racoon servisini stop/start ettim ve ilk defa bazı hata loglarıyla karşılaştım(ip ler değiştirildi):
Oct 6 15:18:51 racoon: ERROR: such policy already exists. anyway replace it: 18.1.1.0/24[0] 12.0.0.0/8[0] proto=any dir=in Oct 6 15:18:51 racoon: ERROR: such policy already exists. anyway replace it: 12.0.0.0/8[0] 18.1.1.0/24[0] proto=any dir=out Oct 6 15:18:51 racoon: ERROR: such policy already exists. anyway replace it: 12.5.10.25/32[0] 12.0.0.0/8[0] proto=any dir=out Oct 6 15:18:51 racoon: ERROR: such policy already exists. anyway replace it: 12.0.0.0/8[0] 12.5.10.25/32[0] proto=any dir=in Oct 6 15:18:51 racoon: INFO: unsupported PF_KEY message REGISTER Oct 6 15:18:51 racoon: [Self]: INFO: 12.5.10.25[500] used as isakmp port (fd=16) Oct 6 15:18:51 racoon: [Self]: INFO: 177.31.41.116[500] used as isakmp port (fd=15) Oct 6 15:18:51 racoon: [Self]: INFO: 127.0.0.1[500] used as isakmp port (fd=14) Oct 6 15:18:51 racoon: INFO: Reading configuration from "/var/etc/racoon.conf" Oct 6 15:18:51 racoon: INFO: @(#)This product linked OpenSSL 0.9.8e 23 Feb 2007 (http://www.openssl.org/) Oct 6 15:18:51 racoon: INFO: @(#)ipsec-tools 0.7.2 (http://ipsec-tools.sourceforge.net) pfankara1 12.5.10.25/8, external bacak 177.31.41.116 pfankara2 internal network 18.1.1.0/24 loglarda kalabalık etmemesi için pfizmir1 tüneli disable ettiği için onunla ilgili loglar gözükmemekte, enable yapar isem Ipsec-sa established logu çıkmakta. İyi çalışmalar... ----- Original Message ----- From: "Taner Karagol" <[email protected]> To: "Linux Güvenlik" <[email protected]> Sent: Wednesday, October 06, 2010 2:56 PM Subject: [Linux-guvenlik] Re: Linux-guvenlik Toplu Mesajı, Sayı 68, Konu 7 Merhaba, Sistemlerimiz internete kapalı olduğundan copy-paste ile logları kolayca atamıyorum. Ama loglarda gördüğüm başarılı kurulan tünel ile ilgili loglar ve başarılı oldu diyor: INFO-Ipsec-SA Established.... Kurulamayan tünneler ile ilgili hiç bir info/error gibi bir bilgi loglarda bulunmuyor. Zaten garip olanda bu, tcpdump ile bakıyorum ESP paketleri yok ortalarda. Sadece başarılı tünele ait ESP ler var. # tcpdump -nettt -i pflog0 komutu ile fiewall loglarınada baktım ama drop olan bir paket yok, ESP paketi yokki ortalarda drop yada accept olsun. Çok temelde bir problem olsa gerek. İyi çalışmalar... ----- Original Message ----- From: "Ozan UÇAR" <[email protected]> Cc: <[email protected]> Sent: Wednesday, October 06, 2010 12:24 PM Subject: [Linux-guvenlik] Re: Linux-guvenlik Toplu Mesajı, Sayı 68, Konu 7 Şu kısmı kaçırmışım ! "Başka bir ofisimize daha pfsense (pfankara1) yerleştirdik ama sadece bir tünel çalışır duruma gelebildi (pfankara1 ile pfizmir1 arasında çalışmakta sadece)" Status > System logs > IPSEC VPN sayfasında, tünel için bilgi/uyarı/hata kayıtları vardır. Kayıtları paylaşabilir misiniz ? Ozan UÇAR yazmış: > Selamlar, > pfankara1 firewall internet ip'sini direkt mi alıyor yoksa, önünde > model veya farklı gir gateway bulunuyor mu ? > Eğer modeminiz var ise, marka modelini ve yazılım versiyonunu yazar > mısınız ? > Ev kullanıcıları veya küçük işletmeler için üretilmiş bazı modemler > (airties tek portlu modemleri gibi) ESP, GRE protokollerini > desteklemiyor. > Yalnızca TCP ve UDP protokollerine göre işlem yapıyor, başka ne varsa > blockluyor (modemlerdeki DMZ kavramını etkinleştirmenize rağmen) > > VPN destekli modemlerde ise, pptp,l2tp,ipsec vs. vpn geçişine izin > veren "vpn passthrough" özelliği bulunuyor sizin modeminiz böyle bir > özelliği destekliyorsa etkinleştirmenizi öneririm. > > [email protected] yazmış: >> Linux-guvenlik listesi mesajlarını şu adrese gönderin: >> [email protected] >> >> World Wide Web ile üye olmak veya üyelikten çıkmak için şu sayfayı >> ziyaret edin: >> https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik >> veya e-posta yoluyla konusunda veya gövdesinde 'help' yazan bir mesajı >> şu adrese gönderin: >> [email protected] >> >> Bu listeyi yöneten kişiye şu adresten ulaşabilirsiniz: >> [email protected] >> >> Yanıt yazarken, lütfen Konu satırını düzenleyerek şu tür bir şekilden >> daha belirli olmasını sağlayın: "Ynt: Linux-guvenlik toplu mesajının >> içeriği..." >> >> >> >> Günün Konuları: >> >> 1. pfSense IPsec (Taner Karagol) >> >> >> ---------------------------------------------------------------------- >> >> Message: 1 >> Date: Tue, 5 Oct 2010 16:35:49 +0300 >> From: Taner Karagol <[email protected]> >> Subject: [Linux-guvenlik] pfSense IPsec >> To: <[email protected]> >> Message-ID: <[email protected]> >> Content-Type: text/plain; charset="iso-8859-9" >> >> Uzak ofisler ile merkez ofis arasında şifreleme amaçlı pfSense Ipsec >> kullanmaktayım. Şu anda üç adet pfsense arasında tüneller problemsiz >> kuruldu ve aylardır çalışmakta. Başka bir ofisimize daha pfsense >> (pfankara1) yerleştirdik ama sadece bir tünel çalışır duruma >> gelebildi (pfankara1 ile pfizmir1 arasında çalışmakta sadece) >> >> Tüm ayarları binlerce kez kontrol ettim. İşin ilginç yanı: pfankara1 >> üzerindeki packet capture kullanarak WAN interface'i dinlediğimde hiç >> ESP paketleri görülmemekte, sadece tünel kurabildiği bir tek tünnele >> ait paketler (pfizmir1 tüneline ait paketler) gözükmekte. Halbuki tüm >> pfsense makinaları birbirlerine erişebilir durumda ve birbirlerini >> ping leyebilmekteler yani hiç bir routing problemi yok, ping komutunu >> packetcapture ile de izleyebilmekteyim. Aynı şekilde merkezdeki >> pfsense (pfmerkez) üzerindeki packet capture ile izlemeye aldığımda >> pfankara1 ile arasında hiç bir ESP paketi gözükmemekte. En azından >> tünnel kurma çabası içerisinde ESP paketleri görmeyi umuyordum. >> Başarılı IPsec tünellerine ait ESP paketleri packet capture ile >> görülebilmekte. >> >> Benim bilmediğim birşey olsa gerek, nedir bu durum arkadaşlar. >> pfsense firewall ayarlarının any any pass olduğunuda belirteyim bu >> arada, ipsec paketlerinin bloklanması diye bir durum da yok. OpenVPN >> ile pfmerkez (server) pfankara1 (Client) şeklinde VPN çalışabilmekte >> ama firma standartı olarak IPsec kullanmaya karar vermiştim. >> >> İyi çalışmalar. ###################################################################### Dikkat: Bu elektronik posta mesaji kisisel ve ozeldir. Eger size gonderilmediyse lutfen gondericiyi bilgilendirip mesaji siliniz. Firmamiza gelen ve giden mesajlar virus taramasindan gecirilmekte, guvenlik nedeni ile kontrol edilerek saklanmaktadir. Mesajdaki gorusler ve bakis acisi gondericiye ait olup Aselsan A.S. resmi gorusu olmak zorunda degildir. ###################################################################### Attention: This e-mail message is privileged and confidential. If you are not the intended recipient please delete the message and notify the sender. E-mails to and from the company are monitored for operational reasons and in accordance with lawful business practices. Any views or opinions presented are solely those of the author and do not necessarily represent the views of the company. ###################################################################### _______________________________________________ Linux-guvenlik mailing list [email protected] https://liste.linux.org.tr/mailman/listinfo/linux-guvenlik Liste kurallari: http://liste.linux.org.tr/kurallar.php
