[Alug] FreeSWAN / WinXP Interop.-Probleme
Gunter Ohrner
G.Ohrner at post.rwth-aachen.de
Don Nov 27 09:00:20 CET 2003
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
Am Montag, 24. November 2003 11:40 schrieb Gunter Ohrner:
> Hat hier einer Erfahrung mit WinXP IPSEC und FreeSWAN als Gegenstelle?
> Bei mir versucht WinXP irgendwie ständig, neue IPSEC SAs auszuhandeln,
> wodurch der Tunnel andauernd unterbrochen wird - so ist das Ganze
> unbrauchbar...
> In den Zeiten zwischen den ständigen Tunnel ab- und neuaufbauten
> funktioniert das Ganze so wie es soll.
Zwischenzeitlich habe ich es geschafft, das Windows' Oakley Log zu
aktivieren. (He, niemand hat mir gesagt, dass ich Windows -
oder zumindest den IPSEC-Service - nach der Registry-Änderung neustarten
muss! ;) Mh, naja, vermutlich stand es schon auf der entsprechenden
MS-Infoseite, welche ich wohl nicht genau genug gelesen habe...)
Außerdem hatte zwar noch niemand einen Tipp für mich, allerdings hat
sich jemand gemeldet, der in ähnlicher Konfiguration genau die gleichen
Probleme hat und wissen wollte, ob ich schon eine Lösung gefunden
habe...
Leider helfen mir die Logs so gut wie überhaupt nicht weiter... Beim
Ausprobieren fiel mir allerdings auf, dass das Problem nur oder
zumindest stark verstärkt auftritt, wenn der Tunnel "belastet" wird.
Wenn nur pings dadurch laufen unterbleibt das ständige Neuaushandeln.
Folgende Logs zeigen das Problem von Windows-Seite: Um 22:48:23 fängt
Windows an, neue SAs auszuhandeln. Der bestehende Tunnel funktioniert
noch so lange, bis die ISAKMP SAs des neuen Tunnels fertig sind, danach
laufen erst wieder Daten, sobald der neue Tunnel komplett aufgebaut ist.
11-26: 22:44:24:113:318 Sending: SA = 0x00103620 to 192.168.168.254:Type 1
11-26: 22:44:24:113:318 ISAKMP Header: (V1.0), len = 76
11-26: 22:44:24:113:318 I-COOKIE 22de23adcc786b48
11-26: 22:44:24:113:318 R-COOKIE 302cd22ba09e5f76
11-26: 22:44:24:113:318 exchange: ISAKMP Informational Exchange
11-26: 22:44:24:113:318 flags: 1 ( encrypted )
11-26: 22:44:24:113:318 next payload: HASH
11-26: 22:44:24:113:318 message ID: 070d5f29
11-26: 22:44:24:123:318
11-26: 22:44:24:123:318 Receive: (get) SA = 0x00103620 from 192.168.168.254
11-26: 22:44:24:123:318 ISAKMP Header: (V1.0), len = 76
11-26: 22:44:24:123:318 I-COOKIE 22de23adcc786b48
11-26: 22:44:24:123:318 R-COOKIE 302cd22ba09e5f76
11-26: 22:44:24:123:318 exchange: ISAKMP Informational Exchange
11-26: 22:44:24:123:318 flags: 1 ( encrypted )
11-26: 22:44:24:123:318 next payload: HASH
11-26: 22:44:24:123:318 message ID: d8f7f48c
11-26: 22:44:24:123:318 processing HASH (Notify/Delete)
11-26: 22:44:24:123:318 processing payload DELETE
11-26: 22:48:23:878:60c Acquire from driver: op=FFAE7460 src=192.168.168.200.0 dst=0.0.0.0.0 proto = 0, SrcMask=255.255.255.255, DstMask=0.0.0.0, Tunnel 1, TunnelEndpt=192.168.168.254 Inbound TunnelEndpt=192.168.168.200
11-26: 22:48:23:878:318 Filter to match: Src 192.168.168.254 Dst 192.168.168.200
11-26: 22:48:23:878:318 MM PolicyName: 2
11-26: 22:48:23:878:318 MMPolicy dwFlags 2 SoftSAExpireTime 28800
11-26: 22:48:23:878:318 MMOffer[0] LifetimeSec 28800 QMLimit 1 DHGroup 2
11-26: 22:48:23:878:318 MMOffer[0] Encrypt: Dreifach-DES CBC Hash: MD5
11-26: 22:48:23:878:318 Auth[0]:RSA Sig C=DE, S=Germany, L=Aachen, O=Gunter Ohrner Datensysteme, OU=ohrnet.de CA, CN=ca at ohrnet.de, E=ca at ohrnet.de
11-26: 22:48:23:878:318 QM PolicyName: IPSEC erzwingen dwFlags 1
11-26: 22:48:23:878:318 QMOffer[0] LifetimeKBytes 0 LifetimeSec 0
11-26: 22:48:23:878:318 QMOffer[0] dwFlags 0 dwPFSGroup 268435456
11-26: 22:48:23:878:318 Algo[0] Operation: ESP Algo: Dreifach-DES CBC HMAC: MD5
11-26: 22:48:23:878:318 Starting Negotiation: src = 192.168.168.200.0000, dst = 192.168.168.254.0500, proto = 00, context = FFAE7460, ProxySrc = 192.168.168.200.0000, ProxyDst = 0.0.0.0.0000 SrcMask = 255.255.255.255 DstMask = 0.0.0.0
11-26: 22:48:23:878:318 constructing ISAKMP Header
11-26: 22:48:23:878:318 constructing SA (ISAKMP)
11-26: 22:48:23:878:318 Constructing Vendor
11-26: 22:48:23:878:318
11-26: 22:48:23:878:318 Sending: SA = 0x00122400 to 192.168.168.254:Type 2
11-26: 22:48:23:878:318 ISAKMP Header: (V1.0), len = 108
11-26: 22:48:23:878:318 I-COOKIE ee37851911bf61cc
11-26: 22:48:23:878:318 R-COOKIE 0000000000000000
11-26: 22:48:23:878:318 exchange: Oakley Main Mode
11-26: 22:48:23:878:318 flags: 0
11-26: 22:48:23:878:318 next payload: SA
11-26: 22:48:23:878:318 message ID: 00000000
11-26: 22:48:24:879:614 retransmit: sa = 00122400 centry 00000000 , count = 1
Folgendes zeigt das Ereignis aus Sicht der FreeSWAN-Maschine (die Uhren
der beiden Rechner scheinen ca. 1 Sekunde unterschiedlich zu gehen.):
22:42:36 "hausnetz"[2] 192.168.168.200 #129: IPsec SA established
22:42:57 "hausnetz"[2] 192.168.168.200 #127: max number of retransmissions (2) reached STATE_QUICK_R1
22:44:19 "hausnetz"[2] 192.168.168.200 #128: received Delete SA payload: deleting ISAKMP State #128
22:44:19 packet from 192.168.168.200:500: received and ignored informational message
22:48:22 packet from 192.168.168.200:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003]
22:48:22 "hausnetz"[2] 192.168.168.200 #130: responding to Main Mode from unknown peer 192.168.168.200
22:48:22 packet from 192.168.168.200:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003]
22:48:22 "hausnetz"[2] 192.168.168.200 #131: responding to Main Mode from unknown peer 192.168.168.200
22:48:22 packet from 192.168.168.200:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003]
22:48:22 "hausnetz"[2] 192.168.168.200 #132: responding to Main Mode from unknown peer 192.168.168.200
22:49:09 "hausnetz"[2] 192.168.168.200 #130: WARNING: compute_dh_shared(): for OAKLEY_GROUP_MODP1024 took 22415729 usec
22:49:17 "hausnetz"[2] 192.168.168.200 #131: ignoring informational payload, type INVALID_COOKIE
22:49:17 "hausnetz"[2] 192.168.168.200 #131: received and ignored informational message
22:49:17 "hausnetz"[2] 192.168.168.200 #132: ignoring informational payload, type INVALID_COOKIE
22:49:17 "hausnetz"[2] 192.168.168.200 #132: received and ignored informational message
22:49:17 "hausnetz"[2] 192.168.168.200 #130: discarding duplicate packet; already STATE_MAIN_R2
22:49:17 last message repeated 4 times
22:49:17 "hausnetz"[2] 192.168.168.200 #132: ignoring informational payload, type INVALID_COOKIE
22:49:17 "hausnetz"[2] 192.168.168.200 #132: received and ignored informational message
22:49:17 "hausnetz"[2] 192.168.168.200 #131: ignoring informational payload, type INVALID_COOKIE
22:49:20 "hausnetz"[2] 192.168.168.200 #131: received and ignored informational message
22:49:20 "hausnetz"[2] 192.168.168.200 #130: Main mode peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Germany, L=Aachen, O=Hausnetz, CN=Ohrner'
Vielleicht hat jetzt jemand eine Idee, was hier passieren
könnte - ich hab' nach wie vor keine... :-( Sowas habe ich
noch nie gesehen.
Grüße,
Gunter
- --
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
+ PGP-verschlüsselte Mails bevorzugt! +
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
"Students made it long ago," said Rincewind. "Handy way in and out after
lights out." "Ah," said Twoflower, "I *understand*. Over the wall and
out to brightly-lit tavernas to drink and sing and recite poetry, yes?"
"Nearly right except for the singings and the poetry, yes," said
Rincewind. -- (Terry Pratchett, The Light Fantastic)
+-+-+-+-+-+-+-+-+-+-+-+-+ http://www.lspace.org +-+-+-+-+-+-+-+-+-+-+-+-+
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)
iD8DBQE/xa8d0ORHvREo8l8RAgUOAKCbKFJVZPcC5lJ7i9eKcEPi9VJiDACePT9D
6LvY1AA0kI8+hWudlh6Duwc=
=aZbz
-----END PGP SIGNATURE-----