Главная страница
О проекте Навигация Контакт
Поиск


ru.unix.bsd

 
 - RU.UNIX.BSD ------------------------------------------------------------------
 From : Auster                               2:5020/400     09 Sep 2006  01:45:46
 To : Eugene Grosbein
 Subject : Re: ipsec & tcp connection stalled
 -------------------------------------------------------------------------------- 
 
 Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:
  
 >>> 1. Как заставить tcpdump декодировать IPSEC-трафик, прошу работающий
 >>> пример строки запуска tcpdump.
 >> % racoonctl ss esp
 >> % tcpdump -i iface -s0 -E 'file keys.txt' 'esp && ...'
 > 
 > Так как у меня нет racoonctl, на FreeBSD 6.1 (с адресом IP2) сделал так:
 > 
 > setkey -D | awk '
 >  /^[1-9]/  { ip=$2; }
 >  $1=="esp" {
 >                sub(/spi=[^(]+\(/, "", $3);
 >                sub(/\)/, "", $3);
 >                printf"%s@%s ",$3,ip;
 >            }
 >  $1=="E:"  { printf "%s:0x%s%s%s%s\n", $2, $3, $4, $5, $6; }
 > ' > /tmp/keys.txt
 > 
 > Получил в /tmp/keys.txt тот формат, что ты описал:
 > 
 > 0x000007d7@IP1 blowfish-cbc:0x................................
 > 0x000003ef@IP2 blowfish-cbc:0x................................
 > 
 > Запускаю tcpdump, как ты сказал, получаю странную вещь:
 > 
 > 00:51:49.268607 IP IP1 > IP2: ESP(spi=0x000003ef,seq=0x25386), length 112:
 > ESP(spi=0x000003ef,seq=0x25385), length 88
 > 00:51:49.268680 IP IP2 > IP1: ESP(spi=0x000007d7,seq=0x42a4), length 88: ICMP
 > echo reply, id 57344, seq 0, length 64
 > 
 > Это был входящий ping и он был успешным. Hо tcpdump декодировал только
 > ответный echo reply, а во входящем пакете якобы был ESP внутри ESP??
 > Что я делаю не так?
 > 
 > Вот /etc/ipsec.conf на этой машине:
 > 
 > add IP1 IP2 esp 1007 -m transport -E blowfish-cbc "...";
 > add IP2 IP1 esp 2007 -m transport -E blowfish-cbc "...";
 > 
 > spdadd IP1/32 IP2/32 any -P in  ipsec esp/transport/IP1-IP2/require;
 > spdadd IP2/32 IP1/32 any -P out ipsec esp/transport/IP2-IP1/require;
 > 
 
   хмм.. чтото буквы расплываются, завтра попробую восоздать твой вариант.
   пока могу только сказать что и racoonctl и racoon демон и setkey в fbsd
   у меня с порта security/ipsec-tools (в nbsd есть в базовой). а в
   setkey -f файле прописаны только две строчки с spdadd (абсолютно аналогичные
   твоим, но без add..-E blowshish).
 -- 
 Auster Vl.
 --- ifmail v.2.15dev5.3
  * Origin: Demos online service (2:5020/400)

Вернуться к списку тем, сортированных по: возрастание даты  уменьшение даты  тема  автор 

 Тема:    Автор:    Дата:  
 Re: ipsec & tcp connection stalled   Auster   09 Sep 2006 01:45:46 
Архивное /ru.unix.bsd/3293c51bdce7.html, оценка 3 из 5, голосов 10
Яндекс.Метрика
Valid HTML 4.01 Transitional