FreeS/WAN
Marcin Kamiński
maxiu w best.net.pl
Pią, 13 Gru 2002, 13:55:20 CET
Witam
Próbuję skonfigurować ipseca pomiędzy dwoma komputerami (w trybie
transport). Niestety FreeSWAN z PLD jest popsuty (na bugs. otwarty jest
ticket, niestety bez odpowiedzi) - freeswan-1.97-1
Problem występuje w /usr/lib/ipsec/_confread, nie wiem dlaczego, być może
coś nie tak jest ze skryptami startowymi w PLD. Chodzi o to że jako parametr
do _confread przekazywana jest nazwa pliku konfiguracyjnego i on ją potem
interpretuje jako nazwa połączenia. Obszedłem to zmieniając linię 145 pliku
/usr/lib/ipsec/auto na:
ipsec _confread $noinclude $names |
(czyli usunąłem przekazywanie nazwy pliku konfiguracyjnego). Po tym pluto
rusza i dobrze czyta konfiguracje.
Kolejny problem, którego przyczyny nie znam, występuje u mnie na jednym
komputerze na którym zainstalowane są pakiety i386, podczas startu ipsec
wyrzuca błąd:
Dec 13 10:44:32 localhost ipsec_setup: /usr/lib/ipsec/spi: Trouble openning
PF_KEY family socket with error: KLIPS not loaded or enabled.
Pomogło załadowanie modułu ipsec PRZED uruchomieniem ipseca. Niestety przy
ponownym restarcie ipseca system się zwiesił (brak komunikatów w logach).
Nie jest to powtarzalne, występuje rzadko (2x na ok. 30 uruchomień).
No i aktualnie ostatni problem, którego już nie udało mi się obejść, czyli
podniesienie samego połączenia.
Gdy próbuję podnieść połączenie w trybie transportowym, to dostaję:
Dec 13 10:51:21 localhost Pluto[1834]: "sample" #1: initiating Main Mode
Dec 13 10:51:23 localhost Pluto[1834]: "sample" #1: Peer ID is ID_IPV4_ADDR:
'150.254.170.109'
Dec 13 10:51:23 localhost Pluto[1834]: "sample" #1: ISAKMP SA established
Dec 13 10:51:23 localhost Pluto[1834]: "sample" #2: initiating Quick Mode
RSASIG+ENCRYPT+PFS
Dec 13 10:51:23 localhost Pluto[1834]: "sample" #2: ERROR: no response to
our PF_KEY SADB_X_ADDFLOW message for flow esp.c8c3cf16 w 150.254.170.109
Dec 13 10:51:33 localhost kernel: klips_debug:ipsec_makeroute: rj_addroute
not able to insert eroute for SA:esp0xc8c3cf16 w 150.254.170.109
Dec 13 10:51:33 localhost Pluto[1834]: "sample" #2: ERROR: PF_KEY
SADB_X_ADDFLOW response for flow esp.c8c3cf16 w 150.254.170.109 included errno
250: Unknown error 250
na drugim końcu jest:
Dec 13 10:48:44 localhost Pluto[3421]: "sample" #1: responding to Main Mode
Dec 13 10:48:45 localhost Pluto[3421]: "sample" #1: Peer ID is ID_IPV4_ADDR:
'150.254.170.113'
Dec 13 10:48:46 localhost Pluto[3421]: "sample" #1: sent MR3, ISAKMP SA
established
Dec 13 10:48:46 localhost Pluto[3421]: "sample" #2: responding to Quick Mode
Dec 13 10:48:56 localhost Pluto[3421]: "sample" #2: discarding duplicate
packet; already STATE_QUICK_R1
Dec 13 10:49:16 localhost Pluto[3421]: "sample" #2: discarding duplicate
packet; already STATE_QUICK_R1
Dec 13 10:49:56 localhost Pluto[3421]: "sample" #2: max number of
retransmissions (2) reached STATE_QUICK_R1
i tak w kółko.
Gdy spróbowałem odpalić tryb tunelowy, to na końcu gdzie odpalałem dostałem:
Dec 13 11:52:08 localhost Pluto[2878]: "sample" #1: initiating Main Mode
Dec 13 11:52:09 localhost Pluto[2878]: "sample" #1: Peer ID is ID_IPV4_ADDR:
'150.254.170.109'
Dec 13 11:52:09 localhost Pluto[2878]: "sample" #1: ISAKMP SA established
Dec 13 11:52:09 localhost Pluto[2878]: "sample" #2: initiating Quick Mode
RSASIG+ENCRYPT+TUNNEL+PFS
Dec 13 11:53:19 localhost Pluto[2878]: "sample" #2: max number of
retransmissions (2) reached STATE_QUICK_I1. No acceptable response to our
first Quick Mode message: perhaps peer likes no proposal
Dec 13 11:53:19 localhost Pluto[2878]: "sample" #2: starting keying attempt
2 of an unlimited number, but releasing whack
a na drugim końcu:
Dec 13 11:49:31 localhost Pluto[3905]: "sample" #1: responding to Main Mode
Dec 13 11:49:32 localhost Pluto[3905]: "sample" #1: Peer ID is ID_IPV4_ADDR:
'150.254.170.113'
Dec 13 11:49:33 localhost Pluto[3905]: "sample" #1: sent MR3, ISAKMP SA
established
Dec 13 11:49:33 localhost Pluto[3905]: "sample" #2: responding to Quick Mode
Dec 13 11:49:33 localhost Pluto[3905]: "sample" #2: ERROR: no response to
our PF_KEY SADB_X_ADDFLOW message for flow tun.1001 w 150.254.170.109
Dec 13 11:49:33 localhost Pluto[3905]: "sample" #2: ERROR: no response to
our PF_KEY SADB_X_GRPSA message for group tun.1001 w 150.254.170.109
Dec 13 11:49:33 localhost Pluto[3905]: "sample" #2: ERROR: PF_KEY
SADB_DELETE response for Delete SA esp.16ded2c7 w 150.254.170.109 included
errno 3: No such process
Dec 13 11:49:43 localhost Pluto[3905]: "sample" #1: Quick Mode I1 message is
unacceptable because it uses a previously used Message ID 0xd6401039
(perhaps this is a duplicated packet)
I niestety nie udało mi się uzyskać bezpiecznego połączenia :(
Konfiguracja raczej jest nieważna, moge podesłać. Jest to standardowy
ipsec.conf z wywalonym oportunic i zmienionymi połączeniami (ipku i klucze).
Czy komuś udało się dobrze odpalić dystrybucyjnego freeswana w trybie
tunelowym lub transportowym? Skrypty są ewidentnie popsute, dlatego dziwię
się że 1.97 weszło do Ra.
I jeszcze dodatkowe pytanie: czy ten freeswan jak już zadziała, to obsługuje
IPseca dla IPv6?
Pozdrawiam
--
- Marcin Kaminski ------------------------------------ maxiu -
--- software developer ---------------------- 6net project ---
----- network administrator ----------- Best Group admin -----
------- mail:maxiu w maxiu.com ------ http://maxiu.com ---------
Więcej informacji o liście dyskusyjnej pld-users-pl