問題タブ [ipsec]

AWS VPC <==> TMG

Server 2008 r2 SP1 でホストされているカスタマー ゲートウェイとして Microsoft Forefront TMG サーバーに接続された VPN IPsec VPN 接続を備えた amazon VPC を使用しています。TMG アプリケーションにも SP2 ビルド 7.0.9193.500 までパッチが適用されています。VPN トンネルが接続され、接続が短時間 (約 5 ～ 10 分) 維持された後、切断されます。接続しては切断され、接続しては切断されます。LAN 上のワークステーションから VPC への ping トレースを実行したところ、接続が上下していることをはっきりと確認できますが、AWS マネジメント コンソールのステータスは接続されています。理由がわかりません。また、サーバー イベント ビューアに、この問題を明らかにするためのログがありません。

また、このガイドの時点で Amazon が推奨するように、TMG ボックスの外部ネットワーク インターフェイスで MTU を 1436 に設定しました。

http://awsdocs.s3.amazonaws.com/VPC/latest/vpc-nag.pdf

現時点では実質的に使用できないため、VPN接続にある程度の安定性をもたらすために私が試みることができることについて、誰か提案がありますか.

どうもありがとう、ジョン

「ip xfrm state add」コマンドのセレクター (パラメーター sel) は何を実現しますか?

送信元アドレスと宛先アドレス (およびポートやプロトコルなどの追加パラメーター) は ID セクションで設定されますが、セレクターにはこれらの補足セットが含まれています。例：

これにより、次の結果が得られます。

Setkey には、そのようなセレクタ値を追加する機会がないようです。また、出力にセレクターも表示されません。上記の xfrm コマンドは、次の「setkey -D」出力を生成します。

では、IPsec サブシステムは最終的にこのセレクターで何をするのでしょうか?

私は、開発者の観点から IPSec がどのように機能するのか疑問に思っていました。「主に Linux の OS がパケットを受信する前に、パケットを傍受して分析する独自のカスタム「エージェント」を記述できるようにしたいと考えています。それらが送信される前に（IPSecで行われるように）ペイロードレベルで（送信先のIPアドレスに従って）注入を行います。誰か私にいくつかの指針を教えてもらえますか？

また、ホストがリング 0 で実行されている場合 (たとえば、リング 0 で実行されている場合) にエージェントが危険にさらされないように、そのようなタスクを適切な速度で安全な方法で実行するのに最適な言語を知りたいと思っています。

私は主に Linux に焦点を当てていますが、クロスプラットフォームのライブラリがあるかどうかを知りたいと思います。

乾杯。

2 つのエンド システム間に Ipsec トンネルを設定しています。eth0 などの発信インターフェイスでパケットをキャプチャすると、システムから発信される暗号化された ESP パケットしか表示されません。受信側に行って、実際に送信されたものを確認する必要があります。つまり、受信側では、復号化後のパケットを確認できます。受信者から送信された ack についても同様です。Linuxカーネルで実際にどのように機能しますか? 暗号化される前に、送信側のパケットを tcpdump で確認する方法はありますか?

Linux Openswan U2.6.32 がインストールされた CentOS 5.5 (vm) があります。その上に、cisco ASA であるピアとの IPSec トンネルがあります。トンネルは 18 時間ごとに切断されます (トンネルが常に稼働している必要があります)。

openswan で多くのセットアップをテストしましたが、現在は次の構成になっています。

ピア デバイスにアクセスできません。

以前にこの問題に直面した人はいますか?

Linux で ip xfrm を使用して、AES を GCM モードで使用する IPsec SA をシステムに追加しています。

私が使用しているコマンドは次のようなものです：

ip xfrm state add src 10.66.21.164 dst 10.66.21.166 proto esp spi 0x201 mode transport aead "rfc4106(gcm(aes))" 0x010203047aeaca3f87d060a12f4a4487d5a5c335 96

今、私は疑問に思っています: キーは一見 20B = 160b の長さです。通常の AES キーは 128b で、上で見られるように、IV の長さは 96b です。キーを長くしたり短くしたりしても機能しないため、明らかに期待される入力は (sizeof(AES)=128b) (もちろん、256b でも機能します) + 32b の長さです。

これはなぜですか？このコンテキストで 4B の長さであることがわかっているのは、IV 長変数のデータ型である unsigned int だけですが、これはキーとは関係ありません。キーと IV の長さは 224b (IV の場合は 128 + 96) であるべきではありませんか?

さて、私はこれを理解しようとして約1時間ほどGoogleにいました。

L2TP/IPSec vpn セットアップがあります。クライアントが接続すると、そのクライアント用に新しいインターフェイスが作成され、問題はブート中に発生し、ほとんどの場合、これらのインターフェイスは存在しません。私の vpn 範囲は 10.24.1.1 から始まります。sshd を 10.24.1.1 でリッスンしたいのですが、クライアントが接続されていない場合、アドレスのバインドに失敗します。

/var/ログ/セキュア:

これは理にかなっています。私の質問はです。ある種のダミー インターフェイスを作成する方法や、単に 10.24.1.1 を割り当てて sshd がリッスンする方法はありますか? 助けてくれてありがとう！！

また、サーバーはCentOs 6 64ビットです