- pf gif ipsec. Или лыжи не едут или я ничего не понимаю,
 idle, 11:47 , 26-Мрт-07 (1)
- pf gif ipsec. Или лыжи не едут или я ничего не понимаю, Kvantos, 02:12 , 27-Мрт-07 (2)
- pf gif ipsec. Или лыжи не едут или я ничего не понимаю, Shaman, 18:35 , 12-Сен-07 (3)
>[оверквотинг удален]
>19:02:56.482053 IP ya.ru > 10.240.81.47: ICMP echo reply, id 512, seq 23560, length 40
>19:02:57.370297 IP 10.240.81.47 > ya.ru: ICMP echo request, id 512, seq 23816, length 40
>19:02:57.499830 IP ya.ru > 10.240.81.47: ICMP echo reply, id 512, seq 23816, length 40
>19:02:58.384618 IP 10.240.81.47 > ya.ru: ICMP echo request, id 512, seq 24072, length 40
>19:02:58.516015 IP ya.ru > 10.240.81.47: ICMP echo reply, id 512, seq 24072, length 40
>
>P.S. 10.240.81.47 идет через шлюз astra по тунелю на zeus
>
>
>Ребята помогайте сил уже нету !!! :( Столкнулся с тем-же... :-(
Обнаружил что если отключить шифрование, т.е. оставить чистый туннель
пакеты на гифе отлавливаются
- pf gif ipsec. Или лыжи не едут или я ничего не понимаю, Shaman, 18:38 , 12-Сен-07 (4)
>Столкнулся с тем-же... :-(
>Обнаружил что если отключить шифрование, т.е. оставить чистый туннель
>пакеты на гифе отлавливаются Кстати, как шифруешь? (транспорт или тунель?)
покажи правила IPSEC-а...
- pf gif ipsec. Или лыжи не едут или я ничего не понимаю, Shaman, 19:40 , 13-Сен-07 (5)
>>Столкнулся с тем-же... :-(
>>Обнаружил что если отключить шифрование, т.е. оставить чистый туннель
>>пакеты на гифе отлавливаются
>
>Кстати, как шифруешь? (транспорт или тунель?)
>покажи правила IPSEC-а... УРРРА! Победил!!!! :-))) pf нормально перехватывает пакеты, если ipsec настроен в режиме транспорта
между адресами gif интерфейсов: --------------------------------------------------------------------------------
хост-1 cat /etc/ipsec.conf
flush;
spdflush; spdadd 10.107.7.138/32 10.107.7.137/32 any -P out ipsec esp/transport//require;
spdadd 10.107.7.137/32 10.107.7.138/32 any -P in ipsec esp/transport//require; ifconfig gif0
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet 10.107.6.26 --> 10.107.12.19
inet 10.107.7.138 --> 10.107.7.137 netmask 0xfffffffc cat /etc/pf.conf|grep gif0
rdr on gif0 proto tcp from any to any port 25 -> 10.107.6.26 port 25 -------------------------------------------------------------------------------- хост-2 cat /etc/ipsec.conf
flush;
spdflush; spdadd 10.107.7.138/32 10.107.7.137/32 any -P in ipsec esp/transport//require;
spdadd 10.107.7.137/32 10.107.7.138/32 any -P out ipsec esp/transport//require; ifconfig gif0
gif0: flags=8051<UP,POINTOPOINT,RUNNING,MULTICAST> mtu 1280
tunnel inet 10.107.12.19 --> 10.107.6.26
inet 10.107.7.137 --> 10.107.7.138 netmask 0xfffffffc cat /etc/pf.conf|grep gif0
rdr pass on gif0 proto tcp from any to any port 25 -> 10.107.12.19 port 25 -------------------------------------------------------------------------------- [root@10.107.12.21]# telnet 10.17.40.65 25
Trying 10.17.40.65...
Connected to 10.17.40.65.
Escape character is '^]'.
220 10.107.7.138 ESMTP Sendmail 8.13.8/8.13.8; Thu, 13 Sep 2007 18:21:19 +0300 (EEST)
quit
221 2.0.0 10.107.7.138 closing connection -------------------------------------------------------------------------------- Машинка 10.107.12.21 по цепочке находится до 10.107.7.137, а 10.17.40.65 за 10.107.7.138 где-то так 10.107.12.21 -> 10.107.7.137 (10.107.12.19) -> 10.107.7.138 (10.107.6.26) -> 10.17.40.65 Пошел на радостях пить пиво.... :-)))
- pf gif ipsec. Или лыжи не едут или я ничего не понимаю, Shaman, 11:50 , 19-Фев-08 (6)
>>>Столкнулся с тем-же... :-(
>>>Обнаружил что если отключить шифрование, т.е. оставить чистый туннель
>>>пакеты на гифе отлавливаются
>>
>>Кстати, как шифруешь? (транспорт или тунель?)
>>покажи правила IPSEC-а...
>
>УРРРА! Победил!!!! :-)))
>Сорри, но радость была преждевременной.... как оказалось с ipsec-ом перехвать нормально работает только на tun-интерфейсах...
еще одно приятность, на tun-интерфейсах MTU 1500.... на "гифах": 09:22:24.913368 rule 0/0(match): pass in on lnc0: 10.107.1.252 > 10.107.12.19: ESP(spi=0x003dba06,seq=0xb), length 140
09:22:24.913544 rule 3/0(match): pass out on gif0: 10.107.254.1 > 10.107.254.2: ICMP echo reply, id 48386, seq 0, length 64
09:22:24.913601 rule 1/0(match): pass out on lnc0: 10.107.12.19 > 10.107.1.252: ESP(spi=0x021d81a9,seq=0xb), length 140
09:22:25.903873 rule 0/0(match): pass in on lnc0: 10.107.1.252 > 10.107.12.19: ESP(spi=0x003dba06,seq=0xc), length 140
09:22:25.904003 rule 3/0(match): pass out on gif0: 10.107.254.1 > 10.107.254.2: ICMP echo reply, id 48386, seq 1, length 64
09:22:25.904072 rule 1/0(match): pass out on lnc0: 10.107.12.19 > 10.107.1.252: ESP(spi=0x021d81a9,seq=0xc), length 140 на tun-интерфейсах:
000000 rule 0/0(match): pass in on lnc0: 10.107.1.252 > 10.107.12.19: ESP(spi=0x06b56bdd,seq=0x5), length 116
000704 rule 0/0(match): pass in on tun0: 10.107.254.2 > 10.107.254.1: ICMP echo request, id 16386, seq 0, length 64
000036 rule 0/0(match): pass out on tun0: 10.107.254.1 > 10.107.254.2: ICMP echo reply, id 16386, seq 0, length 64
000214 rule 0/0(match): pass out on lnc0: 10.107.12.19 > 10.107.1.252: ESP(spi=0x08ee6713,seq=0x5), length 116
980301 rule 0/0(match): pass in on lnc0: 10.107.1.252 > 10.107.12.19: ESP(spi=0x06b56bdd,seq=0x6), length 116
000651 rule 0/0(match): pass in on tun0: 10.107.254.2 > 10.107.254.1: ICMP echo request, id 16386, seq 1, length 64
000025 rule 0/0(match): pass out on tun0: 10.107.254.1 > 10.107.254.2: ICMP echo reply, id 16386, seq 1, length 64
000221 rule 0/0(match): pass out on lnc0: 10.107.12.19 > 10.107.1.252: ESP(spi=0x08ee6713,seq=0x6), length 116
|
Версия для распечатки
pf gif ipsec. Или лыжи не едут или я ничего не понимаю, 
