Tham gia Đăng nhập
Điểm:2
nightcrawler avatar Server

chính sách trùng lặp ipsec: cho phép và chặn

lá cờ in
nightcrawler

Tôi đang cố gắng thiết lập kết nối IPsec u giữa hai máy ảo bằng Strongswan. Cấu hình trên máy đầu tiên của tôi như sau (ipsec.conf):

kết nối %default
    ikelifetime=60m
    tuổi thọ phím = 20m
    rekeymargin=3m
    keyingtries=1
    xe máy = không
    keyexchange=ikev2
    authby=pubkey
    đặc biệt=null-sha1!
kết nối máy chủ với máy chủ
    trái=192.168.56.102
    leftcert=/etc/ipsec.d/certs/servercert.pem
    leftid="C=..., ST=..., O=..., OU=SSTT, CN=www.sstt.org"
    phải=192.168.56.101
    rightid="C=..., ST=..., O=..., OU=SSTT, CN=tên"
    loại = đường hầm
    tự động = bắt đầu

Tập tin ipsec.secrets chứa tuyến đường chính xác đến khóa riêng. Cấu hình trên máy thứ hai của tôi khớp với cấu hình được liệt kê ở đây.

Vấn đề của tôi là: khi SA được thiết lập vì một số lý do trên máy (máy chủ) đầu tiên của tôi, danh sách chính sách sẽ như sau:

src 192.168.56.101/32 dst 192.168.56.102/32 
    dir fwd ưu tiên 2819 
    tmpl src 192.168.56.101 dst 192.168.56.102
        đường hầm chế độ proto esp reqid 1
src 192.168.56.101/32 dst 192.168.56.102/32 
    thư mục ưu tiên 2819 
    tmpl src 192.168.56.101 dst 192.168.56.102
        đường hầm chế độ proto esp reqid 1
src 192.168.56.102/32 dst 192.168.56.101/32 
    dir out ưu tiên 2819 
    tmpl src 192.168.56.102 dst 192.168.56.101
        đường hầm chế độ proto esp reqid 1
src 192.168.56.101/32 dst 192.168.56.102/32 
    ưu tiên khối hành động dir fwd 12035 
src 192.168.56.101/32 dst 192.168.56.102/32 
    dir trong ưu tiên khối hành động 12035 
src 192.168.56.102/32 dst 192.168.56.101/32 
    dir out ưu tiên khối hành động 12035

Danh sách chính sách của máy khách không có bất kỳ chính sách nào có hành động chặn, chỉ có các chính sách đúng.

Tôi đã nắm bắt một số lưu lượng truy cập bằng Wireshark và nhận thấy rằng khi máy chủ của tôi ping máy thứ hai, các gói ICMP được gửi hai lần, một lần có tiêu đề ESP và một lần không có. Máy thứ hai chỉ trả lời những cái không có.

Tôi đã thử xóa các chính sách bằng hành động chặn nhưng rõ ràng là nó không hoạt động.

Đầu ra nhật ký sau khi khởi động lại dịch vụ ở phía máy chủ:

Ngày 11 tháng 6 15:29:28 Đã nhận được tín hiệu ubuntu-server charon: 00[DMN] loại SIGINT. Đang Tắt
Ngày 11 tháng 6 15:29:28 ubuntu-server charon: 00[IKE] xóa IKE_SA host-to-host[2] giữa 192.168.56.102[C=..., ST=..., O=..., OU =SSTT, CN=www.sstt.org]...192.168.56.101[C=..., ST=..., O=..., OU=SSTT, CN=name]
Ngày 11 tháng 6 15:29:28 ubuntu-server charon: 00[IKE] gửi XÓA cho IKE_SA Host-to-host[2]
Ngày 11 tháng 6 15:29:28 ubuntu-server charon: 00[ENC] tạo yêu cầu THÔNG TIN 0 [ D ]
Ngày 11 tháng 6 15:29:28 ubuntu-server charon: 00[NET] gửi gói: từ 192.168.56.102[500] đến 192.168.56.101[500] (76 byte)
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[DMN] Khởi động IKE charon daemon (strongSwan 5.3.5, Linux 4.4.0-186-generic, x86_64)
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[CFG] đang tải chứng chỉ ca từ '/etc/ipsec.d/cacerts'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[CFG] đã tải chứng chỉ ca "C=..., ST=..., O=..., OU=SSTT, CN=ca.sstt.org" từ '/etc/ipsec.d/cacerts/cacert.pem'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[CFG] đang tải chứng chỉ aa từ '/etc/ipsec.d/aacerts'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[CFG] đang tải chứng chỉ người ký ocsp từ '/etc/ipsec.d/ocspcerts'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[CFG] đang tải chứng chỉ thuộc tính từ '/etc/ipsec.d/acerts'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[CFG] đang tải crl từ '/etc/ipsec.d/crls'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[CFG] đang tải bí mật từ '/etc/ipsec.secrets'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[CFG] đã tải khóa riêng RSA từ '/etc/ipsec.d/private/serverkey.pem'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[LIB] đã tải plugin: charon test-vectors aes rc2 sha1 sha2 md4 md5 ngẫu nhiên nonce x509 ràng buộc thu hồi pubkey pkcs1 pkcs7 pkcs8 pkcs12 pgp dnskey sshkey pem openssl fips-prf gmp agent xcbc hmac gcm attr kernel-netlink giải quyết updown đột quỵ kết nối socket-default
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[LIB] giảm khả năng, chạy dưới dạng uid 0, gid 0
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 00[JOB] sinh ra 16 worker thread
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 11[CFG] đã nhận đột quỵ: thêm kết nối 'host-to-host'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 11[CFG] đã tải chứng chỉ "C=..., ST=..., O=..., OU=SSTT, CN=www.sstt.org" từ '/etc/ipsec.d/certs/servercert.pem'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 11[CFG] đã thêm cấu hình 'host-to-host'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 13[CFG] đã nhận đột quỵ: bắt đầu 'host-to-host'
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 13[IKE] khởi tạo IKE_SA host-to-host[1] thành 192.168.56.101
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 13[ENC] tạo yêu cầu IKE_SA_INIT 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(HASH_ALG) ]
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 13[NET] gửi gói: từ 192.168.56.102[500] đến 192.168.56.101[500] (1124 byte)
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 15[NET] đã nhận gói: từ 192.168.56.101[500] đến 192.168.56.102[500] (481 byte)
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 15[ENC] đã phân tích cú pháp phản hồi IKE_SA_INIT 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) CERTREQ N(HASH_ALG) N(MULT_AUTH) ]
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 15[IKE] đã nhận được yêu cầu chứng chỉ cho "C=..., ST=..., O=..., OU=SSTT, CN=ca.sstt.org "
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 15[IKE] gửi yêu cầu chứng chỉ cho "C=..., ST=..., O=..., OU=SSTT, CN=ca.sstt.org "
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: xác thực 15[IKE] của 'C=..., ST=..., O=..., OU=SSTT, CN=www.sstt.org' ( tôi) với RSA_EMSA_PKCS1_SHA256 thành công
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 15[IKE] gửi chứng chỉ thực thể cuối "C=..., ST=..., O=..., OU=SSTT, CN=www.sstt.org "
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 15[IKE] thiết lập CHILD_SA host-to-host
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 15[ENC] tạo yêu cầu IKE_AUTH 1 [ IDi CERT N(INIT_CONTACT) CERTREQ IDr AUTH SA TSi TSr N(MULT_AUTH) N(EAP_ONLY) ]
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 15[NET] gửi gói: từ 192.168.56.102[500] đến 192.168.56.101[500] (1628 byte)
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[NET] đã nhận gói: từ 192.168.56.101[500] đến 192.168.56.102[500] (1500 byte)
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[ENC] đã phân tích cú pháp phản hồi IKE_AUTH 1 [ IDr CERT AUTH SA TSi TSr N(AUTH_LFT) ]
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[IKE] đã nhận được chứng chỉ thực thể cuối "C=..., ST=..., O=..., OU=SSTT, CN=name"
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[CFG] sử dụng chứng chỉ "C=..., ST=..., O=..., OU=SSTT, CN=name"
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[CFG] sử dụng chứng chỉ ca đáng tin cậy "C=..., ST=..., O=..., OU=SSTT, CN=ca.sstt.org "
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[CFG] kiểm tra trạng thái chứng chỉ của "C=..., ST=..., O=..., OU=SSTT, CN=name"
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: trạng thái chứng chỉ 16[CFG] không khả dụng
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[CFG] đạt root ca tự ký với độ dài đường dẫn là 0
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[IKE] xác thực 'C=..., ST=..., O=..., OU=SSTT, CN=name' với RSA_EMSA_PKCS1_SHA256 thành công
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[IKE] IKE_SA host-to-host[1] được thiết lập giữa 192.168.56.102[C=..., ST=..., O=..., OU =SSTT, CN=www.sstt.org]...192.168.56.101[C=..., ST=..., O=..., OU=SSTT, CN=name]
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[IKE] lên lịch xác thực lại trong 3250 giây
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[IKE] tối đa IKE_SA trọn đời 3430 giây
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[KNL] chính sách đã tồn tại, hãy thử cập nhật nó
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: thông báo lặp lại 2 lần: [ 16[KNL] policy đã tồn tại, hãy thử cập nhật]
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[IKE] CHILD_SA host-to-host{1} được thiết lập với SPI c056e14a_i c62093a4_o và TS 192.168.56.102/32 === 192.168.56.101/32
Ngày 11 tháng 6 15:29:30 ubuntu-server charon: 16[IKE] đã nhận AUTH_LIFETIME sau 3364 giây, lên lịch xác thực lại sau 3184 giây

Ai đó có thể giải thích những gì đang xảy ra? cảm ơn trước

85
0 + 1
lá cờ cn
ecdsa
Tôi không biết các chính sách chặn đến từ đâu, nhưng chúng không liên quan vì mức độ ưu tiên của chúng thấp hơn (số cao hơn). Hãy thử tăng cấp nhật ký cho _knl_ lên 2 hoặc 3 để xem liệu StrongSwan có cài đặt chúng hay không và khi nào chúng được cài đặt (nhưng chúng có thể không vì thực sự có một thông báo tường trình về các chính sách hiện có).Ngoài ra, nếu bạn nắm bắt được lưu lượng truy cập ở bên nhận, việc thấy các gói gửi đến hai lần là hoàn toàn bình thường (xem [mục Câu hỏi thường gặp này](https://wiki.strongswan.org/projects/strongswan/wiki/FAQ#Capturing-outbound- văn bản gốc-gói-với-tcpdumpwireshark)).
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.