Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

ipsec visszajovo csomagok

4 views
Skip to first unread message

Kosa Attila

unread,
Apr 10, 2009, 10:49:37 AM4/10/09
to

Hello!

---- ---- ---- ----
|1 |-------|2 |__ipsec0___| 3|----| 4|
| | | | | | | |
---- ---- ---- ----
|
| ---- ----
| | 5| | 6|
|___ipsec1___| |----| |
---- ----

1 - linuxos gep
2 - linuxos tuzfal
3 - Cisco router
4 - valamilyen gep
5 - feltehetoen linuxos tuzfal
6 - valamilyen gep

Az 1-es gep a 192.168.0.0/16-os haloban van. A 4-es es a 6-os gep
nem ugyanabban a halozatban van, teljesen eltero C osztalyu
cimeik vannak, csakugy, mint a 3-as es az 5-os gepnek is. Tehat
nincs atfedes routing szempontbol egyik iranyba sem (a /24 miatt
ez eleg egyertelmuen latszik).

A 2-es gep SNAT-ot csinal mindket ipsec iranyaba. A 4-es gep fele
123.36.97.2 cimet "mutat", a 6-os gep fele pedig a 100.100.32.23
cimet. Az ipsec0 az eth1:4-re van felhuzva, az ipsec1 az
eth1:1-re.

Ha az 1-es geprol inditok egy pinget a 4-es gepre, akkor gond
nelkul mukodik, az 1-es gepen visszakapom a valaszt. Ha az 1-es
geprol a 6-os gepre inditok egy telnetet (csak az 1521-es port
valaszol azon a gepen, azert kell a telnet), akkor kimegy a
csomag az ipsec1 interfeszen, azonban a visszafele jovo
csomagokat az ipsec0 interfeszen latom, es nem is jutnak vissza
az 1-es gephez. A tcpdump-ban - amikor az ipsec0 interfeszen
mennek az ipsec1-ben visszaerkezo csomagok - azt a cimet latom,
amire a 2-es gep SNAT-olja az 1-es gepet a 6-s gep fele meno
forgalom eseten, tehat a 100.100.32.23 cimet.

A tcpdump a 2-es gepen fut, csak ehhez, es az 1-es gephez ferek
hozza.

Ha felcserelem a ket kapcsolatot, es a fenti ipsec1-bol csinalok
ipsec0-t a konfigban, akkor a telnet mukodik jol, es a visszajovo
icmp csomagokat latom rossz helyen.

Probaltam iptables-szel logoltatni a csomagokat, amelyek kimennek
az interfeszeken (siman igy:
-A FORWARD -o ipsec0 -j LOG --log-prefix "ipsec0 kimeno: " )
azonban a visszatero (es rossz iranyba meno) csomagokat nem
logolja az iptables. Ebbol ugy erzem, hogy mark-ot sem tudna ra
tenni, hogy az alapjan csinaljak routing dontest az ip parancs
segitsegevel.

A google-ben ezt talaltam, mint hasonlo problemat, de sajnos
megoldast nem leltem:
http://bugs.xelerance.com/view.php?id=540

A 2-es gepen Debian Etch van, jelenleg gyari kernellel es gyari
csomagokkal, tehat linux-image-2.6.18-6-686 es openswan
2.4.6+dfsg.2-1.1+etch1.

Mit kellene meg elolvasnom, hogy megoldhassam a problemat?

--
Udvozlettel
Zsiga
_______________________________________________
linux++ mailing list
lin...@mlf.linux.rulez.org
http://mlf2.linux.rulez.org/mailman/listinfo/linux++

Mihaly Zachar

unread,
Apr 10, 2009, 11:19:53 AM4/10/09
to

Kosa Attila wrote:
> Hello!
>
> ---- ---- ---- ----
> |1 |-------|2 |__ipsec0___| 3|----| 4|
> | | | | | | | |
> ---- ---- ---- ----
> |
> | ---- ----
> | | 5| | 6|
> |___ipsec1___| |----| |
> ---- ----
>
> 1 - linuxos gep
> 2 - linuxos tuzfal
> 3 - Cisco router
> 4 - valamilyen gep
> 5 - feltehetoen linuxos tuzfal
> 6 - valamilyen gep
>
> Az 1-es gep a 192.168.0.0/16-os haloban van. A 4-es es a 6-os gep
> nem ugyanabban a halozatban van, teljesen eltero C osztalyu
> cimeik vannak, csakugy, mint a 3-as es az 5-os gepnek is. Tehat
> nincs atfedes routing szempontbol egyik iranyba sem (a /24 miatt
> ez eleg egyertelmuen latszik).
>
> A 2-es gep SNAT-ot csinal mindket ipsec iranyaba. A 4-es gep fele
> 123.36.97.2 cimet "mutat", a 6-os gep fele pedig a 100.100.32.23
> cimet. Az ipsec0 az eth1:4-re van felhuzva, az ipsec1 az
> eth1:1-re.
>

probaltad ugy, hogy nem NAT-olsz ??

ugyanis:
http://wiki.openswan.org/index.php/Openswan/Configure

van benne egy olyan bejegyzes, hogy:


"Do not MASQ or NAT packets to be tunneled"


Misi

Kosa Attila <zsiga@kosaek.hu> kezdo kerdesek nelkul

unread,
Apr 10, 2009, 11:35:16 AM4/10/09
to

NAT nelkul hogyan csinaljam meg, hogy a 192.168.0.23-as IP cimu
geprol kimeno csomagok az ipsec0-n 123.36.97.2 cimmel, az
ipsec1-en 100.100.32.23 cimmel latszodjanak?

--
Udvozlettel
Zsiga

Daniel PATH <danielp@choma.hu> kezdo kerdesek nelkul

unread,
Apr 10, 2009, 12:18:31 PM4/10/09
to

nat traversal support megvan?
amugy ipsec-et natolni tenyleg nem ajanlott

--
dp

_______________________________________________

Nemeth Gyorgy

unread,
Apr 11, 2009, 3:10:02 AM4/11/09
to
Kosa Attila írta:

> Ha az 1-es geprol inditok egy pinget a 4-es gepre, akkor gond
> nelkul mukodik, az 1-es gepen visszakapom a valaszt. Ha az 1-es
> geprol a 6-os gepre inditok egy telnetet (csak az 1521-es port
> valaszol azon a gepen, azert kell a telnet), akkor kimegy a
> csomag az ipsec1 interfeszen, azonban a visszafele jovo
> csomagokat az ipsec0 interfeszen latom, es nem is jutnak vissza
> az 1-es gephez.

Hasonlóval én is találkoztam már, ipsec1-en küldött csomagok válaszát a
tcpdumpban az ipsec0-on kaptam meg, ezzel együtt a kapcsolat működött.
Betudtam annak, hogy vagy a tcpdump vagy valaki más meghülyült.

--
--- Friczy ---
'Death is not a bug, it's a feature'

Mihaly Zachar

unread,
Apr 12, 2009, 9:10:23 AM4/12/09
to

Kosa Attila wrote:
>> probaltad ugy, hogy nem NAT-olsz ??
>>
>> ugyanis:
>> http://wiki.openswan.org/index.php/Openswan/Configure
>>
>> van benne egy olyan bejegyzes, hogy:
>>
>> "Do not MASQ or NAT packets to be tunneled"
>
> NAT nelkul hogyan csinaljam meg, hogy a 192.168.0.23-as IP cimu
> geprol kimeno csomagok az ipsec0-n 123.36.97.2 cimmel, az
> ipsec1-en 100.100.32.23 cimmel latszodjanak?
>


ha ez a feladat, akkor persze nem tudod elkerulni, de egy probat meger...

nekem regebben voltak ebbol gondjaim, de azota sokat valtozott a vilag :)

Misi

Kosa Attila <zsiga@kosaek.hu> kezdo kerdesek nelkul

unread,
Apr 14, 2009, 3:06:01 AM4/14/09
to

On Fri, Apr 10, 2009 at 06:18:31PM +0200, Daniel PATH wrote:
> nat traversal support megvan?
> amugy ipsec-et natolni tenyleg nem ajanlott

Yes-re van allitva az ipsec.conf fajlban a nat_traversal.

--
Udvozlettel
Zsiga

Kosa Attila <zsiga@kosaek.hu> kezdo kerdesek nelkul

unread,
Apr 14, 2009, 3:09:49 AM4/14/09
to

On Sun, Apr 12, 2009 at 03:10:23PM +0200, Mihaly Zachar wrote:
> Kosa Attila wrote:
> >> probaltad ugy, hogy nem NAT-olsz ??
> >>
> >> ugyanis:
> >> http://wiki.openswan.org/index.php/Openswan/Configure
> >>
> >> van benne egy olyan bejegyzes, hogy:
> >>
> >> "Do not MASQ or NAT packets to be tunneled"
> >
> > NAT nelkul hogyan csinaljam meg, hogy a 192.168.0.23-as IP cimu
> > geprol kimeno csomagok az ipsec0-n 123.36.97.2 cimmel, az
> > ipsec1-en 100.100.32.23 cimmel latszodjanak?
>
> ha ez a feladat, akkor persze nem tudod elkerulni, de egy probat meger...

Meg probat sem tudok csinalni, mert a tuloldalon levo gepek csak
azokrol a cimekrol erkezo csomagokra valaszolnak, amik fentebb
lathatoak.

--
Udvozlettel
Zsiga

Kosa Attila <zsiga@kosaek.hu> kezdo kerdesek nelkul

unread,
Apr 14, 2009, 3:12:24 AM4/14/09
to

On Sat, Apr 11, 2009 at 09:10:02AM +0200, Nemeth Gyorgy wrote:
> Kosa Attila írta:
> > Ha az 1-es geprol inditok egy pinget a 4-es gepre, akkor gond
> > nelkul mukodik, az 1-es gepen visszakapom a valaszt. Ha az 1-es
> > geprol a 6-os gepre inditok egy telnetet (csak az 1521-es port
> > valaszol azon a gepen, azert kell a telnet), akkor kimegy a
> > csomag az ipsec1 interfeszen, azonban a visszafele jovo
> > csomagokat az ipsec0 interfeszen latom, es nem is jutnak vissza
> > az 1-es gephez.
>
> Hasonlóval én is találkoztam már, ipsec1-en küldött csomagok válaszát a
> tcpdumpban az ipsec0-on kaptam meg, ezzel együtt a kapcsolat működött.
> Betudtam annak, hogy vagy a tcpdump vagy valaki más meghülyült.

Esetleg kernel- es openswan verziot tudnal mondani? Ugyanis nekem
nem mukodik :(

--
Udvozlettel
Zsiga

Gabor HALASZ

unread,
Apr 14, 2009, 10:44:49 AM4/14/09
to

Kosa Attila wrote:

> valaszol azon a gepen, azert kell a telnet), akkor kimegy a
> csomag az ipsec1 interfeszen, azonban a visszafele jovo
> csomagokat az ipsec0 interfeszen latom, es nem is jutnak vissza
> az 1-es gephez.

Jellegzetes linux tunet, keverednek a virtualis interface-ek forgalmai,
downgrade 2.4-re vagy ket halokartya, vagy migracio valami oprendszerre.

--
Gabor HALASZ <hala...@freemail.hu>

Nemeth Gyorgy

unread,
Apr 14, 2009, 12:30:11 PM4/14/09
to

Kosa Attila írta:

>> Hasonlóval én is találkoztam már, ipsec1-en küldött csomagok válaszát a
>> tcpdumpban az ipsec0-on kaptam meg, ezzel együtt a kapcsolat működött.
>> Betudtam annak, hogy vagy a tcpdump vagy valaki más meghülyült.
>
> Esetleg kernel- es openswan verziot tudnal mondani? Ugyanis nekem
> nem mukodik :(

Majd utánanézek, ugyanis az a cucc benn van a munkahelyen. De majd
holnap megírom magánemailben.

--
--- Friczy ---
'Death is not a bug, it's a feature'

Balazs Scheidler <bazsi@balabit.hu> kezdo kerdesek nelkul

unread,
Apr 18, 2009, 8:23:34 AM4/18/09
to

On Tue, 2009-04-14 at 16:44 +0200, Gabor HALASZ wrote:
> Kosa Attila wrote:
>
> > valaszol azon a gepen, azert kell a telnet), akkor kimegy a
> > csomag az ipsec1 interfeszen, azonban a visszafele jovo
> > csomagokat az ipsec0 interfeszen latom, es nem is jutnak vissza
> > az 1-es gephez.
>
> Jellegzetes linux tunet, keverednek a virtualis interface-ek forgalmai,
> downgrade 2.4-re vagy ket halokartya, vagy migracio valami oprendszerre.
>

s/linux/openswan/g

nativ ipsec tamogatas nem opcio?

--
Bazsi

Gabor HALASZ

unread,
Apr 20, 2009, 3:59:01 AM4/20/09
to

Balazs Scheidler wrote:
>
> s/linux/openswan/g
>
> nativ ipsec tamogatas nem opcio?
>
Ujabban csak netkey-t tamogat az openswan. A regi verziokat meg nem
tanacsos hasznalni, mert dosolhatok (CVE-2009-0790), es az aktualis
verziot is patkolni kell.

--
Gabor HALASZ <hala...@freemail.hu>

Kosa Attila <zsiga@kosaek.hu> kezdo kerdesek nelkul

unread,
Apr 20, 2009, 4:02:13 AM4/20/09
to

On Sat, Apr 18, 2009 at 02:23:34PM +0200, Balazs Scheidler wrote:
>
> nativ ipsec tamogatas nem opcio?

Nem zarkozom el semmitol, de nincs tapasztalatom vele, es nincs
sok lehetoseg a kiserletezesre. Van valami doksi, amit el kellene
olvasnom a temaval kapcsolatban?

--
Udvozlettel
Zsiga

Gabor HALASZ

unread,
Apr 20, 2009, 4:23:41 AM4/20/09
to

Kosa Attila wrote:
> On Sat, Apr 18, 2009 at 02:23:34PM +0200, Balazs Scheidler wrote:
>> nativ ipsec tamogatas nem opcio?
>
> Nem zarkozom el semmitol, de nincs tapasztalatom vele, es nincs
> sok lehetoseg a kiserletezesre. Van valami doksi, amit el kellene
> olvasnom a temaval kapcsolatban?
>
Csak a 2.4.13-as opwnswan-ig volt klips support 2.6-hoz, az meg lassan
egy eves, igy eleg kuzdelmes lenne az aktualis kernelbe belepatchelni
(ha sikerult, akkor csak be kell kapcsolni a kernelkonfigban). Masreszt
lasd az elozot levelem, csak a legujabb (2.6.21-es) es bugfixelt
openswan-t celszeru hasznalni, mert egy megfeleloen formazott csomagtol
ujraindul a pluto daemon.

--
Gabor HALASZ <hala...@freemail.hu>

Kosa Attila <zsiga@kosaek.hu> kezdo kerdesek nelkul

unread,
May 22, 2009, 8:52:03 AM5/22/09
to

On Mon, Apr 20, 2009 at 10:02:13AM +0200, Kosa Attila wrote:
> On Sat, Apr 18, 2009 at 02:23:34PM +0200, Balazs Scheidler wrote:
> >
> > nativ ipsec tamogatas nem opcio?
>
> Nem zarkozom el semmitol, de nincs tapasztalatom vele, es nincs
> sok lehetoseg a kiserletezesre. Van valami doksi, amit el kellene
> olvasnom a temaval kapcsolatban?

Nagy koszonet Bazsinak a telefonos segitsegert! Meg finomitanom
kell a csomagszuro szabalyokon, de mukodik a dolog.

0 new messages