IPSEC, SA, SPI, Nativ 2.6.13

Fórumok

sziasztok,

Beirtam ezt a cikket tobb helyre is, hatha gyorsabban kapok valasz.

A kovetkezo az en gondom.

Van nekem egy Debian Sarge-om 2.6.13-as kernellel benne van az ipsec tamogatasahoz szukseges dolgok.
Racoon-t hasznalok.

kiepul az ipsec tunnel:
IP1 IP2
esp mode=tunnel spi=1878259377(0x6ff3f6b1) reqid=0(0x00000000)
E: 3des-cbc aae340a0 a95b3c00 d508bbba bdc653f0 ae94c09e 04ab25bd
A: hmac-sha1 aec03960 5580ad64 ed8976b3 d7a456dc e7a0b7b4
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Mar 29 14:02:47 2006 current: Mar 29 14:37:04 2006
diff: 2057(s) hard: 3600(s) soft: 2880(s)
last: Mar 29 14:02:47 2006 hard: 0(s) soft: 0(s)
current: 60376(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 445 hard: 0 soft: 0
sadb_seq=3 pid=13214 refcnt=0
IP2 IP1
esp mode=tunnel spi=120415650(0x072d65a2) reqid=0(0x00000000)
E: 3des-cbc 7a810575 a6c4e31d 19ea94fb 54ea7d3b 7f6089a0 70066c32
A: hmac-sha1 696540f3 88313337 a394cff9 09fca6af 8f43a24e
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Mar 29 14:34:37 2006 current: Mar 29 14:37:04 2006
diff: 147(s) hard: 3600(s) soft: 2880(s)
last: hard: 0(s) soft: 0(s)
current: 0(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 0 hard: 0 soft: 0
sadb_seq=2 pid=13214 refcnt=0

---------
majd elnyomok egy pinget vagy egy telnetet teljesen mindegy a lenyeg, hogy genarolok forgalmat es kozben dumpolom az interface-t es ezt kapom

14:39:39.921697 IP IP1 > IP2: ESP(spi=0x6ff3357e,seq=0xc13301c1)
14:39:39.944519 IP IP2.isakmp > IP1.isakmp: isakmp: phase 2/others ? inf[E]
14:39:40.926763 IP IP1 > IP2: ESP(spi=0x6ff3357e,seq=0xc13301c2)
14:39:41.930777 IP IP1 > IP2: ESP(spi=0x6ff3357e,seq=0xc13301c3)
14:39:42.934819 IP IP1 > IP2: ESP(spi=0x6ff3357e,seq=0xc13301c4)

gyakorlatilag ez ismetlodik.....latszolag mintha minden rendben lenne, de forgalom az nincsen es az ellenoldal az IP2 bizonyos idokozonkent rekeyinget ker vagy valami. elkezdtuk jobban megnezni, hogy mi lehet a gond.

elsore az latszik, hogy a spi es a seq nem stimmel azzal, amiben eloszor megallapodtak:

a csomagoknal IP1>IP2 -> spi=0x6ff3357e
SA -nal IP1>IP2 -> 0x6ff3f6b1

tehat nem stimmel....igy az ellenoldal nem tudja, hogy milyen SA-val kene dekodolja az en csomagomat...a kerdes az, hogy miert kuldozgetek en teljesen mas SPI-t mint amiben megallapodtunk?

barkinek barmi otlete van erre?

Udv,
Istvan

Hozzászólások

Off
Ennyi erővel csinálhatnál még vagy 20 topikot.
/Off
----------------------------------------------------------
Sebeink emlékeztetnek arra, hogy a múlt valóban megtörtént