solaris和windows做IPSEC的问题
按照sun网站的文档配置了solaris对windows的IPSEC,使用的是preshared key,但配置完后,从PC机可以ping通SUN服务器,但telnet就不行
C:>ping 10.18.4.242
Pinging 10.18.4.242 with 32 bytes of data:
Negotiating IP Security.
Reply from 10.18.4.242: bytes=32 time<1ms TTL=254
Reply from 10.18.4.242: bytes=32 time<1ms TTL=254
Reply from 10.18.4.242: bytes=32 time<1ms TTL=254
Ping statistics for 10.18.4.242:
Packets: Sent = 4, Received = 3, Lost = 1 (25% loss),
Approximate round trip times in milli-seconds:
Minimum = 0ms, Maximum = 0ms, Average = 0ms
C:>telnet 10.18.4.242
正在连接到10.18.4.242...不能打开到主机的连接, 在端口 23: 连接失败
此时SUN服务器的控制台上会提示:ip:ipsec inbound policy mismatch:unprotected not accepted,packet droped.
这是什么原因造成的?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(9)
在我的印象中MS的喜欢对标准的protocol添加他自己的东西,也就是说原来大家都是标准的,但经过MS后再从MS出来就不是标准的东西了,所以你应该咨询MS,为什么会这样.我配置过NTP,不管用WINDOWS自带的NTP做客户端还是服务器,都无法与Solaras进行时间同步,但在windows上装个第三方的软件就没问题.
不要沉啊 我再顶~
下面是windows2003中debug的信息,不过我看好象挺正常啊,为什么telnet和FTP都不能用呢
C:>netsh ipsec dynamic show all
源计算机 :<DLTPRINT> 的本地计算机 GPO
GPO 名称 : Local Computer Policy
本地 IPSec 策略名称 : SUN-V890
本地 IPSec 策略 DN : SOFTWAREPoliciesMicrosoftWindowsIPSecPolicy
lipsecPolicy{4fa52a98-474b-4028-80f2-8d686af4c392}
AD IPSec 策略名称 : 无
IPSec 策略分配 : 是
IKE MM 策略名称 : 3
IKE 软 SA 生存时间 : 14400 秒
Encryption Integrity DH Lifetime (Kb:secs) QM Limit Per MM
---------- --------- ---- ------------------ ---------------
3DES SHA1 2 0:14400 1 (MMPFS)
QM 协商策略名称 : 请求安全 (可选)
安全方法 生存时间 (Kb:secs) PFS DH 组
------------------------- --------------------- ------------
ESP[3DES,SHA1] 100000:900 主模式已派生
AH[MD5] 100000:300 主模式已派生
ESP[3DES,MD5] 100000:900 主模式已派生
AH[SHA1] 100000:300 主模式已派生
主模式筛选器: 普通
----------------------------------------------------------------------------
筛选器名称 : 3
连接类型 : 所有
源地址 : 10.18.4.244 (255.255.255.255)
目标地址 : 10.18.4.242 (255.255.255.255)
身份验证方法 :
预共享密钥
安全方法 : 1
3DES/SHA1/DH2/14400/QMlimit=1
1 普通筛选器
主模式筛选器: 特定 出站
----------------------------------------------------------------------------
筛选器名称 : 3
Weight : 69206017
连接类型 : 所有
源地址 : 10.18.4.244 (255.255.255.255)
目标地址 : 10.18.4.242 (255.255.255.255)
身份验证方法 :
预共享密钥
安全方法 : 1
3DES/SHA1/DH2/14400/QMlimit=1
1 特定出站筛选器
主模式筛选器: 特定 入站
----------------------------------------------------------------------------
筛选器名称 : 3
Weight : 69206017
连接类型 : 所有
源地址 : 10.18.4.242 (255.255.255.255)
目标地址 : 10.18.4.244 (255.255.255.255)
身份验证方法 :
预共享密钥
安全方法 : 1
3DES/SHA1/DH2/14400/QMlimit=1
1 特定入站筛选器
快速模式筛选器(传输): 普通
----------------------------------------------------------------------------
筛选器名称 : 3
连接类型 : 所有
源地址 : 10.18.4.244 (255.255.255.255)
目标地址 : 10.18.4.242 (255.255.255.255)
协议 : ANY 源端口: 0 目标端口: 0
已镜像 : 是
快速模式策略 : 请求安全 (可选)
入站操作 : 协商
出站操作 : 协商
1 普通筛选器
快速模式筛选器(传输): 特定 出站
----------------------------------------------------------------------------
筛选器名称 : 3
连接类型 : 所有
Weight : 69206017
源地址 : 10.18.4.244 (255.255.255.255)
目标地址 : 10.18.4.242 (255.255.255.255)
协议 : ANY 源端口: 0 目标端口: 0
已镜像 : 否
快速模式策略 : 请求安全 (可选)
出站操作 : 协商
1 特定出站筛选器
快速模式筛选器(传输): 特定 入站
----------------------------------------------------------------------------
筛选器名称 : 3
连接类型 : 所有
Weight : 69206017
源地址 : 10.18.4.242 (255.255.255.255)
目标地址 : 10.18.4.244 (255.255.255.255)
协议 : ANY 源端口: 0 目标端口: 0
已镜像 : 否
快速模式策略 : 请求安全 (可选)
入站操作 : 协商
1 特定入站筛选器
IKE 主模式 SA 在 2007-7-20 17:23:45
----------------------------------------------------------------------------
Cookie 对 : a7b1fece0a3ee205:8eb81a43c61a6d0c
安全方法 : 3DES/SHA1/2/14400
身份验证方法 : 预共享密钥
源 : 10.18.4.244 ,端口 500
ID : 10.18.4.244
目标 : 10.18.4.242 ,端口 500
ID : 10.18.4.242
快速模式 SA
------------
传输筛选器
策略名称 : 请求安全 (可选)
源地址 : 10.18.4.244
目标地址 : 10.18.4.242
协议 : 任何
源端口 : 0
目标端口 : 0
方向 : 出站
使用的提供
AH(b/r) ESP Con(b/r) ESP Int PFS DH Group
---------- ------------- ------- ------------
SHA1(20/0 ) 无 无 中 (2)
IPSec 配置参数
---------------
IPSecDiagnostics : 7
IKElogging : 1
StrongCRLCheck : 1
IPSecloginterval : 3600
IPSecexempt : 3
启动模式 : Stateful
启动模式免除 :
协议 源端口 目标端口 方向
--------- --------- --------- ---------
UDP 0 68 入站
IKE 统计
--------
主模式 : 5
快速模式 : 5
软 SA : 0
身份验证失败 : 0
活动捕获 : 1
活动接收 : 0
捕获失败 : 0
接收失败 : 0
发送失败 : 0
捕获堆大小 : 2
接收堆大小 : 2
协商失败 : 0
接收到无效的 Cookie : 0
总共捕获 : 5
TotalGetSpi : 5
TotalKeyAdd : 5
TotalKeyUpdate : 5
GetSpiFail : 0
KeyAddFail : 0
KeyUpdateFail : 0
IsadbListSize : 2
ConnListSize : 1
接收到无效数据包 : 0
IPSec 统计
----------
活动关联 : 1
卸载 SA : 0
挂起的密钥 : 0
密钥添加 : 7
密钥删除 : 6
重新生成密钥 : 1
活动隧道 : 0
错误的 SPI 数据包 : 0
没有解密的数据包 : 0
未验证的数据包 : 0
有重放检测的数据包 : 0
发送的机密字节 : 0
接收的机密字节 : 0
发送的经过验证的的字节 : 2,544
接收的经过验证的字节 : 1,680
发送的传输字节 : 1,776
接收的传输字节 : 1,680
在隧道中发送的字节 : 0
在隧道中接收的字节 : 0
发送的卸载字节 : 0
接收的卸载字节 : 0
网络拓扑不是很复杂,是在一个LAN内,但SUN服务器和PC不在一个VLAN内
我的意图很简单,就是让一台PC和一台SUN服务器所有的数据包加密,任何加密方式或技术都行.
SUN的红皮书我看了,里面讲述的设置对两台SUN服务器是没问题的,但换成XP就不行了.
现在唯一还没做的就是通过debug来查看IPSEC数据包交换的时候具体信息,因为XP中不支持netsh ipsec 命令,只有WIN2003支持..............
我现在是怀疑SUN上有些默认的参数或设置和XP上的不一致导致了PING可以正常使用,但TELNET或FTP用不了..............请大家多给点建议啊~~~
高手赶紧现身~~~~
来了来了,配置文件如下:
/etc/inet/ipsecinit.conf
{laddr Life-V890P1 raddr dl100209} ipsec {auth_algs any encr_algs any sa shared}
/etc/inet/secret/ike.preshared
{
localidtype IP
localid 10.18.4.242
remoteidtype IP
remoteid 10.18.30.100
key 74657374
}
/etc/inet/hosts
127.0.0.1 localhost
10.18.4.242 Life-V890P1 loghost
10.18.30.100 dl100209
/etc/inet/ike/config
p1_lifetime_secs 14400
p1_nonce_len 40
p1_xform { auth_method preshared oakley_group 5 auth_alg sha encr_alg 3des }
p2_pfs 2
{
label "Life-V890P1-dl100209"
local_addr 10.18.4.242
remote_addr 10.18.30.100
p1_xform
{ auth_method preshared oakley_group 2 auth_alg sha1 encr_alg 3des }
p1_xform
{ auth_method preshared oakley_group 2 auth_alg md5 encr_alg 3des }
p2_pfs 2
}
windows系统是XP,算法的设置和solaris都是对应的,但我不知道solaris中的
p1_lifetime_secs 14400
p1_nonce_len 40
这两个参数在XP上对应的是哪个参数?两边是否必须保持一致??
XP中筛选器中的设置如下:
安全措施首选顺序:
类型 AH完整性 ESP加密 ESP完整性 密钥寿命(KB/秒)
自定义 无 3DES SHA1 100000/900
自定义 MD5 无 无 100000/300
还需要提供什么信息???
从大概上,猜。你重点看下
ipsecinit.conf
但你最好还是把相关的贴出来,再描述下你的设备所在的网络拓扑
你要把SECURITY那几个IPSEC的配置文件贴出来,然后,把你现在网络说下。
要不,就这条信息。。只能乱猜
晕啊~~~别埋汰我了.....
折磨我好几天了......有没有做过solaris和windows的IPSEC的大虾啊
高手。我义务顶