LUNGO - VPN isakmpd (openbsd 3.8) <--> frees/wan (linux)

classic Classic list List threaded Threaded
4 messages Options
Reply | Threaded
Open this post in threaded view
|

LUNGO - VPN isakmpd (openbsd 3.8) <--> frees/wan (linux)

pallotron
ciao a tutti (forse questo e' il mio primo post),
btw ho un problema che mi sta facendo impazzire!!!! :(
se qualcuno ha esperienza di vpn isakmpd<->freeswan lo prego in
ginocchio :))))
il messaggio e' un po' lungo... e mi dispiace :)

devo realizzare un tunnel VPN tra il mio gw aziendale (openbsd 3.8 con
isakmpd) ed un gw linux (frees/wan).
stando a quanto mi e' stato comunicato dal personale dall'altro capo del
filo (purtoppo non sono io ad amministrare quel gw ne' personale della
mia azienda), il gw utilizza 3DES-SHA1.
l'amministratore del gw linux mi ha dato alcune info, questo e' l'unico
supporto che ho avuto dopo dei:

- uhm
- si forse si
- potrebbe essere cosi'
- si effettivamente potresti avere ragione, prova!

:)

mi ha fatto vedere uno stralcio di ipsec.conf sulla sua macchina:

----------------8< STRALCIO DI IPSEC.CONF >8----------------------------

config setup
       interfaces=%defaultroute
       klipsdebug=none
       plutodebug=none
       plutoload=%search
       plutostart=%search
       uniqueids=yes
       overridemtu=1444

conn vpnditest
       keyingtries=0
       disablearrivalcheck=no
       authby=secret
       rekey=no
       keylife=8h
       ikelifetime=8h
       pfs=yes
       left=X.Y.Z.130 <--- il public ip del mio gw vpn
       leftsubnet=192.168.3.0/24 # <----- e' la mia subnet
       right=X.Y.Z.250 # <---------- il public ip freeswan
       rightnexthop=213.230.155.225
       rightsubnet=10.10.11.0/24 <----- la subnet dall'altro lato
       auto=add

----------------8< EOF IPSEC.CONF >8------------------------------------

nel file ipsec.secrets ci sta la password (si utilizza un pre-shared
secret).
cosi' ho configurato il mio gw in questo modo:

----------------8< BEGIN ISAKMPD.CONF >8--------------------------------

[General]
Listen-on=              X.Y.Z.130

[Phase 1]
X.Y.Z.250=        AltraAzienda

[Phase 2]
Connections=    MiaAzienda-AltraAzienda

[AltraAzienda]
Phase=                  1
Transport=              udp
Address=                X.Y.Z.250
Configuration=          Default-main-mode
Authentication=         password_segreta

[MiaAzienda-AltraAzienda]
Phase=                  2
ISAKMP-peer=            AltraAzienda
Configuration=          Default-quick-mode
Local-ID=               Net-MiaAzienda
Remote-ID=              Net-AltraAzienda

[Net-AltraAzienda]
ID-type=                IPV4_ADDR_SUBNET
Network=                10.10.11.0
Netmask=                255.255.255.0

[Net-MiaAzienda]
ID-type=                IPV4_ADDR_SUBNET
Network=                192.168.3.0
Netmask=                255.255.255.0

[Default-main-mode]
DOI=                    IPSEC
EXCHANGE_TYPE=          ID_PROT
Transforms=             3DES-SHA
Life=                   LIFE_8_HOURS

[Default-quick-mode]
DOI=                    IPSEC
EXCHANGE_TYPE=          QUICK_MODE
Suites=                 QM-ESP-3DES-SHA-PFS-SUITE
# messo PFS perche' su ipsec.conf c'e':
# pfs=yes
Life=                   LIFE_8_HOURS

# messo a 8 ore perche' su ipsec.conf c'e' questo:
# keylife=8h
# ikelifetime=8h
[LIFE_8_HOURS]
LIFE_TYPE=              SECONDS
LIFE_DURATION=          28800

----------------8< EOF ISAKMPD.CONF >8--------------------------------

quando avvio isakmpd -d mi da', dopo un po':

root@attila:/etc/isakmpd:8># isakmpd -d                                      
202117.030850 Default transport_send_messages: giving up on exchange
AltraAzienda, no response from peer X.Y.Z.250:500

un tcpdump non troppo elegande mi dice:

<root@attila:/root:3># tcpdump -n host X.Y.Z.250
tcpdump: listening on fxp0, link-type EN10MB
20:23:01.363639 X.Y.Z.250.500 > 85.47.207.130.500:  isakmp v1.0
exchange ID_PROT
        cookie: 6f20fd564cec0fa6->0000000000000000 msgid: 00000000 len:
176 (DF)
20:23:01.365309 85.47.207.130.500 > X.Y.Z.250.500:  isakmp v1.0
exchange ID_PROT
        cookie: 6f20fd564cec0fa6->6d2a1064c1cb8341 msgid: 00000000 len:
160
20:23:08.370879 85.47.207.130.500 > X.Y.Z.250.500:  isakmp v1.0
exchange ID_PROT
        cookie: 6f20fd564cec0fa6->6d2a1064c1cb8341 msgid: 00000000 len:
160

e via discorrendo fino a quando non killo isakmpd.
un "tcpdump -n esp" non dice assolutamente niente (forse perche' ancora
il tunnel non si e' instaurato).

le regole di pf.conf dovrebbero essere corrette, ne estrapolo alcuni
pezzi:

----------------8< UN PEZZO DI PF.CONF >8-------------------------------

block log all

########### INTERFACCIA EXT #############

pass in quick proto esp from $vpn_kelyan_gw to $ext_if_vpn_address
pass out quick proto esp from $ext_if_vpn_address to $vpn_kelyan_gw

pass in on $vpn_if proto ipencap from $vpn_kelyan_gw to
$ext_if_vpn_address
pass out on $vpn_if proto ipencap from $ext_if_vpn_address to
$vpn_kelyan_gw

pass in on $vpn_if from $lan_kelyan to $prod_net
pass out on $vpn_if from $prod_net to $lan_kelyan

pass in on $ext_if proto udp from $vpn_kelyan_gw port
{isakmp,ipsec-nat-t} to $ext_if_vpn_address port {isakmp,ipsec-nat-t}
pass out on $ext_if proto udp from $ext_if_vpn_address port
{isakmp,ipsec-nat-t} to $vpn_kelyan_gw port {isakmp,ipsec-nat-t}

-----------------------------------------------------------------------

allego un dump di isakmpd -d -DA=80
se puo' essere d'aiuto io ho gia' un cisco pix 515e gia' in vpn con quel
gw freeswan con questa configurazione:

----------------8< BEGIN OF CISCO PIX SHOW CONFIG DUMP >8-------------

sysopt connection permit-ipsec
crypto ipsec transform-set ESP-3DES-SHA esp-3des esp-sha-hmac
crypto ipsec transform-set ESP-3DES-MD5 esp-aes-256 esp-sha-hmac
crypto dynamic-map inside_dyn_map 40 set transform-set ESP-3DES-MD5
crypto map outside_map 20 ipsec-isakmp
crypto map outside_map20 match address outside_cryptomap_20
crypto map outside_map 20 set pfs group2
crypto map outside_map 20 set peer X.Y.Z.250
crypto map outside_map 20 set transform-set ESP-3DES-SHA
crypto map outside_map 65535 ipsec-isakmp dynamic inside_dyn_map
crypto map outside_map client authentication LOCAL
crypto map outside_map interface outside
crypto map inside_map 65535 ipsec-isakmp dynamic inside_dyn_map
isakmp enable outside
isakmp enable inside
isakmp key ******** address X.Y.Z.250 netmask 255.255.255.255 no-xauth no-config-mode
isakmp policy 20 authentication pre-share
isakmp policy 20 encryption 3des
isakmp policy 20 lifetime 28800

----------------8< EOF CISCO PIX SHOW CONFIG DUMP >8--------------------
--  
[ Failla Angelo Michele a.k.a. Pallotron -- Freaknet Medialab Catania ]
[ email: pallotron(at)freaknet.org ---- angelo.failla(at)freaknet.org ]
[ W3: http://www.pallotron.freaknet.org - http://pallotron.spatof.org ]
[ ICQ: 31112052 -------- GPG Key ID: 89450920 available @ pgp.mit.edu ]
[ GPG FingerPrint: 0DE8 DB22 538E D6B9 8784  83E5 1BEA 7D5C 8945 0920 ]

frase casuale automatica generata da polygen -> http://polygen.org/web/:

Potremmo debuggare lo sviluppo di software e percio' bisognera'
realizzare lo sviluppo di Database di modo che possano globalizzare
delle piattaformae freeware e e' bene verticalizzare lo sviluppo
di Data-entry in modo che si debba deployare il design di hardware
in modo che possano testare dei servizi embedded per rilasciare
delle piattaformae performanti.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

isakmpd_dump.txt (20K) Download Attachment
attachment1 (193 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: LUNGO - VPN isakmpd (openbsd 3.8) <--> frees/wan (linux)

G.Camozzi
On Mon, 12 Dec 2005 20:41:16 +0100
pallotron <[hidden email]> wrote:

P>ciao a tutti (forse questo e' il mio primo post),
P>btw ho un problema che mi sta facendo impazzire!!!! :(
P>se qualcuno ha esperienza di vpn isakmpd<->freeswan lo prego in
P>ginocchio :))))
P>il messaggio e' un po' lungo... e mi dispiace :)
P>
P>devo realizzare un tunnel VPN tra il mio gw aziendale (openbsd 3.8 con
P>isakmpd) ed un gw linux (frees/wan).
P>stando a quanto mi e' stato comunicato dal personale dall'altro capo
P>del filo (purtoppo non sono io ad amministrare quel gw ne' personale
P>della mia azienda), il gw utilizza 3DES-SHA1.
P>l'amministratore del gw linux mi ha dato alcune info, questo e'
P>l'unico supporto che ho avuto dopo dei:
P>
[CUT...]


Con il comando: netstat -rn -f encap puoi
verificare la SA cosa dice nel tuo caso? la SA e' gia' avvenuta?

Hai creato le regole per pf sulla enc0 (Encapsulating Interface)?
altrimenti prova ad usare, solo per test:

pass in on enc0 proto ipencap from any to any
pass out on enc0 proto ipencap from any to any
pass in on enc0 from any to any
pass out on enc0 from any to any


Bye!

Con il comando: netstat -rn -f encap puoi verificare la SA
cosa dice nel tuo caso? la SA e' gia' avvenuta?

Hai creato le regole per pf sulla enc0 (Encapsulating Interface)?
altrimenti prova ad usare, solo per test:

pass in on enc0 proto ipencap from any to any
pass out on enc0 proto ipencap from any to any
pass in on enc0 from any to any
pass out on enc0 from any to any


Bye!
GC


________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List
Reply | Threaded
Open this post in threaded view
|

Re: LUNGO - VPN isakmpd (openbsd 3.8) <--> frees/wan (linux)

pallotron
Mer 12/14/05 Dic 2005, alle 04:24:38pm +0100 GMT, G.Camozzi scrisse:

> Con il comando: netstat -rn -f encap puoi
> verificare la SA cosa dice nel tuo caso? la SA e' gia' avvenuta?

si avevo gia' verificato le rotte, con quel comando, e non ci sono
entry.
credo proprio che il problema sia in phase1...

> Hai creato le regole per pf sulla enc0 (Encapsulating Interface)?
> altrimenti prova ad usare, solo per test:
>
> pass in on enc0 proto ipencap from any to any
> pass out on enc0 proto ipencap from any to any
> pass in on enc0 from any to any
> pass out on enc0 from any to any

io ho questo:

pass in quick proto esp from any to ($ext_if)
pass out quick proto esp from ($ext_if) to any
pass in on $vpn_if proto ipencap from any to ($ext_if)
pass on $vpn_if from any to any
pass in quick on $ext_if proto udp from any port isakmp to ($ext_if) port isakmp
pass out quick on $ext_if proto udp from ($ext_if) port isakmp to any port isakmp

vpn_if e' enc0
ext_if e' la mia interfaccia esterna

ciao

cmq oggi ho notato che rispetto a ieri, non ho piu' alcun traffico da
quel gw verso il mio...
adesso vedo solo

<root@attila:/root:6># tcpdump port 500                                        
tcpdump: listening on fxp0, link-type EN10MB
21:11:16.245946 host130-207.pool8547.interbusiness.it.isakmp >
213.230.155.250.isakmp:  isakmp v1.0 exchange ID_PROT

e basta!

--
[ Failla Angelo Michele a.k.a. Pallotron -- Freaknet Medialab Catania ]
[ email: pallotron(at)freaknet.org ---- angelo.failla(at)freaknet.org ]
[ W3: http://www.pallotron.freaknet.org - http://pallotron.spatof.org ]
[ ICQ: 31112052 -------- GPG Key ID: 89450920 available @ pgp.mit.edu ]
[ GPG FingerPrint: 0DE8 DB22 538E D6B9 8784  83E5 1BEA 7D5C 8945 0920 ]

frase casuale automatica generata da polygen -> http://polygen.org/web/:

Potremo testare applicazioni applicate per soluzioni integrate.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

attachment0 (193 bytes) Download Attachment
Reply | Threaded
Open this post in threaded view
|

Re: LUNGO - VPN isakmpd (openbsd 3.8) <--> frees/wan (linux)

pallotron
mer 12/14/05 dic 2005, alle 09:12:19 +0100 GMT, pallotron scrisse:

> credo proprio che il problema sia in phase1...

ho risolto... era un problema dell'altro peer (non amministrato da me)...
mah...
potevo morire provandoci :)

grazie di tutto comunque, bye

--
[ Failla Angelo Michele a.k.a. Pallotron -- Freaknet Medialab Catania ]
[ email: pallotron(at)freaknet.org ---- angelo.failla(at)freaknet.org ]
[ W3: http://www.pallotron.freaknet.org - http://pallotron.spatof.org ]
[ ICQ: 31112052 -------- GPG Key ID: 89450920 available @ pgp.mit.edu ]
[ GPG FingerPrint: 0DE8 DB22 538E D6B9 8784  83E5 1BEA 7D5C 8945 0920 ]

frase casuale automatica generata da polygen -> http://polygen.org/web/:

Bisognera' debuggare un server out-of-the-box affinche' si debbano
globalizzare application server peer-to-peer con cui potremo configurare
progetti performanti con cui quindi dovremo implementare lo sviluppo
di applet C# e potremmo minimizzare delle tecnologie shareware con cui
dovremo globalizzare delle strategie embedded con cui potremo iterare
tecnologie peer-to-peer per dei sistemi interattivi.

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List

signature.asc (196 bytes) Download Attachment