PERMIT/Gate を使ってみる
$Id: howto-permit.html,v 1.1.1.1 1999/10/26 17:19:15 sakane Exp $
%Hd: PERMIT を使ってみる
IKEの参照マシンとして再登場!
- What's PERMIT ?
IPsec をまじめに、かつ積極的にサポートしているA4サイズの暗号化装置。
TIMESTEP社製。見ため結構カッコ良い。
DITさんの多大なる協力で、
IKEの接続実験の参照マシンとして使用した。
red と black と言う名前がついたインターフェイスを2つ持っている。
多分 red が内側、black が外側。
設定
コンソールにつないで Windows 上のアプリケーションから簡単に出来る。
…だが、そんなものは無いので tip でつないでみる。
^D すると PERMIT が発狂するので注意!
/etc/remote の例:
syscon:dv=/dev/cuaa0:br#19200:pa=none:el=^U^C^R^O^D^S^Q:ie=%$:oe=^D:
===== 注意
% tip syscon
Enter user ID: root
Enter passwd: ****** <-- default は permit
メニューが表示されるので、後は適当に設定する。
The unit will need to be restarted.
Are you sure you want to change this? ('y' to confirm)
といちいち聞いてくるので全部 yes.
4. Restart the System すると こんな感じ。
Shared Secret の設定
トップメニューから
1. Configurations
-> 3. Network Security Policy
-> 2. Shared Secret Authentication
-> 3 - Add
する。
e.g.
0 - Exit; 1 - Up; 2 - Down; 3 - Add; 4 - Delete: 3
Enter Black IP Address/Range: 203.178.141.192/255.255.255.224
Enter Black ID: <-- PERMIT/Client を識別するIDなので要らない
Enter Shared Secret: ********
Re-enter Shared Secret: ********
Local Security Policy
1. Configurations
-> 3. Network Security Policy
-> 3. Local Security Policy
0. Exit Menu
1. Security Level Standard
2. Default Policy (clear/block) Block
3. Director Policy Checking (yes/no) no
4. PERMIT/Director DN
5. SA Duration (minutes) 720
6. Enable ID Checking (yes/no) yes
7. Initiate as Gate v1.01 (yes/no) yes
Select an option followed by 'enter':
Security Level は何かを設定しないとダメ。とりあえず Standard.
PERMIT は transport mode をサポートしていない。(する必要が無い?)
ID はいい加減なので no に変更
その他
o MTU
1. Configurations
-> 4. System Configuration
-> 1. System Parameters
-> 6. MTU Size 1500
o remote access
1. Configurations
-> 5. Access Configuration
-> 1. Remote Access
o SNMP access
1. Configurations
-> 5. Access Configuration
-> 3. SNMP Access
過去
のメモ
KAMEから
% ping -P 'ipsec ah/require' 203.178.141.221
すると 14: NO-PROPOSAL-CHOSEN が帰って来た。
PERMIT は transport をサポートしてない?
KAMEから
% ping -P 'ipsec esp/require' 203.178.141.221
すると 14: NO-PROPOSAL-CHOSEN が帰って来た。
PERMIT は AH をサポートしてない?
-> windows で設定可能?
KAMEから
% ping -P 'ipsec esp/require/203.178.141.221' 203.178.141.221
すると racoon が isakmp_quick_i3: IDci mismatched. と言って怒る。
PERMIT は ULP を見ない。
% setkey -c < PERMIT が突っ返してくるlifetimeは 31536000(s)
設定値は 300(s) なのに…
-> KAME は timeout() に 31536000 * 100 (ms) を設定
-> timeout() は int で受ける。0以下なら 1に設定しなおす。
-> どうしよう?まじめにやる。
-> done
PERMIT は AH tunnel の外側の IP check sum 計算をまじめにしてない?
PERMIT に PFS で group 2 を送ると group 1 を突っ返してくる。
group 2 をサポートしてないかと思って、phase 1 で group 2 を設定すると
エラーを返してくる。
phase 1 expire して再ネゴしに行くと、PERMIT は旧 phase 1 SA を消しちゃう。
なんと IPsec SA も消しちゃう。VPN 平気?
過去過去
のメモ
racoon からパケットを投げると、Informational/Notify の
14: NO-PROPOSAL-CHOSEN が帰って来た。
2. Status
-> 3. Security Level
すると以下が出力された。
Security Level
Item Security Level
1 begin security-descriptor
2 Name "Standard"
3 Ipsec "ESP DES MINUTES 300
4 or DES HMAC MD5 MINUTES 300
5 or ESP 3DES HMAC MD5 MINUTES 300
6 or ESP CAST HMAC MD5 MINUTES 300
7 or ESP RC5 HMAC MD5 MINUTES 300
8 or ESP BLOWFISH HMAC MD5 MINUTES 300"
9 ISAKMP "DES MD5 MINUTES 1440"
10 end
11 begin security-descriptor
12 Name "Standard/Export"
13 Ipsec "ESP DES MINUTES 300
14 or DES HMAC MD5 MINUTES 300
15 or ESP CAST HMAC MD5 MINUTES 300
16 or ESP CAST KEYLENGTH 56 HMAC MD5 MINUTES 300
17 or ESP RC5 HMAC MD5 MINUTES 300
18 or ESP RC5 KEYLENGTH 56 HMAC MD5 MINUTES 300
19 or ESP BLOWFISH HMAC MD5 MINUTES 300
20 or ESP BLOWFISH KEYLENGTH 56 HMAC MD5 MINUTES 300"
21 ISAKMP "DES MD5"
22 end
23 begin security-descriptor
24 Name "High"
25 IPSec "ESP 3DES MINUTES 360 or ESP 3DES HMAC MD5 MINUTES 360"
26 ISAKMP "DES MD5 MINUTES 1440"
27 end
Security Level を設定しないとダメ?
-> Yes. とりあえず Standard で.
Proposal の設定
どうもコンソールから、ちょくでは出来ないっぽい。Windows か?
1. Configurations
-> 3. Network Security Policy
-> 3. Local Security Policy
-> 1 - Standard
として Standard を選ぶ。
再度、racoon からパケットを送る。
phase 1 の HDR*, IDii, HASH_I を送って、はねられる。
per-shared-key をミスってた… 10/20
再度、racoon からパケットを送る。
PERMIT の Data Attributes の variable length の扱いが怪しい。
racoon から header 4 + data 2 を送ると蹴られる。
padding して再送。 10/21
再度、racoon からパケットを送る。
phase 2 は完了したが、racoon が tunnel mode を
サポートしていないため、IPsec通信出来ない。
1998/10/21現在のbootメッセージ:
PERMIT Enterprise Boot Prom revision 1.00
Boot Prom initialization is completed
PERMIT Enterprise Dram Boot revision 1.01.003
Dram Boot initialization is completed
Checking flash directory...
Flash directory integrity verified
Press to activate the Dram Boot menu
Initializing application ... gate##20 - revision: 1.10.017
nvs: Initializing parameter storage area. Please wait...
nvs: Examining region 0...
nvs: Examining region 1...
nvs: Examining region 2...
nvs: Examining region 3...
nvs: Examining region 4...
nvs: Examining region 5...
nvs: Examining region 6...
nvs: Finding the location of the next free parameter space...
nvs: Done.
Attaching network interface lo0... done.
1998/10/21 16:35:01 Console Evnt: Restarting at user request.
1998/10/21 16:35:34 RTC Init: Initialized and running.
1998/10/21 16:35:35 NetInit Init: Network interface "sn0" initialized.
1998/10/21 16:35:35 NetInit Init: Network interface "sn1" initialized.
1998/10/21 16:35:35 SysInfo Init: Gate 2520 Application Revision 1.10.017
1998/10/21 16:35:35 Console Init: Initialized and running.
1998/10/21 16:35:35 Crypto Init: Identified the DES chip as: VMS110.
1998/10/21 16:35:35 Crypto Init: Hardware DES tests passed.
1998/10/21 16:35:38 Remote Init: Initialized and running.
1998/10/21 16:35:38 CmsFs Init: CMS file system and .ini file created,Logged Message: Net Interceptor initialized
Logged Message: UdpProxy Initialized and running.
Logged Message: Syslog Initialized and running.
Logged Message: Monitor Initialized and running.
Manager=0.0.0.0+709 Server=0.0.0.0+389
1998/10/21 16:35:44 Certs Init: Initialized and running.
1998/10/21 16:35:44 CertMnt Init: Initialized and running.
1998/10/21 16:35:44 LoclPol Init: Initialized and running.
1998/10/21 16:35:44 ShSecrt Evnt: Added entry
"203.178.141.192/255.255.255.224".
1998/10/21 16:35:44 ShSecrt Evnt: Added entry "202.249.11.124".
1998/10/21 16:35:44 ShSecrt Init: Initialized and running.
1998/10/21 16:35:44 Arp Init: ready
1998/10/21 16:35:44 Remote Evnt: Remote Access Ready.
1998/10/21 16:35:44 Logger Init: Initialized and running.
1998/10/21 16:35:44 SnmpAc Init: Initialized and running.
1998/10/21 16:35:44 DHKeyGe Init: Initialized and running.
1998/10/21 16:35:44 Isakmp Init: Initialized and running.
1998/10/21 16:35:44 Isakmp Init: No "security map" file to load
1998/10/21 16:35:44 Isakmp ScSA: Current security level set to "Standard"
1998/10/21 16:35:44 Isakmp ScSA: No default policy; treated as "Blocked"
1998/10/21 16:35:44 Isakmp ScSA: Default sa lifetime: 720
1998/10/21 16:35:44 ParPool Init: Initialized and running.
1998/10/21 16:35:44 Par Init: Initialized and running.
1998/10/21 16:35:44 Net ScSA: Operating mode: Enable
1998/10/21 16:35:44 Net Evnt: Full duplex mode set to None
1998/10/21 16:35:44 Monitor Evnt: Gate is now Secure.
IPsec をまじめに、かつ積極的にサポートしているA4サイズの暗号化装置。
TIMESTEP社製。見ため結構カッコ良い。
DITさんの多大なる協力で、
IKEの接続実験の参照マシンとして使用した。