[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

IPSec とNeighbor Discoveryの問題

Subject: IPSec とNeighbor Discoveryの問題
From: Kohki Ohhira <ohhira@src.ricoh.co.jp>
To: tech-misc-ja@jp.netbsd.org
Date: Thu, 04 Dec 2003 00:44:49 +0900 (LMT)
Message-Id: <20031204.004449.91277672.ohhira@src.ricoh.co.jp>
Delivered-To: mailing list tech-misc-ja@jp.netbsd.org
Mailing-List: contact tech-misc-ja-help@jp.netbsd.org; run by ezmlm-idx

大平浩貴と申します。


現在、NetBSD-1.6.1で、Racoonを使い、IKEを使ったIPv6によるIPSecを
実験しています。

しかしながら、下記の問題にぶつかってしまっています。

どなたか、下記の通信を成功させた方はその環境について、ご教示頂け
ますでしょうか? また、下記の設定の問題点に気づかれた方は、それに
ついてご教示頂けますでしょうか?

どうかよろしくお願い申し上げます。

●問題

ブート直後にIPSecの設定を行い、相手に対してpingを行うとIKEのネゴ
シエーションができない。(Phase1の最初で止まってしまう)

対して、一単IPSecを使わずにpingを打った後で、その相手に対する
IPSecを設定すれば、IPSecによる通信ができる。


●現状

RacoonMLで確認したところ、どうもNeighbor Discoveryが通信できなく
なっていることが原因らしいという話を頂きました。

そこから先、「どのようにすれば、Neighbor Discoveryがうまく動作す
るのか」はracoonの範疇ではないため、判らずじまいとなっています。

そのときのSPDとracoon.conf、また通信の失敗した状況と成功した状況
を下記に記載します。

PC1のSPD
--↓SPDここから↓--
spdadd 2001:240:2c:d2:210:f3ff:fe03:a87/128 2001:240:2c:d2:200:eff:fe50:7f3d/128 any
        -P in ipsec esp/transport//require;
spdadd 2001:240:2c:d2:200:eff:fe50:7f3d/128 2001:240:2c:d2:210:f3ff:fe03:a87/128 any
        -P out ipsec esp/transport//require;
--↑SPDここまで↑--

PC1およびPC2のracoon.conf

--↓racoon.confここから↓--
path pre_shared_key "/usr/local/etc/racoon/psk.txt" ;
remote anonymous
{
	exchange_mode aggressive,main,base;
	proposal {
		encryption_algorithm 3des;
		hash_algorithm sha1;
		authentication_method pre_shared_key;
		dh_group 2;
	}
}

sainfo anonymous
{
	encryption_algorithm 3des, blowfish 448, rijndael ;
	authentication_algorithm hmac_sha1, hmac_md5 ;
	compression_algorithm deflate ;
}
--↑racoon.confここまで↑--

--↓成功した様子(事前にpingを打った)ここから↓--
21:08:35.939318 naiad.isakmp > hrimfaxi.isakmp: isakmp: phase 1 I agg: [|sa]
21:08:36.257330 hrimfaxi.isakmp > naiad.isakmp: isakmp: phase 1 R agg: [|sa]
21:08:36.560896 naiad.isakmp > hrimfaxi.isakmp: isakmp: phase 1 I agg: [|hash]
21:08:36.562064 hrimfaxi.isakmp > naiad.isakmp: isakmp: phase 2/others R inf[E]: [|hash]
21:08:36.565069 naiad.isakmp > hrimfaxi.isakmp: isakmp: phase 2/others I inf[E]: [|hash]
21:08:37.584742 naiad.isakmp > hrimfaxi.isakmp: isakmp: phase 2/others I oakley-quick[E]: [|hash]
21:08:37.588700 hrimfaxi.isakmp > naiad.isakmp: isakmp: phase 2/others R oakley-quick[E]: [|hash]
21:08:37.596965 naiad.isakmp > hrimfaxi.isakmp: isakmp: phase 2/others I oakley-quick[E]: [|hash]
21:08:37.658256 naiad > hrimfaxi: ESP(spi=254697259,seq=0x1)
21:08:37.658608 hrimfaxi > naiad: ESP(spi=62417055,seq=0x1)
21:08:38.647973 naiad > hrimfaxi: ESP(spi=254697259,seq=0x2)
21:08:38.648265 hrimfaxi > naiad: ESP(spi=62417055,seq=0x2)
(以降同じ2行が続く)
--↑成功した様子(事前にpingを打った)ここまで↑--

--↓失敗した様子(boot直後にIPSec設定をした)ここから↓--
17:34:36.117690 naiad.isakmp > hrimfaxi.isakmp: isakmp: phase 1 I agg: [|sa]
17:34:46.562523 naiad.isakmp > hrimfaxi.isakmp: isakmp: phase 1 I agg: [|sa]
17:34:56.623972 naiad.isakmp > hrimfaxi.isakmp: isakmp: phase 1 I agg: [|sa]
17:35:06.726716 naiad.isakmp > hrimfaxi.isakmp: isakmp: phase 1 I agg: [|sa]
(以降同じ行が続く)
--↑失敗した様子(boot直後にIPSec設定をした)ここまで↑--


どなたか、IPv6によるIPSec(racoonによるIKE通信付き)を成功させた方は、
どのような環境で成功させたのかをご教示頂けますでしょうか?

どうかよろしくお願い申し上げます。

--
大平浩貴