Discussion:
ipsec visszajovo csomagok
Kosa Attila
2009-04-10 14:49:37 UTC
Permalink
Hello!

---- ---- ---- ----
|1 |-------|2 |__ipsec0___| 3|----| 4|
| | | | | | | |
---- ---- ---- ----
|
| ---- ----
| | 5| | 6|
|___ipsec1___| |----| |
---- ----

1 - linuxos gep
2 - linuxos tuzfal
3 - Cisco router
4 - valamilyen gep
5 - feltehetoen linuxos tuzfal
6 - valamilyen gep

Az 1-es gep a 192.168.0.0/16-os haloban van. A 4-es es a 6-os gep
nem ugyanabban a halozatban van, teljesen eltero C osztalyu
cimeik vannak, csakugy, mint a 3-as es az 5-os gepnek is. Tehat
nincs atfedes routing szempontbol egyik iranyba sem (a /24 miatt
ez eleg egyertelmuen latszik).

A 2-es gep SNAT-ot csinal mindket ipsec iranyaba. A 4-es gep fele
123.36.97.2 cimet "mutat", a 6-os gep fele pedig a 100.100.32.23
cimet. Az ipsec0 az eth1:4-re van felhuzva, az ipsec1 az
eth1:1-re.

Ha az 1-es geprol inditok egy pinget a 4-es gepre, akkor gond
nelkul mukodik, az 1-es gepen visszakapom a valaszt. Ha az 1-es
geprol a 6-os gepre inditok egy telnetet (csak az 1521-es port
valaszol azon a gepen, azert kell a telnet), akkor kimegy a
csomag az ipsec1 interfeszen, azonban a visszafele jovo
csomagokat az ipsec0 interfeszen latom, es nem is jutnak vissza
az 1-es gephez. A tcpdump-ban - amikor az ipsec0 interfeszen
mennek az ipsec1-ben visszaerkezo csomagok - azt a cimet latom,
amire a 2-es gep SNAT-olja az 1-es gepet a 6-s gep fele meno
forgalom eseten, tehat a 100.100.32.23 cimet.

A tcpdump a 2-es gepen fut, csak ehhez, es az 1-es gephez ferek
hozza.

Ha felcserelem a ket kapcsolatot, es a fenti ipsec1-bol csinalok
ipsec0-t a konfigban, akkor a telnet mukodik jol, es a visszajovo
icmp csomagokat latom rossz helyen.

Probaltam iptables-szel logoltatni a csomagokat, amelyek kimennek
az interfeszeken (siman igy:
-A FORWARD -o ipsec0 -j LOG --log-prefix "ipsec0 kimeno: " )
azonban a visszatero (es rossz iranyba meno) csomagokat nem
logolja az iptables. Ebbol ugy erzem, hogy mark-ot sem tudna ra
tenni, hogy az alapjan csinaljak routing dontest az ip parancs
segitsegevel.

A google-ben ezt talaltam, mint hasonlo problemat, de sajnos
megoldast nem leltem:
http://bugs.xelerance.com/view.php?id=540

A 2-es gepen Debian Etch van, jelenleg gyari kernellel es gyari
csomagokkal, tehat linux-image-2.6.18-6-686 es openswan
2.4.6+dfsg.2-1.1+etch1.

Mit kellene meg elolvasnom, hogy megoldhassam a problemat?
--
Udvozlettel
Zsiga
Mihaly Zachar
2009-04-10 15:19:53 UTC
Permalink
Post by Kosa Attila
Hello!
---- ---- ---- ----
|1 |-------|2 |__ipsec0___| 3|----| 4|
| | | | | | | |
---- ---- ---- ----
|
| ---- ----
| | 5| | 6|
|___ipsec1___| |----| |
---- ----
1 - linuxos gep
2 - linuxos tuzfal
3 - Cisco router
4 - valamilyen gep
5 - feltehetoen linuxos tuzfal
6 - valamilyen gep
Az 1-es gep a 192.168.0.0/16-os haloban van. A 4-es es a 6-os gep
nem ugyanabban a halozatban van, teljesen eltero C osztalyu
cimeik vannak, csakugy, mint a 3-as es az 5-os gepnek is. Tehat
nincs atfedes routing szempontbol egyik iranyba sem (a /24 miatt
ez eleg egyertelmuen latszik).
A 2-es gep SNAT-ot csinal mindket ipsec iranyaba. A 4-es gep fele
123.36.97.2 cimet "mutat", a 6-os gep fele pedig a 100.100.32.23
cimet. Az ipsec0 az eth1:4-re van felhuzva, az ipsec1 az
eth1:1-re.
probaltad ugy, hogy nem NAT-olsz ??

ugyanis:
http://wiki.openswan.org/index.php/Openswan/Configure

van benne egy olyan bejegyzes, hogy:


"Do not MASQ or NAT packets to be tunneled"


Misi
Kosa Attila
2009-04-10 15:35:16 UTC
Permalink
Post by Mihaly Zachar
Post by Kosa Attila
---- ---- ---- ----
|1 |-------|2 |__ipsec0___| 3|----| 4|
| | | | | | | |
---- ---- ---- ----
|
| ---- ----
| | 5| | 6|
|___ipsec1___| |----| |
---- ----
1 - linuxos gep
2 - linuxos tuzfal
3 - Cisco router
4 - valamilyen gep
5 - feltehetoen linuxos tuzfal
6 - valamilyen gep
Az 1-es gep a 192.168.0.0/16-os haloban van. A 4-es es a 6-os gep
nem ugyanabban a halozatban van, teljesen eltero C osztalyu
cimeik vannak, csakugy, mint a 3-as es az 5-os gepnek is. Tehat
nincs atfedes routing szempontbol egyik iranyba sem (a /24 miatt
ez eleg egyertelmuen latszik).
A 2-es gep SNAT-ot csinal mindket ipsec iranyaba. A 4-es gep fele
123.36.97.2 cimet "mutat", a 6-os gep fele pedig a 100.100.32.23
cimet. Az ipsec0 az eth1:4-re van felhuzva, az ipsec1 az
eth1:1-re.
probaltad ugy, hogy nem NAT-olsz ??
http://wiki.openswan.org/index.php/Openswan/Configure
"Do not MASQ or NAT packets to be tunneled"
NAT nelkul hogyan csinaljam meg, hogy a 192.168.0.23-as IP cimu
geprol kimeno csomagok az ipsec0-n 123.36.97.2 cimmel, az
ipsec1-en 100.100.32.23 cimmel latszodjanak?
--
Udvozlettel
Zsiga
Daniel PATH
2009-04-10 16:18:31 UTC
Permalink
nat traversal support megvan?
amugy ipsec-et natolni tenyleg nem ajanlott
--
dp
Post by Kosa Attila
Post by Mihaly Zachar
Post by Kosa Attila
---- ---- ---- ----
|1 |-------|2 |__ipsec0___| 3|----| 4|
| | | | | | | |
---- ---- ---- ----
|
| ---- ----
| | 5| | 6|
|___ipsec1___| |----| |
---- ----
1 - linuxos gep
2 - linuxos tuzfal
3 - Cisco router
4 - valamilyen gep
5 - feltehetoen linuxos tuzfal
6 - valamilyen gep
Az 1-es gep a 192.168.0.0/16-os haloban van. A 4-es es a 6-os gep
nem ugyanabban a halozatban van, teljesen eltero C osztalyu
cimeik vannak, csakugy, mint a 3-as es az 5-os gepnek is. Tehat
nincs atfedes routing szempontbol egyik iranyba sem (a /24 miatt
ez eleg egyertelmuen latszik).
A 2-es gep SNAT-ot csinal mindket ipsec iranyaba. A 4-es gep fele
123.36.97.2 cimet "mutat", a 6-os gep fele pedig a 100.100.32.23
cimet. Az ipsec0 az eth1:4-re van felhuzva, az ipsec1 az
eth1:1-re.
probaltad ugy, hogy nem NAT-olsz ??
http://wiki.openswan.org/index.php/Openswan/Configure
"Do not MASQ or NAT packets to be tunneled"
NAT nelkul hogyan csinaljam meg, hogy a 192.168.0.23-as IP cimu
geprol kimeno csomagok az ipsec0-n 123.36.97.2 cimmel, az
ipsec1-en 100.100.32.23 cimmel latszodjanak?
Kosa Attila
2009-04-14 07:06:01 UTC
Permalink
Post by Daniel PATH
nat traversal support megvan?
amugy ipsec-et natolni tenyleg nem ajanlott
Yes-re van allitva az ipsec.conf fajlban a nat_traversal.
--
Udvozlettel
Zsiga
Mihaly Zachar
2009-04-12 13:10:23 UTC
Permalink
Post by Kosa Attila
Post by Mihaly Zachar
probaltad ugy, hogy nem NAT-olsz ??
http://wiki.openswan.org/index.php/Openswan/Configure
"Do not MASQ or NAT packets to be tunneled"
NAT nelkul hogyan csinaljam meg, hogy a 192.168.0.23-as IP cimu
geprol kimeno csomagok az ipsec0-n 123.36.97.2 cimmel, az
ipsec1-en 100.100.32.23 cimmel latszodjanak?
ha ez a feladat, akkor persze nem tudod elkerulni, de egy probat meger...

nekem regebben voltak ebbol gondjaim, de azota sokat valtozott a vilag :)

Misi
Kosa Attila
2009-04-14 07:09:49 UTC
Permalink
Post by Mihaly Zachar
Post by Kosa Attila
Post by Mihaly Zachar
probaltad ugy, hogy nem NAT-olsz ??
http://wiki.openswan.org/index.php/Openswan/Configure
"Do not MASQ or NAT packets to be tunneled"
NAT nelkul hogyan csinaljam meg, hogy a 192.168.0.23-as IP cimu
geprol kimeno csomagok az ipsec0-n 123.36.97.2 cimmel, az
ipsec1-en 100.100.32.23 cimmel latszodjanak?
ha ez a feladat, akkor persze nem tudod elkerulni, de egy probat meger...
Meg probat sem tudok csinalni, mert a tuloldalon levo gepek csak
azokrol a cimekrol erkezo csomagokra valaszolnak, amik fentebb
lathatoak.
--
Udvozlettel
Zsiga
Nemeth Gyorgy
2009-04-11 07:10:02 UTC
Permalink
Post by Kosa Attila
Ha az 1-es geprol inditok egy pinget a 4-es gepre, akkor gond
nelkul mukodik, az 1-es gepen visszakapom a valaszt. Ha az 1-es
geprol a 6-os gepre inditok egy telnetet (csak az 1521-es port
valaszol azon a gepen, azert kell a telnet), akkor kimegy a
csomag az ipsec1 interfeszen, azonban a visszafele jovo
csomagokat az ipsec0 interfeszen latom, es nem is jutnak vissza
az 1-es gephez.
Hasonlóval én is találkoztam már, ipsec1-en küldött csomagok válaszát a
tcpdumpban az ipsec0-on kaptam meg, ezzel együtt a kapcsolat működött.
Betudtam annak, hogy vagy a tcpdump vagy valaki más meghülyült.
--
--- Friczy ---
'Death is not a bug, it's a feature'
Kosa Attila
2009-04-14 07:12:24 UTC
Permalink
Post by Nemeth Gyorgy
Post by Kosa Attila
Ha az 1-es geprol inditok egy pinget a 4-es gepre, akkor gond
nelkul mukodik, az 1-es gepen visszakapom a valaszt. Ha az 1-es
geprol a 6-os gepre inditok egy telnetet (csak az 1521-es port
valaszol azon a gepen, azert kell a telnet), akkor kimegy a
csomag az ipsec1 interfeszen, azonban a visszafele jovo
csomagokat az ipsec0 interfeszen latom, es nem is jutnak vissza
az 1-es gephez.
Hasonlóval én is találkoztam már, ipsec1-en küldött csomagok válaszát a
tcpdumpban az ipsec0-on kaptam meg, ezzel együtt a kapcsolat működött.
Betudtam annak, hogy vagy a tcpdump vagy valaki más meghülyült.
Esetleg kernel- es openswan verziot tudnal mondani? Ugyanis nekem
nem mukodik :(
--
Udvozlettel
Zsiga
Nemeth Gyorgy
2009-04-14 16:30:11 UTC
Permalink
Post by Kosa Attila
Post by Nemeth Gyorgy
Hasonlóval én is találkoztam már, ipsec1-en küldött csomagok válaszát a
tcpdumpban az ipsec0-on kaptam meg, ezzel együtt a kapcsolat működött.
Betudtam annak, hogy vagy a tcpdump vagy valaki más meghülyült.
Esetleg kernel- es openswan verziot tudnal mondani? Ugyanis nekem
nem mukodik :(
Majd utánanézek, ugyanis az a cucc benn van a munkahelyen. De majd
holnap megírom magánemailben.
--
--- Friczy ---
'Death is not a bug, it's a feature'
Gabor HALASZ
2009-04-14 14:44:49 UTC
Permalink
Post by Kosa Attila
valaszol azon a gepen, azert kell a telnet), akkor kimegy a
csomag az ipsec1 interfeszen, azonban a visszafele jovo
csomagokat az ipsec0 interfeszen latom, es nem is jutnak vissza
az 1-es gephez.
Jellegzetes linux tunet, keverednek a virtualis interface-ek forgalmai,
downgrade 2.4-re vagy ket halokartya, vagy migracio valami oprendszerre.
--
Gabor HALASZ <***@freemail.hu>
Balazs Scheidler
2009-04-18 12:23:34 UTC
Permalink
Post by Gabor HALASZ
Post by Kosa Attila
valaszol azon a gepen, azert kell a telnet), akkor kimegy a
csomag az ipsec1 interfeszen, azonban a visszafele jovo
csomagokat az ipsec0 interfeszen latom, es nem is jutnak vissza
az 1-es gephez.
Jellegzetes linux tunet, keverednek a virtualis interface-ek forgalmai,
downgrade 2.4-re vagy ket halokartya, vagy migracio valami oprendszerre.
s/linux/openswan/g

nativ ipsec tamogatas nem opcio?
--
Bazsi
Gabor HALASZ
2009-04-20 07:59:01 UTC
Permalink
Post by Balazs Scheidler
s/linux/openswan/g
nativ ipsec tamogatas nem opcio?
Ujabban csak netkey-t tamogat az openswan. A regi verziokat meg nem
tanacsos hasznalni, mert dosolhatok (CVE-2009-0790), es az aktualis
verziot is patkolni kell.
--
Gabor HALASZ <***@freemail.hu>
Kosa Attila
2009-04-20 08:02:13 UTC
Permalink
Post by Balazs Scheidler
nativ ipsec tamogatas nem opcio?
Nem zarkozom el semmitol, de nincs tapasztalatom vele, es nincs
sok lehetoseg a kiserletezesre. Van valami doksi, amit el kellene
olvasnom a temaval kapcsolatban?
--
Udvozlettel
Zsiga
Gabor HALASZ
2009-04-20 08:23:41 UTC
Permalink
Post by Kosa Attila
Post by Balazs Scheidler
nativ ipsec tamogatas nem opcio?
Nem zarkozom el semmitol, de nincs tapasztalatom vele, es nincs
sok lehetoseg a kiserletezesre. Van valami doksi, amit el kellene
olvasnom a temaval kapcsolatban?
Csak a 2.4.13-as opwnswan-ig volt klips support 2.6-hoz, az meg lassan
egy eves, igy eleg kuzdelmes lenne az aktualis kernelbe belepatchelni
(ha sikerult, akkor csak be kell kapcsolni a kernelkonfigban). Masreszt
lasd az elozot levelem, csak a legujabb (2.6.21-es) es bugfixelt
openswan-t celszeru hasznalni, mert egy megfeleloen formazott csomagtol
ujraindul a pluto daemon.
--
Gabor HALASZ <***@freemail.hu>
Kosa Attila
2009-05-22 12:52:03 UTC
Permalink
Post by Kosa Attila
Post by Balazs Scheidler
nativ ipsec tamogatas nem opcio?
Nem zarkozom el semmitol, de nincs tapasztalatom vele, es nincs
sok lehetoseg a kiserletezesre. Van valami doksi, amit el kellene
olvasnom a temaval kapcsolatban?
Nagy koszonet Bazsinak a telefonos segitsegert! Meg finomitanom
kell a csomagszuro szabalyokon, de mukodik a dolog.
--
Udvozlettel
Zsiga
Loading...