2 IP1 esp 2007 -m transport -E blowfish-cbc "...";
 
 spdadd IP1/32 IP2/32 any -P in  ipsec esp/transport/IP1-IP2/require;
 spdadd IP2/32 IP1/32 any -P out ipsec esp/transport/IP2-IP1/require;
 
 Eugene
 -- 
 Устав от вечных упований,
 Устав от радостных пиров
 --- slrn/0.9.8.0 (FreeBSD)
  * Origin: Svyaz Service JSC (2:5006/1@fidonet)
 
 

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор