- pf gif ipsec. Или лыжи не едут или я ничего не понимаю, idle, 11:47 , 26-Мрт-07 (1)
- pf gif ipsec. Или лыжи не едут или я ничего не понимаю, Kvantos, 02:12 , 27-Мрт-07 (2)
- pf gif ipsec. Или лыжи не едут или я ничего не понимаю, Shaman, 18:35 , 12-Сен-07 (3)
>[оверквотинг удален] >19:02:56.482053 IP ya.ru > 10.240.81.47: ICMP echo reply, id 512, seq 23560, length 40 >19:02:57.370297 IP 10.240.81.47 > ya.ru: ICMP echo request, id 512, seq 23816, length 40 >19:02:57.499830 IP ya.ru > 10.240.81.47: ICMP echo reply, id 512, seq 23816, length 40 >19:02:58.384618 IP 10.240.81.47 > ya.ru: ICMP echo request, id 512, seq 24072, length 40 >19:02:58.516015 IP ya.ru > 10.240.81.47: ICMP echo reply, id 512, seq 24072, length 40 > >P.S. 10.240.81.47 идет через шлюз astra по тунелю на zeus > > >Ребята помогайте сил уже нету !!! :( Столкнулся с тем-же... :-( Обнаружил что если отключить шифрование, т.е. оставить чистый туннель пакеты на гифе отлавливаются
- pf gif ipsec. Или лыжи не едут или я ничего не понимаю, Shaman, 18:38 , 12-Сен-07 (4)
>Столкнулся с тем-же... :-( >Обнаружил что если отключить шифрование, т.е. оставить чистый туннель >пакеты на гифе отлавливаются Кстати, как шифруешь? (транспорт или тунель?) покажи правила IPSEC-а...
- pf gif ipsec. Или лыжи не едут или я ничего не понимаю, Shaman, 19:40 , 13-Сен-07 (5)
>>Столкнулся с тем-же... :-( >>Обнаружил что если отключить шифрование, т.е. оставить чистый туннель >>пакеты на гифе отлавливаются > >Кстати, как шифруешь? (транспорт или тунель?) >покажи правила IPSEC-а... УРРРА! Победил!!!! :-))) pf нормально перехватывает пакеты, если ipsec настроен в режиме транспорта между адресами gif интерфейсов: -------------------------------------------------------------------------------- хост-1 cat /etc/ipsec.conf flush; spdflush; spdadd 10.107.7.138/32 10.107.7.137/32 any -P out ipsec esp/transport//require; spdadd 10.107.7.137/32 10.107.7.138/32 any -P in ipsec esp/transport//require; ifconfig gif0 gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280 tunnel inet 10.107.6.26 --> 10.107.12.19 inet 10.107.7.138 --> 10.107.7.137 netmask 0xfffffffc cat /etc/pf.conf|grep gif0 rdr on gif0 proto tcp from any to any port 25 -> 10.107.6.26 port 25 -------------------------------------------------------------------------------- хост-2 cat /etc/ipsec.conf flush; spdflush; spdadd 10.107.7.138/32 10.107.7.137/32 any -P in ipsec esp/transport//require; spdadd 10.107.7.137/32 10.107.7.138/32 any -P out ipsec esp/transport//require; ifconfig gif0 gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280 tunnel inet 10.107.12.19 --> 10.107.6.26 inet 10.107.7.137 --> 10.107.7.138 netmask 0xfffffffc cat /etc/pf.conf|grep gif0 rdr pass on gif0 proto tcp from any to any port 25 -> 10.107.12.19 port 25 -------------------------------------------------------------------------------- [root@10.107.12.21]# telnet 10.17.40.65 25 Trying 10.17.40.65... Connected to 10.17.40.65. Escape character is '^]'. 220 10.107.7.138 ESMTP Sendmail 8.13.8/8.13.8; Thu, 13 Sep 2007 18:21:19 +0300 (EEST) quit 221 2.0.0 10.107.7.138 closing connection -------------------------------------------------------------------------------- Машинка 10.107.12.21 по цепочке находится до 10.107.7.137, а 10.17.40.65 за 10.107.7.138 где-то так 10.107.12.21 -> 10.107.7.137 (10.107.12.19) -> 10.107.7.138 (10.107.6.26) -> 10.17.40.65 Пошел на радостях пить пиво.... :-)))
- pf gif ipsec. Или лыжи не едут или я ничего не понимаю, Shaman, 11:50 , 19-Фев-08 (6)
>>>Столкнулся с тем-же... :-( >>>Обнаружил что если отключить шифрование, т.е. оставить чистый туннель >>>пакеты на гифе отлавливаются >> >>Кстати, как шифруешь? (транспорт или тунель?) >>покажи правила IPSEC-а... > >УРРРА! Победил!!!! :-))) >Сорри, но радость была преждевременной.... как оказалось с ipsec-ом перехвать нормально работает только на tun-интерфейсах... еще одно приятность, на tun-интерфейсах MTU 1500.... на "гифах": 09:22:24.913368 rule 0/0(match): pass in on lnc0: 10.107.1.252 > 10.107.12.19: ESP(spi=0x003dba06,seq=0xb), length 140 09:22:24.913544 rule 3/0(match): pass out on gif0: 10.107.254.1 > 10.107.254.2: ICMP echo reply, id 48386, seq 0, length 64 09:22:24.913601 rule 1/0(match): pass out on lnc0: 10.107.12.19 > 10.107.1.252: ESP(spi=0x021d81a9,seq=0xb), length 140 09:22:25.903873 rule 0/0(match): pass in on lnc0: 10.107.1.252 > 10.107.12.19: ESP(spi=0x003dba06,seq=0xc), length 140 09:22:25.904003 rule 3/0(match): pass out on gif0: 10.107.254.1 > 10.107.254.2: ICMP echo reply, id 48386, seq 1, length 64 09:22:25.904072 rule 1/0(match): pass out on lnc0: 10.107.12.19 > 10.107.1.252: ESP(spi=0x021d81a9,seq=0xc), length 140 на tun-интерфейсах: 000000 rule 0/0(match): pass in on lnc0: 10.107.1.252 > 10.107.12.19: ESP(spi=0x06b56bdd,seq=0x5), length 116 000704 rule 0/0(match): pass in on tun0: 10.107.254.2 > 10.107.254.1: ICMP echo request, id 16386, seq 0, length 64 000036 rule 0/0(match): pass out on tun0: 10.107.254.1 > 10.107.254.2: ICMP echo reply, id 16386, seq 0, length 64 000214 rule 0/0(match): pass out on lnc0: 10.107.12.19 > 10.107.1.252: ESP(spi=0x08ee6713,seq=0x5), length 116 980301 rule 0/0(match): pass in on lnc0: 10.107.1.252 > 10.107.12.19: ESP(spi=0x06b56bdd,seq=0x6), length 116 000651 rule 0/0(match): pass in on tun0: 10.107.254.2 > 10.107.254.1: ICMP echo request, id 16386, seq 1, length 64 000025 rule 0/0(match): pass out on tun0: 10.107.254.1 > 10.107.254.2: ICMP echo reply, id 16386, seq 1, length 64 000221 rule 0/0(match): pass out on lnc0: 10.107.12.19 > 10.107.1.252: ESP(spi=0x08ee6713,seq=0x6), length 116
|