BSDPORTAL.RU

На этом сайте обсуждаются вопросы использования ОС FreeBSD
 Портал  •  Статьи  •  Форум  •  Wiki  •  Поиск  •  FAQ  •  Обои  •   Официальная документация  •  Новые темы 

Часовой пояс: UTC + 4 часа




Начать новую тему Ответить на тему  [ Сообщений: 6 ] 
Автор Сообщение
 Заголовок сообщения: IPSEC в гетерогенной сети
СообщениеДобавлено: Пн 11 июн, 2007 12:42 am 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 21 апр, 2006 2:30 pm
Сообщения: 12
Откуда: Lviv
у меня есть сетка примерно на 20 компутеров. появилась необходимость шифрования всего трафика. остановил свой выбор на ipsec в транспортном режиме с помощю racoon.
проблема в том что в сетке у меня есть и FreeBSD6.2 и виндовс-машины. отказаться от винды к сожалению пока не удается.
настраивал по
http://www.opennet.ru/base/net/ipsec_win2bsd.txt.html
и
http://www.opennet.ru/base/sec/ipsec2_bsd.txt.html
так как более дельной конфигурации не нашел.
использовал на всех машинах один клиентский сертификат. понимаю что не безопасно, но вводить сразу 20 штук, пока нет рабочего конфига немного геморойно.
вот примерный вид конфига
Код:
# $KAME: racoon.conf.in,v 1.18 2001/08/16 06:33:40 itojun Exp $

# "path" must be placed before it should be used.
# You can overwrite which you defined, but it should not use due to confusing.
path include "/usr/local/etc/racoon" ;
#include "remote.conf" ;

# search this file for pre_shared_key with various ID key.
#path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;

# racoon will look for certificate file in the directory,
# if the certificate/certificate request payload is received.
path certificate "/usr/local/etc/racoon/cert" ;

# "log" specifies logging level.  It is followed by either "notify", "debug"
# or "debug2".
log debug4;
#log notify;
#
# "padding" defines some parameter of padding.  You should not touch these.
padding
{
        maximum_length 20;      # maximum padding length.
        randomize off;          # enable randomize length.
        strict_check off;       # enable strict check.
        exclusive_tail off;     # extract last one octet.
}

# if no listen directive is specified, racoon will listen to all
# available interface addresses.
listen
{
        #isakmp ::1 [7000];
        #isakmp 111.222.333.444 [500];
        #admin [7002];          # administrative's port by kmpstat.
        #strict_address;        # required all addresses must be bound.
}

# Specification of default various timer.
timer
{
        # These value can be changed per remote node.
        counter 5;              # maximum trying count to send.
        interval 20 sec;        # maximum interval to resend.
        persend 1;              # the number of packets per a send.

        # timer for waiting to complete each phase.
        phase1 30 sec;
        phase2 15 sec;
}

remote anonymous
{
        exchange_mode main,aggressive;
        doi ipsec_doi;
        situation identity_only;

        #my_identifier address;
        #my_identifier user_fqdn "sakane@kame.net";
        my_identifier asn1dn;
        #peers_identifier user_fqdn "sakane@kame.net";
        #peers_identifier asn1dn;
        #verify_identifier off;
        #verify_identifier on;
        certificate_type x509 "ipsec-server.crt" "ipsec-server.key";
        #peers_certfile "ipsec-client.crt";
        #passive on;
        #generate_policy on;

        nonce_size 16;
        lifetime time 60 min;   # sec,min,hour
        initial_contact on;
        support_mip6 on;
        proposal_check obey;    # obey, strict or claim

        proposal {
                encryption_algorithm 3des;
                hash_algorithm sha1;
                authentication_method rsasig ;
                dh_group 2 ;
        }
}

sainfo anonymous
{
        pfs_group 1;
        lifetime time 30 sec;
        encryption_algorithm 3des, des ;
        authentication_algorithm hmac_sha1, hmac_md5;
        compression_algorithm deflate ;
}

айпишники в сети раздаются при помощи dhcp
политики безопасности SPD установлены на необходимость шифрования всего трафика(из 0.0.0.0 в 0.0.0.0).
результат следующий: все прекрасно работает между FreeBSD хостами, все прекрасно работает между Windows хостами.
дальше интереснее! если винда инициирует соединение с фрюхой то все ок и пакеты нормально ходят в обоих направлениях на протяжении лайфтайма. если фрюха инициализирует соединение с виндой то договориться о политиках они не могут!!! в логах пишет о неудавшейся фазе 2, в силу полученого сообщения(к сожалению не могу сейчас привести точный текст).
В чем может быть проблема или ошибка??


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 12 июн, 2007 3:09 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 15 фев, 2007 5:45 am
Сообщения: 154
1) На клиентскую машину вешается 2 сертификата: Корневой и клиентский.
2) В клиентские сертификаты необходимо добавлять разширения для поддержки XP
3) В /etc/ipsec.conf необходимо описать транспорт


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вт 12 июн, 2007 4:07 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 21 апр, 2006 2:30 pm
Сообщения: 12
Откуда: Lviv
1. да. на клиентскую машину экспортируется сертификат ЦА и ключ+сертификат клиента.
2. в случае винды ключ+сертификат переводятся в формат p12
3. в ipsec.conf описан транспорт из 0.0.0.0 в 0.0.0.0, тоесть весь трафик.

надеюсь именно так и надо? или я не прав?

собственно интересует почему не одинаков результат при freebsd->windows и windows->freebsd ???


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 13 июн, 2007 12:42 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Чт 15 фев, 2007 5:45 am
Сообщения: 154
Если при пигование с одной вин машины другой первые пару строк результатов пинга содержат сообщение "Согласование параметров безопасности", тогда проблема в сертификатах, если нет тогда не включена ipsec на вин машинах.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср 13 июн, 2007 2:17 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 21 апр, 2006 2:30 pm
Сообщения: 12
Откуда: Lviv
1)win->win
2 cтроки согласования и идут пинги.
2)bsd->bsd
задержка около 3 секунд и идут пинги
3)win->bsd
1 строка согласования и идут пинги
4)bsd->win
пинги не идут пока не совершить пинг по пункту 3). после этого пинги идут.

ipsec включена на всех машинах.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс 27 янв, 2008 6:21 pm 
Не в сети
Аватара пользователя

Зарегистрирован: Пт 21 апр, 2006 2:30 pm
Сообщения: 12
Откуда: Lviv
подскажите плз в чем может быть дело.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 6 ] 

Часовой пояс: UTC + 4 часа


Кто сейчас на конференции

Зарегистрированные пользователи: Bing [Bot], Majestic-12 [Bot]


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB
Яндекс.Метрика