[LUGOS-SEC] tezave z ipsec - OpenSWAN+l2tpd gateway na ADSL strezniku

Gregor Ibic gregor.ibic at intelicom.si
Sun Jun 12 11:09:34 CEST 2005 

Najverjetneje te zeza MTU. Paket je prevelik za pppoe frame in ipsec sw 
ga ne fragmentira/defragmentira pravilno.

Lep pozdrav,

Gregor Ibic


--------------------------------------------------------------------
Gregor Ibic                                 gregor.ibic at intelicom.si
--------------------------------------------------------------------
Intelicom d.o.o.                                   Slovenija, Europe
Vojkovo nabrezje 30a, SI 6000 Koper            tel# +386 5 630 91 58
http://www.intelicom.si                        fax# +386 5 627 93 55
--------------------------------------------------------------------



Stojan Rancic wrote:

>Hojla lugos-sec,
>
>  Pri kolegu, ki ima linux server na ADSLu (pppoe) poizkusam postavit
>  ipsec gateway za njegovo lokalno omrezje. S pomocjo (1) in (2) sem
>  zadevo uspesno postavil v testnem okolju, ko pa jo hocem
>  implementirati (seveda) noce delovati :). Kot klient uporabljam
>  Windows 2000+Sp4. IPSec je se postavi (konfiguracija s certifikati),
>  vendar ko bi se moral zaceti pogovarjati z l2tpd-jem, se zgodi tocno
>  nic. Ce sniffam promet na ipsec0 vmesniku, dobim naslednje:
>
> 19:10:28.345619 IP 1.2.3.4.1701 > 2.3.4.5.1701:  l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ)
>        *PROTO_VER(1.0) *FRAMING_CAP(S) *BEARER_CAP() FIRM_VER(1280) *HOST_NAME(client)
>VENDOR_NAME(Microsoft)
>        *ASSND_TUN_ID(18) *RECV_WIN_SIZE(8)
> 19:10:32.331622 IP 1.2.3.4.1701 > 2.3.4.5.1701:  l2tp:[TLS](0/0)Ns=0,Nr=0 *MSGTYPE(SCCRQ)
>        *PROTO_VER(1.0) *FRAMING_CAP(S) *BEARER_CAP() FIRM_VER(1280) *HOST_NAME(client)
>VENDOR_NAME(Microsoft)
>        *ASSND_TUN_ID(18) *RECV_WIN_SIZE(8)
>  
>  Zdi se mi, da se problemi pojavljajo, ker ze obstaja ppp0 vmesnik
>  (kot ze receno, server je na ADSLu), in ga potem l2tpd sploh ne gre
>  dvigovati in zato potem stvar umre.
>
>  Ima mogoce kdo izkusnje s podobno postavitvijo, pa da mu dela ?
>  Lahko tudi PTPP, samo pac da je dejansko server na obstojeci PPPoE
>  povezavi, nanj pa se prijavljajo WinXX klienti.
>
>  URLja:
>  1: http://www.jacco2.dds.nl/networking/freeswan-l2tp.html
>  2: http://www.natecarlson.com/linux/ipsec-l2tp.php
>
>                      GreetZ, Stojan
>  
>

More information about the lugos-sec mailing list