Strongswan ist nicht der gesamte Verkehr verschlüsselt

717
code farmer

Ich habe Strongswan mit einem Cisco-Router mit folgender Konfiguration eingerichtet:

config setup uniqueids=never  ca default_ca auto=add  conn %default keyexchange=ikev1 type=tunnel left=%any auto=add dpdaction=clear margintime=0s rekeyfuzz=20% conn cisco-ezvpn keyexchange=ikev1 left=10.0.1.2 leftid=lab leftsourceip=%config leftfirewall=yes right=10.0.1.1 rightsubnet=0.0.0.0/0 xauth_identity=test auto=add leftauth2=xauth xauth=client aggressive=yes leftauth=psk rightauth=psk ikelifetime=86000s lifetime=86000s ike=aes256-sha256-ecp256 esp=aes256-sha256

Ich fand jedoch nicht den gesamten Datenverkehr verschlüsselt.

  • Wenn ein Programm, wie z. B. ssh, bereits vor der Installation von ipsec mit dem Remote-Server verbunden ist, werden diese Verbindungen nicht als VPN-Tunnel verwendet. Dies ist in der Ausgabe von tcpdump zu sehen:

[root @ lorawan ~] # tcpdump -i eth0 tcpdump: Ausführliche Ausgabe unterdrückt. Verwenden Sie -v oder -vv für die vollständige Protokolldekodierung, die auf eth0 überwacht wird, Verbindungstyp EN10MB (Ethernet), Erfassungsgröße 262144, Byte 22: 17: 54.407463 IP 10.0 .1.1> 10.0.1.2: ESP (spi = 0xc0920b53, seq = 0x4a), Länge 184 22: 17: 59.454819 IP 10.0.1.2> 10.0.1.1: ESP (spi = 0x3ec810fd, seq = 0x97), Länge 120 22:17 : 59.455637 IP 10.0.1.1> 10.0.1.2: ESP (spi = 0xc0920b53, seq = 0x4c), Länge 104 22: 17: 59.455637 IP 10.0.1.1> 10.10.0.0: ICMP 10.0.1.1 udp-Port-Domäne nicht erreichbar, Länge 36 22 : 17: 59.455787 IP 10.0.1.2> 10.0.1.1: ESP (spi = 0x3ec810fd, seq = 0x98), Länge 120 22: 18: 01.000771 STP 802.1d, Config, Flags [keine], Bridge-ID 8000.80: e0: 1d : 66: 2f: a2.8001, Länge 43 22: 18: 03.000814 STP 802.1d, Config, Flags [keine], Brücken-ID 8000.80: e0: 1d: 66: 2f: a2.8001, Länge 43 22:18: 04.738096 IP 10.0.1.2.33457> 10.0.1.1.5888: Flags [P.], Sequenz 4216930160: 4216930182, ack 50432821, gewonnen 17584, Länge 22 22: 18: 04.738618 IP 10.0.1.1.5888> 10.0.1.233457: Flags [.], Seq. 1:27, Ack 22, Sieg 3446, Länge 26 22: 18: 04.738679 IP 10.0.1.2.33457> 10.0.1.1.5888: Flags [.], Ack 27, Sieg 17584, Länge 0

Auf die Standardschnittstelle: eth0 kann immer noch von einem externen Host-Prozess zugegriffen werden, z. B. ssh:

[root @ lorawan ~] # tcpdump -i eth0 tcpdump: Verbose Ausgabe unterdrückt. Verwenden Sie -v oder -vv für die vollständige Protokolldekodierung, die auf eth0 überwacht wird, Verbindungstyp EN10MB (Ethernet), Erfassungsgröße 262144, Byte 22: 24: 28.021347, IP 10.0 .1.2> 10.0.1.1: ESP (spi = 0x3ec810fd, seq = 0xa9), Länge 120 22: 24: 28.169729 IP 10.0.1.1.36550> 10.0.1.2.ssh: Flags [P.], seq 156: 208, ack 825, gewinnen 2944, Länge 52 22: 24: 28.170144 IP 10.0.1.2.ssh

10.0.1.1.36550: Flags [P.], Seq. 825: 893, ack 208, win 16616, Länge 68 22: 24: 28.370727 IP 10.0.1.1.36550> 10.0.1.2.ssh: Flags [.], Ack 893, gewonnen 2876, Länge 0

Und mein iptables Forwarder sieht OK aus:

[root@lorawan ~]# iptables -L Chain INPUT (policy ACCEPT) target prot opt source destination  ACCEPT all -- anywhere 10.10.0.0 policy match dir in pol ipsec reqid 1 proto esp ACCEPT udp -- anywhere anywhere udp dpt:domain ACCEPT tcp -- anywhere anywhere tcp dpt:domain ACCEPT tcp -- anywhere anywhere tcp dpt:bootps ACCEPT udp -- anywhere anywhere udp dpt:bootps  Chain FORWARD (policy ACCEPT) target prot opt source destination  ACCEPT all -- anywhere 10.10.0.0 policy match dir in pol ipsec reqid 1 proto esp ACCEPT all -- 10.10.0.0 anywhere policy match dir out pol ipsec reqid 1 proto esp ACCEPT all -- anywhere anywhere  ACCEPT all -- anywhere anywhere   Chain OUTPUT (policy ACCEPT) target prot opt source destination  ACCEPT all -- 10.10.0.0 anywhere policy match dir out pol ipsec reqid 1 proto esp

Meine Frage ist: Gibt es eine Möglichkeit, "ALLEN Verkehr" in das VPN zu routen?

0

1 Antwort auf die Frage

0
aelbaz

Ich denke, es ist möglich, dass dieses Problem ein Nebeneffekt davon ist, wie der Linux-Netzwerkstapel funktioniert und wie die Bibliothek libpcap den Datenverkehr erfasst.

https://wiki.strongswan.org/issues/1114 https://wiki.strongswan.org/projects/strongswan/wiki/CorrectTrafficDump

Ich hoffe ich habe geholfen.

Grüße

Willkommen bei Super User! Während die Frage theoretisch beantwortet werden kann, ist es [bevorzugt] (// meta.stackoverflow.com/q/8259), die wesentlichen Teile der Antwort hier aufzunehmen und den Link als Referenz bereitzustellen. bertieb vor 7 Jahren 0

Verwandte Probleme