IPsec

Проблемы установки, настройки и работы Правильной Операционной Системы

Модератор: terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Torero
проходил мимо
Сообщения: 8
Зарегистрирован: 2006-11-17 15:08:00

IPsec

Непрочитанное сообщение Torero » 2006-11-17 17:42:06

Попал на ваш сайт в поиске толкового мануала по Exim`у почитал другие статьи понял что ваш ресурс особенный.

Прочитал статейку http://www.lissyara.su/?id=1050

В коментах нашёл такое
Одно дело - сиськи, а другое - черти :)))

Ну нету на цисках tcpdump - а все проблемы я решал именно им...
Есть у меня проблемка именно с IPsec и tcpdump...

Моя конфигурация Ipsec построена схожим образом. Но без gif интерфейсов.
Отчасти от того что я посчитал их тогда не нужными и от того что на другой стороне стоит не FreeBSD а железяка по имени Dlink Router 808hv. Железяка дешовая и умная, но не на стоко чтобы уметь подымать виртуальные интерфейсы. Но 40 IPsec соединений держит (в мануале так написанно но я тихо сомневаюсь :) )

Так вот, после того как было настроено и установлено IPsec соединение была понята вся выгода от такой конфигурации, было закуплено Н-ое количество Dlink-ов и разбросанно по миру для соединения всех частей нашего большого офиса в единую
частную сеть..

Получилась конфигурация N-e количество Dlinл-ов с одной стороны, которые соединяются через Ipsec с Единым сервером FreeBSD 5.14 с другой стороны.

Но вот какая проблема дорогие камрады...
Отсутсвие gif интерфейса для каждого IPsec соединения делает затруднительтым просмотр трафика через tcpdump или други утилиты.. Т.Е. поскоку за каждым Dlink-oм и за FreeBSD есть сетки со своими кампами и феховыми адресами то можно определённую часть трафика пользователей посмотреть на фейховом адресе Freebsd.

Но ту часть трафика которая приходит из сетки за Dlink-ами и предназначена для Самой FreeBSD (почта pop3 smtp www ну много всего) остаётся скрытой от глаз зоркого сисадмина.

Т.Е. Задача стоит такая:

Необходимо увидеть пакеты которые приходят
для внутреннего xxx.xxx.xxx.xxx интерфейса FreeBSD через IPsec тунель на внешнем интерфейсе.

XXX.XXX.XXX.XXX – внешний FreeBSD xxx.xxx.xxx.xxx – внутренний FreeBSD
YYY.YYY.YYY.YYY – внешний Dlink yyy.yyy.yyy.yyy – внутренний Dlink

tcpdump естесно видит такое на внешнем tun0 интерфейсе
free# tcpdump -ni tun0 | grep YYY.YYY.YYY.YYY
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes
18:24:30.486446 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x024b97c5,seq=0x9dc)
18:24:30.486706 IP XXX.XXX.XXX.XXX > YYY.YYY.YYY.YYY: ESP(spi=0xd2170010,seq=0x75f)
18:24:31.356931 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x024b97c5,seq=0x9dd)
18:24:31.357198 IP XXX.XXX.XXX.XXX > YYY.YYY.YYY.YYY: ESP(spi=0xd2170010,seq=0x760)
18:24:32.403817 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x024b97c5,seq=0x9de)

Трафик обезличен и кто что куда шлёт не понятно... Т.Е. понятно что Офис с
YYY.YYY.YYY.YYY шлёт что то в офис XXX.XXX.XXX.XXX или на оборот.
Часть из этих пакетов уходит через FreeBSD дальше внутрь сетки
их можно увидеть на внутренем xl0 интерфейсе FreeBSD и с этим проблем нет.
Но что именно и от коко конкретно из офиса YYY.YYY.YYY.YYY застряёт на FreeBSD
непонятно. И станет понятно, имхо, только после расшифровки пакетов
принятых на внешнем tun0 интерфейсе.

Чтение мана tcpdump, особенно в следующей части

-E Use spi@ipaddr algo:secret for decrypting IPsec ESP packets that
are addressed to addr and contain Security Parameter Index value
spi. This combination may be repeated with comma or newline
seperation.

Говорит о том, что существует возможность расишифровки пакетов. Скажем spi и algo для каждого соединения можно взять из setkey -D, ipadrr имеется ввиду внешний IP адресс того кому данный пакет адресован. Что такое secret мне не понятно, но возможно это первичный ключ из файла racoon-a psk.key.
Все мои попытки расшифровать
tcpdump -ni tun0 -E c7f3a6a4199db7fb9f3e8cfdd2fe73e4d78ea80c2d089ec594e20b43b963c026c2124f6f2b66d8eb@YYY.YYY.YYY.YYY,3des-cbc:SECRET

Приводят к

16:05:47.634011 IP XXX.XXX.XXX.XXX> YYY.YYY.YYY.YYY: ESP(spi=0x3c1d0010,seq=0x811)failed to decode espsecret: c7f3a6a4199db7fb9f3e8cfdd2fe73e4d78ea80c2d089ec594e20b43b963c026c2124f6f2b66d8eb@YYY.YYY.YYY.YYY
Подозреваю что ввожу неверный espsecret :) .Но где взять верный если не в setkey -D
даже и не подозреваю... Или где то конкретно туплю...

Идеи есть?

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2460 рублей (8 CPU, 8Gb RAM, 2x500Gb HDD, RAID 3ware 9750):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Аватара пользователя
Alex Keda
стреляли...
Сообщения: 35045
Зарегистрирован: 2004-10-18 14:25:19
Откуда: Made in USSR
Контактная информация:

Непрочитанное сообщение Alex Keda » 2006-11-17 21:19:46

нихрена не понял :)))
=========
вообще, некрасиво без интерфейсов... как у самой фри башка не едет, вот что интересно...
Убей их всех! Бог потом рассортирует...

Torero
проходил мимо
Сообщения: 8
Зарегистрирован: 2006-11-17 15:08:00

Непрочитанное сообщение Torero » 2006-11-20 11:45:16

:D
Нда слишком много буков...
Покороче звучит так...
Надо расшифровать ipsec пакеты которые приходят на внешний интерфейс tun0 FreeBSD. Зачем? Ответ прост - НАДО.
Точно не знаю что должно получится, но думаю примерно такое выдранное мною
со внутреннего интерфейса:

tcpdump -i tun0 -E(всякабя лабуда которую мне и необходмо узнать)

10:52:44.918122 IP 10.2.1.24 > 192.168.0.1: ICMP echo request, id 768, seq 3328, length 40
10:52:44.918385 IP 192.168.0.1 > 10.2.1.24: ICMP echo reply, id 768, seq 3328, length 40
10:52:45.238349 IP 192.168.0.3.65180 > 192.168.0.1.25: . 171012:172460(1448) ack 275 win 33304 <nop,nop,timestamp 2775731454 48237649>
10:52:45.915296 IP 10.2.1.24 > 192.168.0.1: ICMP echo request, id 768, seq 3584, length 40
10:52:45.915597 IP 192.168.0.1 > 10.2.1.24: ICMP echo reply, id 768, seq 3584, length 40
10:52:49.030087 IP 10.2.1.24 > 192.168.0.24: ICMP echo request, id 768, seq 3840, length 40
10:52:49.030366 IP 192.168.0.24 > 10.2.1.24: ICMP echo reply, id 768, seq 3840, length 40
10:52:50.030044 IP 10.2.1.24 > 192.168.0.24: ICMP echo request, id 768, seq 4096, length 40
10:52:50.030409 IP 192.168.0.24 > 10.2.1.24: ICMP echo reply, id 768, seq 4096, length 40
10:52:52.107763 IP 10.2.1.24 > 192.168.0.26: ICMP echo request, id 768, seq 4352, length 40
10:52:52.107975 IP 192.168.0.26 > 10.2.1.24: ICMP echo reply, id 768, seq 4352, length 40
10:52:53.107818 IP 10.2.1.24 > 192.168.0.26: ICMP echo request, id 768, seq 4608, length 40
10:52:53.107936 IP 192.168.0.26 > 10.2.1.24: ICMP echo reply, id 768, seq 4608, length 40


Т.Е. увидеть фейховые пакеты ломящиеся через ipsec через внешний интерфейс.
Во как. А главное что в рускоязычном интернете описание подобного действа нигде нет.
Гуглинье англоязычного интернета выдало пару страниц со скриптами с сайта самого tcpdump. Возможно прикручивание этих скриптов что то мне и даст, но сначала
решил поспрашвать на форумах...