[Techinfo] ipsec server linuxon

Sándor Fehér fehersandor at madach-starjan.sulinet.hu
2017. Aug. 24., Cs, 13:41:46 CEST


 >a hibauzenet annyibol erdekes, hogy nem derul ki melyik oldalrol 
szarmazik.  a szerverrol, onnan ahonnan a konfigot is masoltad?  akkor 
nem trivialis, hogy a left vagy right oldalra panaszkodott.  Nyilvan a 
leftnek nem kotelezo any-nek lennie, azt kicserelhetned az ismert 
 >cimre, akkor legalabb egyertelmu lenne, melyik oldallal van baja.
A konfig a left oldali konfiguráció és a left= kiprobáltam ip címmel is 
és úgy is panaszkodik a "right=%any" paraméterre

 >de egyetertek abban, hogy az uzenet nem normalis, mivel nevfeloldasi 
hibanak tunik, noha ezt a specialis nevet eppen, hogy nem kellene 
nevfeloldania.
Így van, szerintem is ez a baj és ez egy BUG lesz.

 >ertem en, hogy valtozik a cimed ahonnan a kapcsolatot teszteled, de 
csak a proba kedveert megcsinalnam a konfigot az aktualis ip cimre es 
megneznem, hogy amugy egyebkent mukodne-e, vagy az any-n kivul van-e meg 
mas baja is.
Tegnap még ezt is megnéztem egy site-to-site felállásban és úgy felépült 
a kapcsolat. ( konkrét ip címeket írtam left= és right= mellé) Csak a 
%any nem akarja elfogadni.

 >nem tudom milyen vegpontokra szamitasz, de ha esetleg mobil 
eszkozokkel hasznalod, en megfontolnam az aes128-at, sot, akar a 3des -t 
is - kevesse cpu intenziv, jot tesz az aksinak.
Igen, android telefonok (is) + win 7/10 + linux strongswan kliens

 >nem teljesen ertem, hogy a rekey miert no.
csak teszt kedvéért.

 >egy minta tolem, ami mukodik
Köszi, letesztelem a mintát is. Ha nem ok, akkor fordítok egy "latest 
stable" buildet. Debiannál megszokott, hogy ezeréves, de általában 
teljesen jól működő agyontesztelt csomagjai vannak. Kicsit csodálkozom 
ezen a strongswan esetében, hogy ott látszólag nem így van.

 >mivel az elejen onnan indult a sztori, ha jol emlekszem, hogy a voip 
rtp nem megy, gondolom ahhoz reszeled a vpn-t, en egy fenti konfiggal 
probalkoznek, ahol left nyilvan az ipsec szervered publikus ip-je, 
leftsubnet az a privat (akar loopback) interfesz amit el kell erni a 
 >vpn-en at, rightsubnet pedig az akinek a forgalma titkositasra kerul, 
azaz a halozat ahol a voip kliensek vannak.
Így van meguntam az openvpn-t és lecserélem. A voip-os feladatra nem 
igazán ez a jó választás.
Közeljövőben mikrotikkel is összehegeszteném a strongswant, ezzel 
szemben az openvpn támogatása a mikrotiknek egyszerűen borzalmas.

 >- miutan elerted a mukodest, ha _egy_ any -val sem mukodik, akkor 
johet a forrasbol forditas, mert akkor a bugba futottal
Teszteltem fix ip-vel mindkét oldalon és ez lesz a baj. Jöhet a 
fordítás. ( már tegnap is sejtettem, hogy ilyesféle lesz a probléma gyökere)

KÖSZÖNÖM!

2017. 08. 23. 23:10 keltezéssel, ka at mayten.sch.bme.hu írta:
>
>
> On 08/23/2017 20:42, Sándor Fehér wrote:
>> /ipsec up ikev2-vpn/
>> unable to resolve %any, initiate aborted
>> tried to check-in and delete nonexisting IKE_SA
>> establishing connection 'ikev2-vpn' failed
>>
>
> en forrasbol raktam, igy nem tudok nyilatkozni a debian repoban 
> levorol.  eppen azert raktam fel forrasbol, mert nekem rendkivul 
> ellenszenves, ahogy peldaul a konfigokat kezelik, szemben a standard 
> csomagbol forditottal.  ha bugos a repoban levo, arra tehat nem en 
> fogok rajonni, en is csak elhinnem amit az internet ir.  oreg vagyok 
> en mar ahhoz, hogy egy szimpla apache konfigot is symlinkelgessek 
> szanaszet es 20 file-ban kelljen turkalni - en a forrasbol forditott 
> dolgokban hiszek.
>
> a hibauzenet annyibol erdekes, hogy nem derul ki melyik oldalrol 
> szarmazik.  a szerverrol, onnan ahonnan a konfigot is masoltad? akkor 
> nem trivialis, hogy a left vagy right oldalra panaszkodott. Nyilvan a 
> leftnek nem kotelezo any-nek lennie, azt kicserelhetned az ismert 
> cimre, akkor legalabb egyertelmu lenne, melyik oldallal van baja.
>
> de egyetertek abban, hogy az uzenet nem normalis, mivel nevfeloldasi 
> hibanak tunik, noha ezt a specialis nevet eppen, hogy nem kellene 
> nevfeloldania.
>
>> Nem ismeri a konfigban a %any pedig ez kell az RW-hez.
>
> ertem en, hogy valtozik a cimed ahonnan a kapcsolatot teszteled, de 
> csak a proba kedveert megcsinalnam a konfigot az aktualis ip cimre es 
> megneznem, hogy amugy egyebkent mukodne-e, vagy az any-n kivul van-e 
> meg mas baja is.
>
> vegigneztem a konfigot amit bemasoltal, par gondolat:
>
> latom, aes256-ot hasznalsz.  ezt olvastad?
> https://www.schneier.com/blog/archives/2009/07/another_new_aes.html
>
> nem tudom milyen vegpontokra szamitasz, de ha esetleg mobil 
> eszkozokkel hasznalod, en megfontolnam az aes128-at, sot, akar a 3des 
> -t is - kevesse cpu intenziv, jot tesz az aksinak.
>
> ezzel parhuzamosan valoszinuleg az 1024-es kulcshosszt megemelnem 
> 1536-ra - mivel ez csak phase 1-ben kerul hasznalatra, ritkabban 
> terheli a cpu-t, de ugy tudom az 1024 bites kulcsok ma mar nem 
> szamitanak kulonosebben biztonsagosnak.
>
> nalam auto=start van, azaz indulaskor betolti a konfigot es el is 
> inditja, nalad csak betolti, de lehet, hogy van valami okod, hogy 
> szandekosan kezzel akarod inditani - de ez csak kozmetikai kulonbseg.
>
> nem teljesen ertem, hogy a rekey miert no.  rejtelyes hibak forrasa 
> lehet, ami ilyen konfig mellett a tuloldaltol fugg, hogy elojon-e vagy 
> sem.  ha a tuloldalon is no van, akkor a lejaro kapcsolat parameterei 
> nem lesznek ujraegyeztetve.  de megint csak: nem tudok a 
> hattersztorirol, lehet valami okod van ezt hasznalni.
>
> az sem teljesen vilagos, mi ertelme van left any-t allitani, majd 
> leftid -t megadni, elegendo lenne left=ip cim is szerintem.
>
> mivel a rightid alapertelmezetten a right erteket veszi fel, ezt sem 
> ertem miert duplaztad, es mivel pont az %any-rol szol a hibauzeneted, 
> ezt a konfigban atirnam, mielott nekiesek forditani egyet forrasbol.
>
> egy minta tolem, ami mukodik egy cisco 877 routerrel, ami csak 
> kvazi-roadwarrior, mivel a maga mogotti halozatot is lathatova teszi:
>
> conn %default
>         ikelifetime = 1d
>         keylife = 8h
>         keyingtries = 20
>         keyexchange = ikev1
>         authby = secret
>         ike = aes128-sha1-modp2048!
>         esp = aes128-sha256!
>         type = tunnel
>
> conn mjv-mira_to_core
>         left = a.b.c.d
>         leftfirewall = no
>         leftsubnet = e.f.g.h/26
>         right = %any
>         rightsubnet = i.j.k.l/26
>         ike = aes128-sha1-modp1536!
>         esp = aes128-sha!
>         auto = start
>
> mivel az elejen onnan indult a sztori, ha jol emlekszem, hogy a voip 
> rtp nem megy, gondolom ahhoz reszeled a vpn-t, en egy fenti konfiggal 
> probalkoznek, ahol left nyilvan az ipsec szervered publikus ip-je, 
> leftsubnet az a privat (akar loopback) interfesz amit el kell erni a 
> vpn-en at, rightsubnet pedig az akinek a forgalma titkositasra kerul, 
> azaz a halozat ahol a voip kliensek vannak.
>
> mint latod en kisebb kulcsszammal csinaltam aes-t, elsosorban azert, 
> mert a 877-es router egy eleg csoffadt darab, nem kell, hogy a cpu 
> futse a szobat amiben van.  valamint en csak ikev1-et hasznalok.  igy 
> a relevans reszeket modositva (pl. ikev2) a sajat esetedre egy 
> mindenkepp jo konfigot kell kapj.
>
> azaz, ha
>
> - az any-kat ideiglenesen kiveve mukodik, akkor csak kozmetikai hibak 
> vannak a konfigodban, ne foglalkozz a levelemmel
> - az any-kat ideiglenesen kiveve sem mukodik akkor egyertelmu 
> hibauzenet lesz, mi a gond, javitsd
> - miutan elerted a mukodest, ha _egy_ any -val sem mukodik, akkor 
> johet a forrasbol forditas, mert akkor a bugba futottal
>



További információk a(z) Techinfo levelezőlistáról