STABLE+IPSEC

Alex Korchmar написал(а) к Eugene Grosbein в Jun 17 13:51:58 по местному времени:

From: Alex Korchmar <noreply@linux.e-moe.ru>

Eugene Grosbein <Eugene.Grosbein@f1.n5006.z2.fidonet.org> wrote:

EG> 3 ESRCН No such process. No process could be found corresponding to that
EG> specified by the given process ID.
спасибо, кэп - я вообще-то хотел спросить, не в курсе ли вы, ЧТО за сраный
"процесс" оно искало?

Я вот таких ошибок от racoon никогда не встречал, обычно он обламывается
об no such file, и это понятно где искать, гугль о такой строке тоже не в курсе.
Очень даже может быть, что искало оно вовсе не процесс, а строку в SA.

EG> На самом деле ядро уже давно возвращает ESRCН далеко не только
EG> для не найденного PID, но и для других ресурсов тоже.
на самом деле автор, возвращающий такие ошибки без уточнения где в его чудо-
программе оно слуцилась и что же это он такое искал-не нашел, безусловно $дак.
К сожалению, их таких тыщи.


> Alex

--- ifmail v.2.15dev5.4

Victor Sudakov написал(а) к Eugene Grosbein в Jun 17 18:28:52 по местному времени:

Dear Eugene,

20 Jun 17 17:00, you wrote to Sergey Anohin:

SA>> ты пpо это?
SA>> script "/usr/local/etc/racoon/teardown.sh" phase1down;
SA>> script "/usr/local/etc/racoon/teardown.sh" phase1dead;

EG> Про все места где у тебя вызывается setkey - эти вызовы убрать,
EG> они больше не нужны.

EG>>> включая вот эти стpочки из /etc/ipsec.conf:
SA>> Забыл скопипастить? Покажешь конфиг?
SA>> Сейчас у меня используется setkey.conf в качестве ipsec.conf:
SA>> ipsec_enable="YES"
SA>> ipsec_file="/usr/local/etc/racoon/setkey.conf"
SA>> flush;
SA>> spdflush;
SA>> spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec
SA>> esp/transport//require; spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp
SA>> -P out ipsec esp/transport//require;

EG> Да, вот это. Тоже убери, это уже всё автоматом.

Кто автомат обеспечивает в случае racoon+mpd5?

EG>>> тепеpь ядpо всё это делает автоматически и не надо ему мешать.

Как это? Откуда оно узнает, что мне хочется шифровать 1701/udp, потому что это l2tp, который мне захотелось завернуть в IPSec?

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20160322-b20160322

Andrew Kant написал(а) к Eugene Grosbein в Jun 17 14:45:39 по местному времени:

Нello Eugene!

Tuesday June 20 2017 17:00, Eugene Grosbein wrote to Sergey Anohin:
SA>> Сейчас у меня используется setkey.conf в качестве ipsec.conf:
SA>> ipsec_enable="YES"
SA>> ipsec_file="/usr/local/etc/racoon/setkey.conf"
SA>> flush;
SA>> spdflush;
SA>> spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec
SA>> esp/transport//require; spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp -P
SA>> out ipsec esp/transport//require;

EG> Да, вот это. Тоже убери, это уже всё автоматом.
А откуда этот "автомат" узнает, что я использую ESP, причем в траспорт-моде, причем только для udp по конкретному порту? А если я захочу не l2tp? Всё равно где-то в конфигах это должно быть, угадать тот-же racoon это не сможет.

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7

Sergey Anohin написал(а) к Eugene Grosbein в Jun 17 16:20:59 по местному времени:

Нello Eugene* *Grosbein
SA>> script "/usr/local/etc/racoon/teardown.sh" phase1down;
SA>> script "/usr/local/etc/racoon/teardown.sh" phase1dead;
EG> Пpо все места где у тебя вызывается setkey - эти вызовы убpать,
EG> они больше не нужны.

Если я пpав, то только это, если нет ткни носом плз

EG>>> включая вот эти стpочки из /etc/ipsec.conf:
SA>> Забыл скопипастить? Покажешь конфиг?
SA>> Сейчас у меня используется setkey.conf в качестве ipsec.conf:
SA>> ipsec_enable="YES"
SA>> ipsec_file="/usr/local/etc/racoon/setkey.conf"
SA>> flush;
SA>> spdflush;
SA>> spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec
SA>> esp/transport//require; spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp -P
SA>> out ipsec esp/transport//require;
EG> Да, вот это. Тоже убеpи, это уже всё автоматом.

Так он пустой должен быть ipsec.conf?

EG>>> тепеpь ядpо всё это делает автоматически и не надо ему мешать.
EG>>> В /etc/ipsec.conf можно оставить паpаметpы для статических
EG>>> туннелей, котоpыми не занимается racoon, они пpодолжат pаботать.
SA>> Пpишли пpимеp плз
EG> В остальном у тебя всё ноpмально, только миp синхpонизиpуй.

Ок спасибо, уже сбоpка идет, осталось только уточнить что должно быть в ipsec.conf

Bye, Eugene Grosbein, 20 июня 17
--- FIPS/IP <build 01.14>

Eugene Grosbein написал(а) к Alex Korchmar в Jun 17 21:13:39 по местному времени:

20 июня 2017, вторник, в 12:51 NOVT, Alex Korchmar написал(а):

EG>> 3 ESRCН No such process. No process could be found corresponding to
AK> that
EG>> specified by the given process ID.
AK> спасибо, кэп - я вообще-то хотел спросить, не в курсе ли вы, ЧТО за сраный
AK> "процесс" оно искало?

Не знаю, но наверняка политику.

Eugene
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Andrew Kant в Jun 17 11:12:03 по местному времени:

20 июня 2017, вторник, в 13:45 NOVT, Andrew Kant написал(а):

SA>>> Сейчас у меня используется setkey.conf в качестве ipsec.conf:
SA>>> ipsec_enable="YES"
SA>>> ipsec_file="/usr/local/etc/racoon/setkey.conf"
SA>>> flush;
SA>>> spdflush;
SA>>> spdadd 0.0.0.0/0[0] 0.0.0.0/0[1701] udp -P in ipsec
SA>>> esp/transport//require; spdadd 0.0.0.0/0[1701] 0.0.0.0/0[0] udp -P
SA>>> out ipsec esp/transport//require;
EG>> Да, вот это. Тоже убери, это уже всё автоматом.
AK> А откуда этот "автомат" узнает, что я использую ESP, причем в траспорт-моде,
AK> причем только для udp по конкретному порту?

racoon скажет, получив эту информацию от клиента.

AK> А если я захочу не l2tp?

Тоже будет работать.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Sergey Anohin в Jun 17 11:12:55 по местному времени:

20 июня 2017, вторник, в 15:20 NOVT, Sergey Anohin написал(а):

SA> Так он пустой должен быть ipsec.conf?

Да, если у тебя нет статических туннелей.

EG>>>> тепеpь ядpо всё это делает автоматически и не надо ему мешать.
EG>>>> В /etc/ipsec.conf можно оставить паpаметpы для статических
EG>>>> туннелей, котоpыми не занимается racoon, они пpодолжат pаботать.
SA>>> Пpишли пpимеp плз
EG>> В остальном у тебя всё ноpмально, только миp синхpонизиpуй.
SA> Ок спасибо, уже сбоpка идет, осталось только уточнить что должно быть в
SA> ipsec.conf

Ничего в твоём случае.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Victor Sudakov в Jun 17 11:13:43 по местному времени:

20 июня 2017, вторник, в 17:28 NOVT, Victor Sudakov написал(а):

EG>> Да, вот это. Тоже убери, это уже всё автоматом.
VS> Кто автомат обеспечивает в случае racoon+mpd5?

racoon (IKE).

EG>>>> тепеpь ядpо всё это делает автоматически и не надо ему мешать.
VS> Как это? Откуда оно узнает, что мне хочется шифровать 1701/udp, потому что это
VS> l2tp, который мне захотелось завернуть в IPSec?

Из IKE от клиента.

Eugene
--
Поэты - страшные люди. У них все святое.
--- slrn/1.0.2 (FreeBSD)

Eugene Grosbein написал(а) к Victor Sudakov в Jun 17 11:32:44 по местному времени:

20 июня 2017, вторник, в 17:28 NOVT, Victor Sudakov написал(а):

VS> Как это? Откуда оно узнает, что мне хочется шифровать 1701/udp, потому что это
VS> l2tp, который мне захотелось завернуть в IPSec?

Вот так оно нычне выглядит автоматом, когда с андроида
коннект идёт через билайновскую сеть 3G через билайновский NAT:

# setkey -DP
an.dr.o.id[any] fr.ee.b.sd[1701] udp
in ipsec
esp/transport//unique:2
created: Jun 21 06:25:29 2017 lastused: Jun 21 06:25:35 2017
lifetime: 28800(s) validtime: 0(s)
spid=27 seq=1 pid=16579 scope=global
refcnt=2
fr.ee.b.sd[1701] an.dr.o.id[any] udp
out ipsec
esp/transport//unique:2
created: Jun 21 06:25:29 2017 lastused: Jun 21 06:25:33 2017
lifetime: 28800(s) validtime: 0(s)
spid=28 seq=0 pid=16579 scope=global
refcnt=2
# setkey -D
fr.ee.b.sd[4500] an.dr.o.id[26052]
esp-udp mode=transport spi=192462156(0x0b78bd4c) reqid=2(0x00000002)
E: 3des-cbc 2663bfa0 890539dd ae0a900d 61a2954a cf65b372 545273ed
A: hmac-sha1 cfe43fdf bc141944 8c4ce094 d479d434 d57d9e1e
seq=0x00000037 replay=4 flags=0x00000000 state=mature
created: Jun 21 06:25:29 2017 current: Jun 21 06:29:38 2017
diff: 249(s) hard: 28800(s) soft: 23040(s)
last: Jun 21 06:25:30 2017 hard: 0(s) soft: 0(s)
current: 5304(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 55 hard: 0 soft: 0
sadb_seq=1 pid=16587 refcnt=1
an.dr.o.id[26052] fr.ee.b.sd[4500]
esp-udp mode=transport spi=200499294(0x0bf3605e) reqid=2(0x00000002)
E: 3des-cbc bb265921 6777da3b ce465e0c 8fe6d27a 158f77d8 33cc4e25
A: hmac-sha1 cedc4fc7 f38926b6 10344da6 8dc49dfc 6c3ce1e1
seq=0x00000000 replay=4 flags=0x00000000 state=mature
created: Jun 21 06:25:29 2017 current: Jun 21 06:29:38 2017
diff: 249(s) hard: 28800(s) soft: 23040(s)
last: Jun 21 06:25:30 2017 hard: 0(s) soft: 0(s)
current: 2418(bytes) hard: 0(bytes) soft: 0(bytes)
allocated: 42 hard: 0 soft: 0
sadb_seq=0 pid=16587 refcnt=1
Eugene
--
Смотри, но не смей трогать
--- slrn/1.0.2 (FreeBSD)

Andrew Kant написал(а) к Eugene Grosbein в Jun 17 08:28:46 по местному времени:

Нello Eugene!

Wednesday June 21 2017 11:13, Eugene Grosbein wrote to Victor Sudakov:

EG> 20 июня 2017, вторник, в 17:28 NOVT, Victor Sudakov написал(а):

EG>>> Да, вот это. Тоже убери, это уже всё автоматом.
VS>> Кто автомат обеспечивает в случае racoon+mpd5?

EG> racoon (IKE).

EG>>>>> тепеpь ядpо всё это делает автоматически и не надо ему мешать.
VS>> Как это? Откуда оно узнает, что мне хочется шифровать 1701/udp,
VS>> потому что это l2tp, который мне захотелось завернуть в IPSec?

EG> Из IKE от клиента.

Ну, вообще-то racoon это не ядро, но не будем придираться к словам, это не суть важно в данном случае :)

И начиная с какой версии он это умеет? Ну или хотя-бы в какой версии он это умеет? Есть какие-то параметры, которые управляют данным поведением?
Чего-то не хочется, чтоб при очередном апгрейде поломались существующие тунели, хотя давно пора было этот функционал добавить.

Good bye!
Andrew

--- GoldED+/W32 1.1.4.7