[linux-l] ipsec mit racoon

Frank Reker frank at reker.net
Mo Jul 23 22:31:38 CEST 2018 

Hallo,
hat jemand Erfahrung mit ipsec mit racoon?
(roadwarrior setup)

wenn ich die proposal
authentication_method rsasig;
verwende funktioniert die verbindung. es wird aber
keine mode_cfg gesendet.
setze ich authentication_method auf hybrid_rsa_server
bzw hybrid_rsa_client
wird eine mode_cfg gesendet, aber es gibt einen fehler:

auf server seite
---snip----
[...]
2018-07-23 21:57:32: DEBUG: MODE_CFG packet to send
2018-07-23 21:57:32: DEBUG:
703f8ab0 5b8666e5 c4dcf3ec 073bdc84 08100601 a6055e21 00000048 0e000018
ca0352ca 84de90e4 ebf2e3f7 1c1264be 3e329a0d 00000014 010000e7 c0880000
40890000 408a0000
[...]
---snap-----

und auf client seite
---snip----
2018-07-23 21:57:32: DEBUG: MODE_CFG packet
2018-07-23 21:57:32: DEBUG:
703f8ab0 5b8666e5 c4dcf3ec 073bdc84 08100601 a6055e21 0000004c d75639fd
8e140f9a 7dc2280e 66287715 1c1264be 3e329a0d 00000014 010000e7 c0880000
40890000 408a0000 d5a58d03
2018-07-23 21:57:32: WARNING: Short payload
---snap----

die beiden hexdumps unterscheiden sich vom 7. bis zum 11. 32-bit-Wort.
auch ist das paket auf client seite scheinbar laenger.
aber mehr kann ich aus dem hexdump nicht erkennen. 
Auch wenn ich mir die RFC 5996 zur Seite nehme, ergibt der Hexdump
keinen Sinn fuer mich.

Wie dem auch sei, die Verbindung funktioniert, aber die mode_cfg
wird nicht uebernommen, das phase1_up script wird nicht getriggert
und racoonctl vc ... haengt.

hier die config server seitig:
---snip----
path certificate "/root/cert-dir/";

remote anonymous
{
        exchange_mode main;
        nat_traversal force;
        dpd_delay 20;
        certificate_type x509 "vpnHostCert.pem" "vpnHostKey.pem";
        ca_type x509 "rootCACert.pem";
        send_cert on;
        my_identifier asn1dn;
        passive on;
        generate_policy on;

        proposal
        {
                encryption_algorithm aes;
                hash_algorithm sha1;
                authentication_method hybrid_rsa_server;
                dh_group modp1024;
        }
}

sainfo anonymous
{
        encryption_algorithm null_enc;
        authentication_algorithm hmac_sha1;
        compression_algorithm deflate;
}

mode_cfg 
{
        network4 10.10.4.1;
        netmask4 255.255.255.0;
}
---snap---

und client seitig:
---snip---
path certificate "/root/racoon/cert-dir/";

remote anonymous
{
    exchange_mode main;
    nat_traversal force;
    dpd_delay 20;
    certificate_type x509 "FrankCert.pem" "FrankKey.pem";
    ca_type x509 "HaapRootCACert.pem";
    send_cert on;
    my_identifier asn1dn;
    mode_cfg on;

    script "/root/racoon/updown.sh" phase1_up;
    script "/root/racoon/updown.sh" phase1_down;
    script "/root/racoon/updown.sh" phase1_dead;

    proposal
    {
        encryption_algorithm aes;
        hash_algorithm sha1;
        authentication_method hybrid_rsa_client;
        dh_group modp1024;
    }
}

sainfo anonymous
{
    encryption_algorithm null_enc;
    authentication_algorithm hmac_sha1;
    compression_algorithm deflate;
}
---snap----

das updown.sh script schreibt nur die config (set) nach /tmp
(zum debuggen).

// damit die verbindung funktioniert muss ich natuerlich
// die spd's haendisch schreiben, und auch die routen.
// und genau das will ich ja automatisieren, nur solange die
// config nicht (korrekt) mitgesendet wird....


ich seh einfach nicht was ich falsch mache.



-- 
Don't worry be happy ...
Ciao Frank Reker

Mehr Informationen über die Mailingliste linux-l