[FreeBSD-users-jp 96119] Re: IPSec on FreeBSD 11.1-RELEASE-p1
Koh-ichi Oniuda (=?iso-2022-jp?B?GyRCNTRAOEVEOUAwbBsoQg==?=)
oniuda @ oni.gr.jp
2017年 9月 14日 (木) 22:43:22 UTC
追加情報です。
3台のFreeBSD Box間でipsecの鍵交換をやってみました。
A.FreeBSD 11.1-RELEASE-p1+ports/ipsec-tools(ipsec-tools-0.8.2_2)
B.FreeBSD 11.1-RELEASE-p1+ports/ipsec-tools(ipsec-tools-0.8.2_2)
C.FreeBSD 9.3-STABLE+ports/ipsec-tools(ipsec-tools-0.8.1_4)
A <-> B 間では、最初のメールの通りとなります。
A <-> C 間では、Aは、同様の現象ですが、Cでは、SADが正常に表示されま
した。Aが鍵交換失敗しているのでIPSec通信はできませんが。
また A <-> B 間で鍵交換なし(racoonなし)鍵固定で接続した場合は、正常
にSAD SPDともに表示され、IPSecの通信が確立されます。
FreeBSD 11とracoon間に問題があるように思えます。
portsを最新にしましたがipsec-toolsは8/4のタイムスタンプのままでした。
FreeBSD 11 + ports/ipsec-tools で問題なくIPSec通信できるのでしょうか?
google検索では、FreeBSD11+strongswanでの、事例はヒットします。
In <20170912.114806.696099016890246140.oniuda @ oni.gr.jp>
at Tue, 12 Sep 2017 11:48:06 +0900 (JST)
Re:[ [FreeBSD-users-jp 96112] IPSec on FreeBSD 11.1-RELEASE-p1 ]
Koh-ichi Oniuda (鬼生田浩一) <oniuda @ oni.gr.jp> wrotes:
oniuda> 鬼生田です。
oniuda>
oniuda> /usr/ports/security/ipsec-toolsをFreeBSD 11.1-RELEASE-p1にインストール
oniuda> し、2台のFreeBSD間でIPSec VPNを作ろうとしています。ipsec-toolsはFreeBSD4
oniuda> 時代から、FreeBSD9まで使用し続けているのですが、FreeBSD11では、同じような
oniuda> 設定でつながりません。
oniuda>
oniuda> racoonのログに以下のエラー(pfkey UPDATE failed: No such process)が記録
oniuda> されます。
oniuda> DEBUG: pk_recv: retry[0] recv()
oniuda> DEBUG: got pfkey UPDATE message
oniuda> ERROR: pfkey UPDATE failed: No such process
oniuda> DEBUG: pk_recv: retry[0] recv()
oniuda> DEBUG: got pfkey ADD message
oniuda> INFO: IPsec-SA established: ESP 192.168.16.3[500]->192.168.16.2[500] spi=40609554(0x26ba712)
oniuda>
oniuda> また、以下のカーネルメッセージが表示されます。
oniuda> key_acqdone: ACQ 3802949569 is not found.key_acqdone: ACQ 528895646 is not found.key_update: invalid state.
oniuda> key_update: saidx mismatched for SPI 133341799key_add: invalid state.
oniuda>
oniuda> FreeBSD 9の時は、 pfkey UPDATE failed: No such processのエラーは出ていま
oniuda> せん。
oniuda>
oniuda> 192.168.16.3 のサーバ側のsetkey
oniuda> # setkey -D
oniuda> 192.168.16.3 192.168.16.2
oniuda> esp mode=any spi=85290753(0x05156f01) reqid=0(0x00000000)
oniuda> E: 3des-cbc 1aaa44a3 0895b138 999b20f7 09ba3b7d 55f47cf8 a573bfaa
oniuda> A: hmac-sha1 2932e89a ca480ba0 87cabbaf 40a67c76 b5768e8c
oniuda> seq=0x00000000 replay=4 flags=0x00000000 state=mature
oniuda> created: Sep 12 11:39:02 2017 current: Sep 12 11:39:03 2017
oniuda> diff: 1(s) hard: 28800(s) soft: 23040(s)
oniuda> last: hard: 0(s) soft: 0(s)
oniuda> current: 0(bytes) hard: 0(bytes) soft: 0(bytes)
oniuda> allocated: 0 hard: 0 soft: 0
oniuda> sadb_seq=1 pid=9023 refcnt=1
oniuda> 192.168.16.2 192.168.16.3
oniuda> esp mode=tunnel spi=109578375(0x06880887) reqid=0(0x00000000)
oniuda> seq=0x00000000 replay=0 flags=0x00000000 state=larval
oniuda> created: Sep 12 11:39:02 2017 current: Sep 12 11:39:03 2017
oniuda> diff: 1(s) hard: 0(s) soft: 0(s)
oniuda> last: hard: 0(s) soft: 0(s)
oniuda> current: 0(bytes) hard: 0(bytes) soft: 0(bytes)
oniuda> allocated: 0 hard: 0 soft: 0
oniuda> sadb_seq=0 pid=9023 refcnt=1
oniuda>
oniuda> となりSPIの交換ができている様ですが、192.168.16.2 192.168.16.3側の
oniuda> 情報が不十分で
oniuda>
oniuda> 2017-09-12 11:39:33: ERROR: 192.168.16.2 give up to get IPsec-SA due to time up to wait.
oniuda>
oniuda> となります。
oniuda>
oniuda> 以下にも同様の現象があるようです。
oniuda> https://groups.google.com/forum/#!topic/fido7.ru.unix.bsd/YhEK6_50fCs
oniuda>
oniuda> 対応策ありましたら、ご教授ください。
---
Oniuda
freebsd-users-jp メーリングリストの案内