November 2019

S M T W T F S
      12
34 5 678 9
10111213141516
17181920212223
24252627282930

Navigation

Page Summary

Style Credit

Expand Cut Tags

No cut tags

Какая гадость этот ваш IPSec

dil: (Default)
[personal profile] dil
Sunday, October 3rd, 2010 10:59 pm

В очередной раз поискав линуксовый клиент к Checkpoint VPN-серверу, нашел Shrew Soft VPN. Поставился из штатного пакета, всего каких-то три часа подбора правильных параметров, и вуаля – оно подцепилось к серверу.

Получило IP-адрес, создало соответствующие записи Security Policy, setkey их показывает, вроде всё нормально, а только ни один хост из внутренней сети не доступен. Туда пакеты уходят, в ответ полная тишина. И что дальше делать, совершенно непонятно.

А из windows с родным клиентом всё работает.

Оригинал этой записи. Комментировать можно тут или там.

Любые материалы из этого блога запрещается использовать на сайте livejournal.ru в любой форме и любом объёме

Tags:
Flat | Top-Level Comments Only

[identity profile] alexkuklin.livejournal.com
Sunday, October 3rd, 2010 10:19 pm (UTC)
IPsec - очень забавная хня.
90% "крутых цисковедов" в лучшем случае знает, как согласовать параметры на двух цисках для обеспечения работы канала.
ситуация, когда с другой стороны - не циска, а что-то другое - приводит таких в состояние "понос-судороги-смерть"

[identity profile] dil.livejournal.com
Monday, October 4th, 2010 06:43 am (UTC)
Ну параметры ладно, я кое-как подобрал. А вот что дальше-то делать?
Это чудо природы создало tap0, и кроме SP ещё засобачило точно такие же маршруты на внутреннюю сеть через этот tap0. Но трафик через tap0 не ходит, естественно, IPsec'освские политики отрабатываются раньше. И я вижу исходящий шифрованный трафик, а обратно ничего не приходит.

[identity profile] blog.vnaum.com (from livejournal.com)
Monday, October 4th, 2010 07:01 am (UTC)
А на той стороне маршруты-то прописаны?
Там в курсе, что вот этой сетке надо отвечать через ipsec?

[identity profile] dil.livejournal.com
Monday, October 4th, 2010 07:22 am (UTC)
Очевидно, да. В винду-то оно их отдаёт. Адрес выдаётся динамический, из той же подсети /25, что и в винде.

[identity profile] dmarck.livejournal.com
Monday, October 4th, 2010 07:01 am (UTC)
Вот тут-то, кажется, оно и порылось. Ты в случае Wind0ze клиента какой-нибудь wireshark dump снять и посравнивать пробовал?

[identity profile] dil.livejournal.com
Monday, October 4th, 2010 07:26 am (UTC)
Дамп чего именно? Шифрованного трафика на физическом интерфейсе? Когда я из линукса запускаю пинг, вижу исходящие шифрованные пакеты с частотой раз в секунду, как и положено.
Из windows, вероятно, увижу ещё и входящие.
А нешифрованный трафик непонятно как в линуксе сниффить. IPSec отрабатывает в где-то глубоко в ядре.

[identity profile] dmarck.livejournal.com
Monday, October 4th, 2010 07:34 am (UTC)
Ну, статистически хотя бы, провести одно и то же краткое действие и посравнивать размеры и количество пакетов, заголовки контейнеров, в общем, всё, не являющееся payload.

[identity profile] e1am0.livejournal.com
Monday, October 4th, 2010 07:45 am (UTC)
гыгыгы. чёт меня ностальгия пропёрла. вспомнил, как разбирался с работой иписека, выводя содержимое мбуфов. ггг

[identity profile] dil.livejournal.com
Monday, October 4th, 2010 11:43 am (UTC)
Не, как он в целом работает, я понимаю. А вот куда копать в моем конкретном случае, когда вроде бы всё правильно, никаких ошибок нет, а не работает - не понимаю :(
Flat | Top-Level Comments Only