Score:0

การ Ping ผ่านอุโมงค์ IPSec จะส่งทั้งแพ็กเก็ต ICMP และ ESP

ธง cn

ฉันใช้ Strongswan เพื่อตั้งค่าอุโมงค์ IPSec ระหว่างสองยูนิต SAs ของช่องสัญญาณได้รับการตั้งค่าโดยไม่มีปัญหาใด ๆ และทราฟฟิกสามารถผ่านการเชื่อมต่อได้

เมื่อใดก็ตามที่ฉัน ping ผ่านอุโมงค์ คำขอ ping จะถูกส่งเป็นแพ็กเก็ต ESP และ ICMP การตอบสนอง ping เป็นเพียงแพ็กเก็ต ESP เสมอ เมื่อดูที่แพ็กเก็ตเหล่านี้ด้วย Wireshark ดูเหมือนว่าคำขอ ping จะส่งแพ็กเก็ตสองแพ็กเก็ต แพ็กเก็ตหนึ่งห่อหุ้มและอีกแพ็กเก็ตไม่ได้ การตอบสนองเป็นเพียงการตอบสนองเสียงสะท้อน ICMP ที่ห่อหุ้ม ดังนั้นทุกๆ ping จะส่งผลให้เกิดการแลกเปลี่ยน 3 แพ็กเก็ตแทนที่จะเป็น 2

หน่วยสามารถสื่อสารได้โดยไม่ต้องใช้อุโมงค์ IPSec แต่ปัญหาเดียวกันนี้เกิดขึ้นเมื่อการเชื่อมต่อ IPSec ผ่านอุโมงค์ GRE

เราจะวินิจฉัย/แก้ไขปัญหานี้ได้อย่างไร

ตัวอย่าง tcpdump

tcpdump -vv โฮสต์ yyy.yyy.yyy.yyy
tcpdump: กำลังฟัง enp4s0, ประเภทลิงก์ EN10MB (Ethernet), ขนาดการดักจับ 262144 ไบต์
10:18:33.302502 IP (tos 0x0, ttl 64, id 11718, offset 0, flag [DF], proto ESP (50), ความยาว 156)
    unit1 > unit2: ESP(spi=0xc3e93e85,seq=0x1), ความยาว 136
10:18:33.302762 IP (tos 0x0, ttl 64, id 5550, offset 0, flag [DF], proto ICMP (1), ความยาว 84)
    unit1 > unit2: ICMP echo request, id 30684, seq 1, ความยาว 64
10:18:33.303033 IP (tos 0x0, ttl 64, id 1623, offset 0, flag [none], proto ESP (50), ความยาว 156)
    unit2 > unit1: ESP(spi=0xcc947f6d,seq=0x1) ความยาว 136

สถานะ IPSec

สถานะ ipsec
สมาคมความปลอดภัย (1 ขึ้น 0 เชื่อมต่อ):
    unit-to-unit[2]: ก่อตั้งเมื่อ 11 นาทีที่แล้ว yyy.yyy.yyy.yyy[yyy.yyy.yyy.yyy]...zzz.zzz.zzz.zzz[zzz.zzz.zzz.zzz]
    หน่วยต่อหน่วย{1}: ติดตั้ง, อุโมงค์, reqid 1, ESP SPI: cc947f6d_i c3e93e85_o
    หน่วยต่อหน่วย{1}: yyy.yyy.yyy.yyy/32 === zzz.zzz.zzz.zzz/32

/etc/ipsec.conf

การตั้งค่าคอนฟิก
    #strictcrlpolicy=ใช่
    #รหัสเฉพาะ = ไม่
    #nat_traversal=ใช่

เชื่อมต่อหน่วยต่อหน่วย
    authby = ความลับ
    อัตโนมัติ = เริ่มต้น
    การแลกเปลี่ยนคีย์=ikev2
    ike=aes256-sha2_256-modp1024!
    ซ้าย=yyy.yyy.yyy.yyy
    ขวา=zzz.zzz.zzz.zzz
    พิมพ์=อุโมงค์
    esp=aes256-sha2_256
Score:2
ธง br

ฉันเชื่อว่านั่นเป็นสิ่งประดิษฐ์ของวิธีการทำงานของ IPsec และการจับแพ็กเก็ตบน Linux แพ็กเก็ตถูกจับสองครั้งที่ฝั่งผู้ส่ง

หากคุณตรวจสอบโฮสต์อื่น คุณจะเห็นว่าคำขอมาในรูปแบบแพ็กเก็ต ESP เดียว และการตอบกลับจะถูกบันทึกสองครั้ง ครั้งหนึ่งเป็น ICMP และอีกครั้งเป็น ESP

ในระบบระดับกลาง คุณจะเห็นได้เฉพาะแพ็กเก็ต ESP เท่านั้น

jcnoe avatar
cn flag
นี่คือความคิดดั้งเดิมของฉัน อย่างไรก็ตามแพ็กเก็ตที่ฉันแสดงแสดงคำขอสองรายการที่เข้ามาและหนึ่งการตอบกลับออกไป (จากฝั่งผู้รับ)นอกจากนี้ เมื่อดูใน wireshark ICMP ธรรมดาจะมีแท็ก "ไม่พบการตอบกลับ" ในขณะที่แพ็กเก็ตที่ห่อหุ้มมีแท็กที่ระบุว่าได้รับการตอบกลับ

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา