[Alug] FreeSWAN / WinXP Interop.-Probleme

Gunter Ohrner G.Ohrner at post.rwth-aachen.de
Don Nov 27 09:00:20 CET 2003


-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Am Montag, 24. November 2003 11:40 schrieb Gunter Ohrner:
> Hat hier einer Erfahrung mit WinXP IPSEC und FreeSWAN als Gegenstelle?

> Bei mir versucht WinXP irgendwie ständig, neue IPSEC SAs auszuhandeln,
> wodurch der Tunnel andauernd unterbrochen wird - so ist das Ganze
> unbrauchbar...

> In den Zeiten zwischen den ständigen Tunnel ab- und neuaufbauten
> funktioniert das Ganze so wie es soll.

Zwischenzeitlich habe ich es geschafft, das Windows' Oakley Log zu
aktivieren. (He, niemand hat mir gesagt, dass ich Windows -
oder zumindest den IPSEC-Service - nach der Registry-Änderung neustarten
muss! ;) Mh, naja, vermutlich stand es schon auf der entsprechenden
MS-Infoseite, welche ich wohl nicht genau genug gelesen habe...)

Außerdem hatte zwar noch niemand einen Tipp für mich, allerdings hat
sich jemand gemeldet, der in ähnlicher Konfiguration genau die gleichen
Probleme hat und wissen wollte, ob ich schon eine Lösung gefunden
habe...

Leider helfen mir die Logs so gut wie überhaupt nicht weiter... Beim
Ausprobieren fiel mir allerdings auf, dass das Problem nur oder
zumindest stark verstärkt auftritt, wenn der Tunnel "belastet" wird.
Wenn nur pings dadurch laufen unterbleibt das ständige Neuaushandeln.

Folgende Logs zeigen das Problem von Windows-Seite: Um 22:48:23 fängt
Windows an, neue SAs auszuhandeln. Der bestehende Tunnel funktioniert
noch so lange, bis die ISAKMP SAs des neuen Tunnels fertig sind, danach
laufen erst wieder Daten, sobald der neue Tunnel komplett aufgebaut ist.

11-26: 22:44:24:113:318 Sending: SA = 0x00103620 to 192.168.168.254:Type 1
11-26: 22:44:24:113:318 ISAKMP Header: (V1.0), len = 76 
11-26: 22:44:24:113:318   I-COOKIE 22de23adcc786b48
11-26: 22:44:24:113:318   R-COOKIE 302cd22ba09e5f76
11-26: 22:44:24:113:318   exchange: ISAKMP Informational Exchange
11-26: 22:44:24:113:318   flags: 1 ( encrypted )
11-26: 22:44:24:113:318   next payload: HASH
11-26: 22:44:24:113:318   message ID: 070d5f29
11-26: 22:44:24:123:318 
11-26: 22:44:24:123:318 Receive: (get) SA = 0x00103620 from 192.168.168.254
11-26: 22:44:24:123:318 ISAKMP Header: (V1.0), len = 76 
11-26: 22:44:24:123:318   I-COOKIE 22de23adcc786b48
11-26: 22:44:24:123:318   R-COOKIE 302cd22ba09e5f76
11-26: 22:44:24:123:318   exchange: ISAKMP Informational Exchange
11-26: 22:44:24:123:318   flags: 1 ( encrypted )
11-26: 22:44:24:123:318   next payload: HASH
11-26: 22:44:24:123:318   message ID: d8f7f48c
11-26: 22:44:24:123:318 processing HASH (Notify/Delete)
11-26: 22:44:24:123:318 processing payload DELETE

11-26: 22:48:23:878:60c Acquire from driver: op=FFAE7460 src=192.168.168.200.0 dst=0.0.0.0.0 proto = 0, SrcMask=255.255.255.255, DstMask=0.0.0.0, Tunnel 1, TunnelEndpt=192.168.168.254 Inbound TunnelEndpt=192.168.168.200
11-26: 22:48:23:878:318 Filter to match: Src 192.168.168.254 Dst 192.168.168.200
11-26: 22:48:23:878:318 MM PolicyName: 2
11-26: 22:48:23:878:318 MMPolicy dwFlags 2 SoftSAExpireTime 28800
11-26: 22:48:23:878:318 MMOffer[0] LifetimeSec 28800 QMLimit 1 DHGroup 2
11-26: 22:48:23:878:318 MMOffer[0] Encrypt: Dreifach-DES CBC Hash: MD5
11-26: 22:48:23:878:318 Auth[0]:RSA Sig C=DE, S=Germany, L=Aachen, O=Gunter Ohrner Datensysteme, OU=ohrnet.de CA, CN=ca at ohrnet.de, E=ca at ohrnet.de
11-26: 22:48:23:878:318 QM PolicyName: IPSEC erzwingen dwFlags 1
11-26: 22:48:23:878:318 QMOffer[0] LifetimeKBytes 0 LifetimeSec 0
11-26: 22:48:23:878:318 QMOffer[0] dwFlags 0 dwPFSGroup 268435456
11-26: 22:48:23:878:318  Algo[0] Operation: ESP Algo: Dreifach-DES CBC HMAC: MD5
11-26: 22:48:23:878:318 Starting Negotiation: src = 192.168.168.200.0000, dst = 192.168.168.254.0500, proto = 00, context = FFAE7460, ProxySrc = 192.168.168.200.0000, ProxyDst = 0.0.0.0.0000 SrcMask = 255.255.255.255 DstMask = 0.0.0.0
11-26: 22:48:23:878:318 constructing ISAKMP Header
11-26: 22:48:23:878:318 constructing SA (ISAKMP)
11-26: 22:48:23:878:318 Constructing Vendor
11-26: 22:48:23:878:318 
11-26: 22:48:23:878:318 Sending: SA = 0x00122400 to 192.168.168.254:Type 2
11-26: 22:48:23:878:318 ISAKMP Header: (V1.0), len = 108 
11-26: 22:48:23:878:318   I-COOKIE ee37851911bf61cc
11-26: 22:48:23:878:318   R-COOKIE 0000000000000000
11-26: 22:48:23:878:318   exchange: Oakley Main Mode
11-26: 22:48:23:878:318   flags: 0 
11-26: 22:48:23:878:318   next payload: SA
11-26: 22:48:23:878:318   message ID: 00000000
11-26: 22:48:24:879:614 retransmit: sa = 00122400 centry 00000000 , count = 1



Folgendes zeigt das Ereignis aus Sicht der FreeSWAN-Maschine (die Uhren
der beiden Rechner scheinen ca. 1 Sekunde unterschiedlich zu gehen.):



22:42:36 "hausnetz"[2] 192.168.168.200 #129: IPsec SA established
22:42:57 "hausnetz"[2] 192.168.168.200 #127: max number of retransmissions (2) reached STATE_QUICK_R1
22:44:19 "hausnetz"[2] 192.168.168.200 #128: received Delete SA payload: deleting ISAKMP State #128
22:44:19 packet from 192.168.168.200:500: received and ignored informational message

22:48:22 packet from 192.168.168.200:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003]
22:48:22 "hausnetz"[2] 192.168.168.200 #130: responding to Main Mode from unknown peer 192.168.168.200
22:48:22 packet from 192.168.168.200:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003]
22:48:22 "hausnetz"[2] 192.168.168.200 #131: responding to Main Mode from unknown peer 192.168.168.200
22:48:22 packet from 192.168.168.200:500: ignoring Vendor ID payload [MS NT5 ISAKMPOAKLEY 00000003]
22:48:22 "hausnetz"[2] 192.168.168.200 #132: responding to Main Mode from unknown peer 192.168.168.200
22:49:09 "hausnetz"[2] 192.168.168.200 #130: WARNING: compute_dh_shared(): for OAKLEY_GROUP_MODP1024 took 22415729 usec
22:49:17 "hausnetz"[2] 192.168.168.200 #131: ignoring informational payload, type INVALID_COOKIE
22:49:17 "hausnetz"[2] 192.168.168.200 #131: received and ignored informational message
22:49:17 "hausnetz"[2] 192.168.168.200 #132: ignoring informational payload, type INVALID_COOKIE
22:49:17 "hausnetz"[2] 192.168.168.200 #132: received and ignored informational message
22:49:17 "hausnetz"[2] 192.168.168.200 #130: discarding duplicate packet; already STATE_MAIN_R2
22:49:17 last message repeated 4 times
22:49:17 "hausnetz"[2] 192.168.168.200 #132: ignoring informational payload, type INVALID_COOKIE
22:49:17 "hausnetz"[2] 192.168.168.200 #132: received and ignored informational message
22:49:17 "hausnetz"[2] 192.168.168.200 #131: ignoring informational payload, type INVALID_COOKIE
22:49:20 "hausnetz"[2] 192.168.168.200 #131: received and ignored informational message
22:49:20 "hausnetz"[2] 192.168.168.200 #130: Main mode peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Germany, L=Aachen, O=Hausnetz, CN=Ohrner'


Vielleicht hat jetzt jemand eine Idee, was hier passieren
könnte - ich hab' nach wie vor keine... :-( Sowas habe ich
noch nie gesehen.

Grüße,

  Gunter

- -- 
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
+                   PGP-verschlüsselte Mails bevorzugt!                 +
+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+-+
"Students made it long ago," said Rincewind. "Handy way in and out after 
lights out." "Ah," said Twoflower, "I *understand*. Over the wall and 
out to brightly-lit tavernas to drink and sing and recite poetry, yes?" 
"Nearly right except for the singings and the poetry, yes," said 
Rincewind.        -- (Terry Pratchett, The Light Fantastic)
+-+-+-+-+-+-+-+-+-+-+-+-+ http://www.lspace.org +-+-+-+-+-+-+-+-+-+-+-+-+
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.3 (GNU/Linux)

iD8DBQE/xa8d0ORHvREo8l8RAgUOAKCbKFJVZPcC5lJ7i9eKcEPi9VJiDACePT9D
6LvY1AA0kI8+hWudlh6Duwc=
=aZbz
-----END PGP SIGNATURE-----