[OT] IPSec w OVH

Daniel Mróz beorn w alpha.pl
Czw, 18 Lis 2010, 13:53:08 CET 

Cześć

Przepraszam za offtopa, ale może ktoś z Was się z czymś takim spotkał.
Nie mogę sobie poradzić z zestawieniem IPSec na serwerze w OVH. Próbuję
go spiąć z maszyną na PLD, na której IPSec działa bez najmniejszych
problemów. Na serwerze w OVH natomiast jest jakiś dziwny fuckup.
Zmieniałem kernele (dystrybucyjne, od OVH, najnowsze 2.6.36 z
kernel.org) oraz dystrybucje, na wszystkich ten sam problem i tylko
w OVH.
W kernele wkompilowywałem (statycznie) IPSec, AH, ESP i wszystkie
algorytmy crypto, bo standardowe jądro OVH tego nie ma. Połączenie
konfiguruję poprzez:



flush;
spdflush;
add $ADRES_OVH $ADRES_PLD ah 0x200 -A hmac-md5 $KLUCZ_A;
add $ADRES_PLD $ADRES_OVH ah 0x300 -A hmac-md5 $KLUCZ_B;
add $ADRES_OVH $ADRES_PLD esp 0x201 -E rijndael-cbc $KLUCZ_C;
add $ADRES_PLD $ADRES_OVH esp 0x301 -E rijndael-cbc $KLUCZ_D;
spdadd $ADRES_OVH $ADRES_PLD any -P out ipsec esp/transport//require ah/transport//require;
spdadd $ADRES_PLD $ADRES_OVH any -P in ipsec esp/transport//require ah/transport//require;



Na PLD jest to samo, tylko z zamienionymi politykami in/out. Próbowałem
też z 3des-cbc.  Pakiety z PLD dolatują (zaszyfrowane) do serwera w OVH,
ale ten milczy. Próba wysłania czegokolwiek z OVH kończy się tak:



server-ovh ~ # ping -c 5 $ADRES_PLD
PING ADRES_PLD (ADRES_PLD) 56(84) bytes of data.
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted
ping: sendmsg: Operation not permitted



Wszystkie łańcuchy filtra pakietów są puste i mają domyślną politykę
ACCEPT. NATy też puste. W logach kernel nic nie zeznaje. Przy powyższym
teście pakiety ICMP nie wychodzą poza kernel.
Wysłałem zapytanie do OVH, dostałem odpowiedź, że pytanie przekazali
administratorom i od tamtej pory cisza.
Kończą mi się już pomysły. Wiecie czego mam szukać, lub na czym polega
problem?
Wygooglałem wiele tego typu problemów (sporo na serwerach OVH), ale
rozwiązania albo nie mają w moim przypadku zastosowania, albo nie ma
żadnej odpowiedzi.


Pozdrawiam
Beorn

-- 
Daniel 'Beorn' Mróz <beorn w alpha.pl>    http://127.0.0.1/beorn
[GIT d s:- a-@ C++++ UL++++$ P+ L++++ E--- W+ N+++ o? K- w---]
[O- M- V!  PS+ PE++ Y+ PGP++ t- 5  X R !tv b+ DI D++ G++ e h*]
[                          r++  y+                           ]

Więcej informacji o liście dyskusyjnej pld-users-pl