[freebsd] IPSec+gif+tcpdump

Artem J. Berezovsky

unread,

Feb 13, 2009, 6:26:40 AM2/13/09

to fre...@uafug.org.ua

Привет всем.

Имеется не то что-бы проблема, но уж очень мозолит глаза, хотя на функциональности
не отражаеться. Быть может кто-то уже замечал такое поведение и/или знает о ее причинах,
поделитесь соображениями.
В ведении находиться некоторое кол-во VPN IPSec, везде используются ключи для шифрования.
В крайнее время начал замечать несколько непривычный "выхлоп" tcpdump`а на gif`ах, далее
все по порядку.

С обоих сторон:
система:
FreeBSD 7.0-RELEASE #0: i386
ядро:
options IPSEC
options IPSEC_DEBUG
options IPSEC_FILTERTUNNEL
device crypto
используеться:
ipsec-tools-0.7

схема подключения:

aa.aa.aa.aa - частный IP адрес gif тунеля с моей стороны
XXX.XXX.XXX.XXX - Реальный IP адрес с моей стороны
|
|
(VPN IPSec)
|
|
YYY.YYY.YYY.YYY - Реальный IP адрес со стороны пира
bb.bb.bb.bb - частный IP адрес gif тунеля со стороны пира

Делаем раз: ping -c4 -S aa.aa.aa.aa bb.bb.bb.bb

На интерфейсе с реальным адресом XXX.XXX.XXX.XXX видим
что, траффик шифруеться как положено:

somedomain# tcpdump -i rl0 -n host YYY.YYY.YYY.YYY
11:53:52.366876 IP XXX.XXX.XXX.XXX > YYY.YYY.YYY.YYY: ESP(spi=0x064841ba,seq=0x23), length 140
11:53:52.408132 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x057d1f07,seq=0x1f), length 140
11:53:53.368065 IP XXX.XXX.XXX.XXX > YYY.YYY.YYY.YYY: ESP(spi=0x064841ba,seq=0x24), length 140
11:53:53.393773 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x057d1f07,seq=0x20), length 140
11:53:54.370049 IP XXX.XXX.XXX.XXX > YYY.YYY.YYY.YYY: ESP(spi=0x064841ba,seq=0x25), length 140
11:53:54.412075 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x057d1f07,seq=0x21), length 140
11:53:55.371075 IP XXX.XXX.XXX.XXX > YYY.YYY.YYY.YYY: ESP(spi=0x064841ba,seq=0x26), length 140
11:53:55.397260 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: ESP(spi=0x057d1f07,seq=0x22), length 140

Однако на гифе непривычные, быть может для меня, строки с "echo reply"

somedomain# tcpdump -i gif0 -n
11:53:34.444635 IP aa.aa.aa.aa > bb.bb.bb.bb: ICMP echo request, id 12304, seq 0, length 64
11:53:34.491027 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: IP bb.bb.bb.bb > aa.aa.aa.aa: ICMP echo reply, id 12304, seq 0, length 64 (ipip-proto-4)
11:53:35.445924 IP aa.aa.aa.aa > bb.bb.bb.bb: ICMP echo request, id 12304, seq 1, length 64
11:53:35.472775 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: IP bb.bb.bb.bb > aa.aa.aa.aa: ICMP echo reply, id 12304, seq 1, length 64 (ipip-proto-4)
11:53:36.447933 IP aa.aa.aa.aa > bb.bb.bb.bb: ICMP echo request, id 12304, seq 2, length 64
11:53:36.489129 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: IP bb.bb.bb.bb > aa.aa.aa.aa: ICMP echo reply, id 12304, seq 2, length 64 (ipip-proto-4)
11:53:37.449065 IP aa.aa.aa.aa > bb.bb.bb.bb: ICMP echo request, id 12304, seq 3, length 64
11:53:37.475596 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: IP bb.bb.bb.bb > aa.aa.aa.aa: ICMP echo reply, id 12304, seq 3, length 64 (ipip-proto-4)

Имею такое только лишь на 7.х, на 6.х дамп показывает "классическую
картинку" типа этой:

enotherdomain# tcpdump -i gif0 -n
listening on gif0, link-type NULL (BSD loopback), capture size 96 bytes
13:24:30.173594 IP aa.aa.aa.aa > bb.bb.bb.bb: ICMP echo request, id 10803, seq 0, length 64
13:24:30.174373 IP bb.bb.bb.bb > aa.aa.aa.aa: ICMP echo reply, id 10803, seq 0, length 64
13:24:31.174241 IP aa.aa.aa.aa > bb.bb.bb.bb: ICMP echo request, id 10803, seq 1, length 64
13:24:31.175262 IP bb.bb.bb.bb > aa.aa.aa.aa: ICMP echo reply, id 10803, seq 1, length 64
13:24:32.237202 IP aa.aa.aa.aa > bb.bb.bb.bb: ICMP echo request, id 10803, seq 2, length 64
13:24:32.237931 IP bb.bb.bb.bb > aa.aa.aa.aa: ICMP echo reply, id 10803, seq 2, length 64
13:24:33.238223 IP aa.aa.aa.aa > bb.bb.bb.bb: ICMP echo request, id 10803, seq 3, length 64
13:24:33.239201 IP bb.bb.bb.bb > aa.aa.aa.aa: ICMP echo reply, id 10803, seq 3, length 64

То есть смущение вызывает строки вида:
11:53:34.491027 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: IP bb.bb.bb.bb > aa.aa.aa.aa: ICMP echo reply, id 12304, seq 0, length 64 (ipip-proto-4)

Спасибо за ответы.

--
С уважением, Артем
mailto:art-f...@ukr.net

Mikolaj Golub

unread,

Feb 15, 2009, 4:09:45 AM2/15/09

to fre...@uafug.org.ua

On Fri, 13 Feb 2009 13:26:40 +0200 Artem J. Berezovsky wrote:

AJB> somedomain# tcpdump -i gif0 -n
AJB> 11:53:34.444635 IP aa.aa.aa.aa > bb.bb.bb.bb: ICMP echo request, id 12304, seq 0, length 64
AJB> 11:53:34.491027 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: IP bb.bb.bb.bb > aa.aa.aa.aa: ICMP echo reply, id 12304, seq 0, length 64 (ipip-proto-4)
AJB> 11:53:35.445924 IP aa.aa.aa.aa > bb.bb.bb.bb: ICMP echo request, id 12304, seq 1, length 64
AJB> 11:53:35.472775 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: IP bb.bb.bb.bb > aa.aa.aa.aa: ICMP echo reply, id 12304, seq 1, length 64 (ipip-proto-4)
AJB> 11:53:36.447933 IP aa.aa.aa.aa > bb.bb.bb.bb: ICMP echo request, id 12304, seq 2, length 64
AJB> 11:53:36.489129 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: IP bb.bb.bb.bb > aa.aa.aa.aa: ICMP echo reply, id 12304, seq 2, length 64 (ipip-proto-4)
AJB> 11:53:37.449065 IP aa.aa.aa.aa > bb.bb.bb.bb: ICMP echo request, id 12304, seq 3, length 64
AJB> 11:53:37.475596 IP YYY.YYY.YYY.YYY > XXX.XXX.XXX.XXX: IP bb.bb.bb.bb > aa.aa.aa.aa: ICMP echo reply, id 12304, seq 3, length 64 (ipip-proto-4)

http://www.freebsd.org/cgi/query-pr.cgi?pr=kern/121642

Т.е. проблема известная, проявляется только в tunnel mode, разарботчик знает
из-за чего такое происходит, но не придумал еще как красивше это пофиксить :-).

--
Mikolaj Golub

art-f...@ukr.net

unread,

Feb 15, 2009, 9:03:07 AM2/15/09

to fre...@uafug.org.ua

Здравствуйте, Mikolaj.

> http://www.freebsd.org/cgi/query-pr.cgi?pr=kern/121642
Оно родимое.

> Т.е. проблема известная, проявляется только в tunnel mode, разарботчик знает
> из-за чего такое происходит, но не придумал еще как красивше это пофиксить :-).

Премного благодарен.

--
С уважением,
Березовский Артем 8(095)770-64-11
ARTB76-UANIC ARTB-RIPE mailto:art-f...@ukr.net

Reply all

Reply to author

Forward