înregistrare Logare
Puncte:0
elfamosomojito avatar Server

Problemă de trafic clară Strongswan

drapel kr
elfamosomojito

Am 2 mașini virtuale Debian 11 brute conectate la o rețea internă pe VirtualBox (vezi diagrama de mai jos). Ambele VM au 2 interfețe de rețea (interfața din partea tunelului și cea de rețea privată). Am instalat Strongswan pe ambele și am configurat un tunel foarte simplu bazat pe PSK între ambele. Nu s-a făcut nicio altă configurare (nu a fost instalat niciun FW etc.).

Tunelul este sus. La început, când am făcut ping de la, să zicem, 192.168.1.1 pe cealaltă parte a tunelului, am avut un cerere ICMP text simplu si a răspuns ESP cifrat pe tcpdump (ping-ul funcționează). Același lucru se întâmplă și când inițiez ping-ul din cealaltă parte.

Apoi, din motive de testare, am setat gateway-ul implicit al fiecărei mașini să fie interfața sa de tunel (deci pentru mașina A, 10.0.50.1 este GW-ul său). Totuși acum am un pachet ESP de ieșire, A ștergeți solicitarea ICMP si răspuns ESP primit (din nou ping-ul funcționează)...

Nu pot oferi prea multe informații despre fișiere, dar mă întrebam dacă a fost o greșeală de bază cunoscută în configurație. Nimeni altcineva de pe Internet nu pare să aibă această problemă, ceea ce este oarecum surprinzător pentru mine.

Mulțumiri

Diagrama rețelei

35
0 + 0
drapel cn
ecdsa
Ar fi de ajutor dacă ați specificat pe ce gazde/interfețe rulați tcpdump. Oricum, ai citit aceasta [intrare în FAQ strongSwan](https://wiki.strongswan.org/projects/strongswan/wiki/FAQ#Capturing-outbound-plaintext-packets-with-tcpdumpwireshark)?
0
Răspunde
elfamosomojito avatar
drapel kr
elfamosomojito
Rulez tcpdump pe interfețele IPsec (fie 10.0.50.1, fie 10.0.80.1) pentru a verifica dacă pachetele sunt criptate corect. Dacă am înțeles bine, acesta este un comportament normal?
0
Răspunde
drapel cn
ecdsa
Dacă vedeți pachete de text simplu de intrare după pachetele ESP de intrare, da.
0
Răspunde
elfamosomojito avatar
drapel kr
elfamosomojito
Am făcut câteva teste suplimentare; Am activat ufw pentru a permite doar porturile 500 și 4500 udp pe 10.0.80.1. Când fac ping de la 192.168.1.1 la 172.16.50.1 (și captează pe 10.0.80.1), văd un pachet ESP de intrare, dar niciun răspuns, iar ping-ul este NOK. Când dezactivez ufw, ping-ul este OK. Dacă nu mă înșel, ping-ul ar trebui să fie criptat și să funcționeze...
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.