---

Så fik jeg endelig taget mig sammen til at købe et trådløst netkort,
og så skal der jo lige lidt kryptering på. Så jeg forsøger at
sætte en IPSEC tunnel op imellem den bærbare (XP) og min
stationære (Linux) der fungerer som internet-gateway.

To problemer:

På Linux-siden: IPSEC-trafik imellem de to maskiner virker, men
jeg kommer ikke videre ud på internettet. Jeg har checket iptables-
reglerne igennem, og der ser ikke ud til at være noget problem. Og
hvis jeg disabler IPSEC, kommer jeg fint på nettet. Men med IPSEC
aktiv, bliver der ikke forwardet noget. Wireshark viser ESP-pakker
på WLAN-siden, men ingen trafik på internet-siden. (Medmindre jeg
pinger samme host fra Linux'en).

På Windows-siden: Når jeg ping'er linux-maskinen fra XP-maskinen,
viser Wireshark (på Linux) tre pakker: En ESP-pakke fra XP
til Linux, en ICMP echo request fra XP til Linux, og en ESP-pakke
tilbage igen. For mig ser det ud som om at Windows-maskinen sender
al trafikken dobbelt, både krypteret og ukrypteret. Derudover
er der masser af "Windows broadcast støj", som heller ikke er
krypteret, selvom destination ip er sat til "any" på Windows
IPSEC policy. Hvis det skal virke om aflytning, skal al trafik
være krypteret.

Nogen ideer til hvad jeg kan have overset?

Og lige et hurtigt spørgsmål - er der mulighed for at gemme en
XP IPSEC policy som en fil, så man ikke behøver starte forfra næste
gang skidtet skal geninstalleres?

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis wrote:

> Nogen ideer til hvad jeg kan have overset?

Nu har jeg ikke lige styr på IPSEC, men herinde blev jeg for tid tilbage
rådet til at bruge OpenVPN til samme formål og det spinder bare.

--
Lasse Jensen [fafler at g mail dot com]
Linux, the choice of a GNU generation.

---

Den Wed, 29 Nov 2006 18:04:02 +0100 skrev Lasse Jensen:
> Kent Friis wrote:
>
>> Nogen ideer til hvad jeg kan have overset?
>
> Nu har jeg ikke lige styr på IPSEC, men herinde blev jeg for tid tilbage
> rådet til at bruge OpenVPN til samme formål og det spinder bare.

Tak, den var det også meningen jeg ville kigge på, jeg er bare ikke nået
så langt endnu - og IPSEC virker jo *næsten*

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On Wed, 2006-11-29 at 16:46 +0000, Kent Friis wrote:
> På Linux-siden: IPSEC-trafik imellem de to maskiner virker, men

Hvilken IPSec implementation og hvilken version?

> jeg kommer ikke videre ud på internettet. Jeg har checket iptables-
> reglerne igennem, og der ser ikke ud til at være noget problem. Og
> hvis jeg disabler IPSEC, kommer jeg fint på nettet. Men med IPSEC
> aktiv, bliver der ikke forwardet noget. Wireshark viser ESP-pakker
> på WLAN-siden, men ingen trafik på internet-siden. (Medmindre jeg
> pinger samme host fra Linux'en).

Kan du ikke give outputtet fra

$ head /proc/sys/net/ipv4/ip_forward \
/proc/sys/net/ipv4/conf/*/forwarding

$ ip route

Evt. også /var/log/messages (og andre interessante logfiler) ved opstart
af IPSec implementationen.

---

Den Wed, 29 Nov 2006 20:27:03 +0100 skrev Christian E. Lysel:
> On Wed, 2006-11-29 at 16:46 +0000, Kent Friis wrote:
>> På Linux-siden: IPSEC-trafik imellem de to maskiner virker, men
>
> Hvilken IPSec implementation og hvilken version?

Kerne-mæssigt: den indbyggede (officiel kerne fra kernel.org).

Kerne: 2.6.18.3
Userspace: ipsec-tools-0.6.6 (setkey, racoon).

>> jeg kommer ikke videre ud på internettet. Jeg har checket iptables-
>> reglerne igennem, og der ser ikke ud til at være noget problem. Og
>> hvis jeg disabler IPSEC, kommer jeg fint på nettet. Men med IPSEC
>> aktiv, bliver der ikke forwardet noget. Wireshark viser ESP-pakker
>> på WLAN-siden, men ingen trafik på internet-siden. (Medmindre jeg
>> pinger samme host fra Linux'en).
>
> Kan du ikke give outputtet fra
>
> $ head /proc/sys/net/ipv4/ip_forward \
> /proc/sys/net/ipv4/conf/*/forwarding

1-taller hele vejen ned.

> $ ip route

172.16.2.0/24 dev ra0 proto kernel scope link src 172.16.2.1
172.16.0.0/24 dev eth0 proto kernel scope link src 172.16.0.1
83.72.96.0/19 dev eth1 proto kernel scope link src 83.72.99.23
unreachable 10.0.0.0/8 scope host metric 1
default via 83.72.96.1 dev eth1

ra0 er WLAN, eth0 er LAN, eth1 er internet.

> Evt. også /var/log/messages (og andre interessante logfiler) ved opstart
> af IPSec implementationen.

Nov 29 21:19:38 gandalf racoon: 2006-11-29 21:19:38: INFO: @(#)ipsec-tools 0.6.6 (http://ipsec-tools.sourceforge.net)
Nov 29 21:19:38 gandalf racoon: 2006-11-29 21:19:38: INFO: @(#)This product linked OpenSSL 0.9.7i 14 Oct 2005 (http://www.openssl.org/)
Nov 29 21:19:39 gandalf racoon: 2006-11-29 21:19:39: INFO: 127.0.0.1[500] used as isakmp port (fd=6)
Nov 29 21:19:39 gandalf racoon: 2006-11-29 21:19:39: INFO: 172.16.0.1[500] used as isakmp port (fd=7)
Nov 29 21:19:39 gandalf racoon: 2006-11-29 21:19:39: INFO: 83.72.99.23[500] used as isakmp port (fd=8)
Nov 29 21:19:39 gandalf racoon: 2006-11-29 21:19:39: INFO: 172.16.2.1[500] used as isakmp port (fd=9)
Nov 29 21:19:39 gandalf racoon: 2006-11-29 21:19:39: INFO: ::1[500] used as isakmp port (fd=10)
Nov 29 21:19:39 gandalf racoon: 2006-11-29 21:19:39: INFO: ::83.72.99.23[500] used as isakmp port (fd=11)
Nov 29 21:19:39 gandalf racoon: 2006-11-29 21:19:39: INFO: ::172.16.0.1[500] used as isakmp port (fd=12)
Nov 29 21:19:39 gandalf racoon: 2006-11-29 21:19:39: INFO: ::127.0.0.1[500] used as isakmp port (fd=13)
Nov 29 21:19:39 gandalf racoon: 2006-11-29 21:19:39: INFO: fe80::250:bfff:fe7e:6147%eth1[500] used as isakmp port (fd=14)
Nov 29 21:19:39 gandalf racoon: 2006-11-29 21:19:39: INFO: 2002:5348:6317::1[500] used as isakmp port (fd=15)
Nov 29 21:19:39 gandalf racoon: 2006-11-29 21:19:39: ERROR: failed to bind to address ::83.72.99.23[500] (Address already in use).
Nov 29 21:19:39 gandalf racoon: 2006-11-29 21:19:39: INFO: fe80::20e:2eff:fea7:366b%ra0[500] used as isakmp port (fd=16)
Nov 29 21:19:50 gandalf racoon: 2006-11-29 21:19:50: ERROR: unknown Informational exchange received.
Nov 29 21:20:00 gandalf /USR/SBIN/CRON[28938]: (kfr) CMD (nice /usr/local/bin/fetchmail >/dev/null)
Nov 29 21:20:36 gandalf racoon: 2006-11-29 21:20:36: INFO: respond new phase 1 negotiation: 172.16.2.1[500]<=>172.16.2.2[500]
Nov 29 21:20:36 gandalf racoon: 2006-11-29 21:20:36: INFO: begin Identity Protection mode.
Nov 29 21:20:36 gandalf racoon: 2006-11-29 21:20:36: INFO: received broken Microsoft ID: MS NT5 ISAKMPOAKLEY
Nov 29 21:20:36 gandalf racoon: 2006-11-29 21:20:36: INFO: received Vendor ID: FRAGMENTATION
Nov 29 21:20:36 gandalf racoon: 2006-11-29 21:20:36: INFO: received Vendor ID: draft-ietf-ipsec-nat-t-ike-02
Nov 29 21:20:36 gandalf racoon: 2006-11-29 21:20:36: INFO: ISAKMP-SA established 172.16.2.1[500]-172.16.2.2[500] spi:0638b2ac63d2de0b:5e252f1a40661de0
Nov 29 21:20:36 gandalf racoon: 2006-11-29 21:20:36: INFO: respond new phase 2 negotiation: 172.16.2.1[0]<=>172.16.2.2[0]
Nov 29 21:20:36 gandalf racoon: 2006-11-29 21:20:36: WARNING: authtype mismatched: my:hmac-md5 peer:hmac-sha
Nov 29 21:20:37 gandalf racoon: 2006-11-29 21:20:37: INFO: IPsec-SA established: ESP/Tunnel 172.16.2.2[0]->172.16.2.1[0] spi=32661675(0x1f260ab)
Nov 29 21:20:37 gandalf racoon: 2006-11-29 21:20:37: INFO: IPsec-SA established: ESP/Tunnel 172.16.2.1[0]->172.16.2.2[0] spi=2576689305(0x99952899)
Nov 29 21:20:39 gandalf dhcpd: DHCPREQUEST for 172.16.2.2 from 00:16:6f:03:3b:38 via ra0
Nov 29 21:20:39 gandalf dhcpd: DHCPACK on 172.16.2.2 to 00:16:6f:03:3b:38 via ra0

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 29 Nov 2006 16:46:16 GMT, Kent Friis <nospam@nospam.invalid> wrote:

> Så fik jeg endelig taget mig sammen til at købe et trådløst netkort,
> og så skal der jo lige lidt kryptering på.

Der er ikke noget crypto (som fx WPA) i dit trådløse udstyr?

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

Den Wed, 29 Nov 2006 23:23:10 +0100 skrev Asbjorn Hojmark:
> On 29 Nov 2006 16:46:16 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>> Så fik jeg endelig taget mig sammen til at købe et trådløst netkort,
>> og så skal der jo lige lidt kryptering på.
>
> Der er ikke noget crypto (som fx WPA) i dit trådløse udstyr?

Det er det billigste netkort ude fra A-Z, så den slags foregår
i software.

Jeg var ved at kigge på wpa-supplicant, men beskrivelsen fik det
til at lyde som om at WPA bare er en hovsa-løsning ovenpå WEP - ikke
ligefrem noget der gav et positivt indtryk.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 29 Nov 2006 22:36:47 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>> Der er ikke noget crypto (som fx WPA) i dit trådløse udstyr?

> Det er det billigste netkort ude fra A-Z, så den slags foregår i
> software.

Well, det gør dit IPSec jo også.

> Jeg var ved at kigge på wpa-supplicant, men beskrivelsen fik det
> til at lyde som om at WPA bare er en hovsa-løsning ovenpå WEP -
> ikke ligefrem noget der gav et positivt indtryk.

WPA(1) med en god, lang preshared key er Meget Sikkert(TM). Jeg er
ikke bekendt med nogen dokumenterede svagheder i det.

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

Den Wed, 29 Nov 2006 23:51:31 +0100 skrev Asbjorn Hojmark:
> On 29 Nov 2006 22:36:47 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>> Der er ikke noget crypto (som fx WPA) i dit trådløse udstyr?
>
>> Det er det billigste netkort ude fra A-Z, så den slags foregår i
>> software.
>
> Well, det gør dit IPSec jo også.
>
>> Jeg var ved at kigge på wpa-supplicant, men beskrivelsen fik det
>> til at lyde som om at WPA bare er en hovsa-løsning ovenpå WEP -
>> ikke ligefrem noget der gav et positivt indtryk.
>
> WPA(1) med en god, lang preshared key er Meget Sikkert(TM). Jeg er
> ikke bekendt med nogen dokumenterede svagheder i det.

Så er spørgsmålet jo om WPA er så meget mere sikker end IPSEC at det
kan betale sig at skrotte det jeg allerede har fået sat op, og begynde
forfra med noget software der ikke giver det mest positive indtryk.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 30 Nov 2006 15:30:25 GMT, Kent Friis <nospam@nospam.invalid> wrote:

> Så er spørgsmålet jo om WPA er så meget mere sikker end IPSEC at det
> kan betale sig at skrotte det jeg allerede har fået sat op, og begynde
> forfra med noget software der ikke giver det mest positive indtryk.

Næh ikke nødvendigvis...

Det gode ved WPA er, at det er fuldstændig transparent for brugeren:
Når maskinen er authentikeret med AP'et, så er det sikret. Der er ikke
noget med, at man derefter skal starte en IPSec-forbindelse.

Jeg er overrasket over, at det er lykkedes dig at finde et OS, hvor
WPA tilsyneladende ikke er ordentligt implementeret. Der er ellers
rigtig langt imellem dem i dag.

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

Den Thu, 30 Nov 2006 21:33:01 +0100 skrev Asbjorn Hojmark:
> On 30 Nov 2006 15:30:25 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>> Så er spørgsmålet jo om WPA er så meget mere sikker end IPSEC at det
>> kan betale sig at skrotte det jeg allerede har fået sat op, og begynde
>> forfra med noget software der ikke giver det mest positive indtryk.
>
> Næh ikke nødvendigvis...
>
> Det gode ved WPA er, at det er fuldstændig transparent for brugeren:
> Når maskinen er authentikeret med AP'et, så er det sikret. Der er ikke
> noget med, at man derefter skal starte en IPSec-forbindelse.

I modsætning til at når maskinen får sit IP-nummer, træder IPSEC-
policy'en helt automatisk i funktion, og IPSEC-forbindelsen oprettes
automatisk. Og før det sker er der ikke hul igennem.

Racoon skal naturligvis køre i Linux-enden, for at det sker automatisk,
præcis WPA-Supplicant ville skulle hvis det var WPA.

> Jeg er overrasket over, at det er lykkedes dig at finde et OS, hvor
> WPA tilsyneladende ikke er ordentligt implementeret.

Jeg har ikke kigget på implementationen. Jeg læste (lidt af)
dokumentationen til WPA-softwaren, hvilket ikke gav et positivt
indtryk. Derfor valgte jeg at fortsætte med min oprindelige plan
om at bruge IPSEC - som i øvrigt har været planen siden længe før jeg
besluttede at købe et trådløst netkort.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 30 Nov 2006 21:13:32 GMT, Kent Friis <nospam@nospam.invalid> wrote:

> Jeg har ikke kigget på implementationen. Jeg læste (lidt af)
> dokumentationen til WPA-softwaren, hvilket ikke gav et positivt
> indtryk.

Well, dig om det. I modsætning hertil ser det jo ud til, at IPSec
spiller helt fantastisk...

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

Den Sun, 03 Dec 2006 13:20:21 +0100 skrev Asbjorn Hojmark:
> On 30 Nov 2006 21:13:32 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>> Jeg har ikke kigget på implementationen. Jeg læste (lidt af)
>> dokumentationen til WPA-softwaren, hvilket ikke gav et positivt
>> indtryk.
>
> Well, dig om det. I modsætning hertil ser det jo ud til, at IPSec
> spiller helt fantastisk...

Ja, det ser faktisk ud til at det bare virker nu. Det tog lidt tid,
men det havde WPA nok også gjort. Og så har det den fordel at hvis
jeg en dag skifter wlan-kortet ud med et access point, så kan jeg
fortsætte med at bruge samme konfiguration. IPSEC virker jo også
på ethernet, i modsætning til WPA. Og nu ved jeg hvordan man sætter
IPSEC op, så den dag jeg finder på at koble mit netværk sammen
med min lillebrors via internettet, skal der bare tilføjes en
tunnel.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 03 Dec 2006 12:41:36 GMT, Kent Friis <nospam@nospam.invalid> wrote:

> Ja, det ser faktisk ud til at det bare virker nu. Det tog lidt tid,
> men det havde WPA nok også gjort. Og så har det den fordel at hvis
> jeg en dag skifter wlan-kortet ud med et access point, så kan jeg
> fortsætte med at bruge samme konfiguration. IPSEC virker jo også
> på ethernet, i modsætning til WPA.

Til gengæld... Når du skal have din PDA sikkert på dit WLAN, så vil du
sikkert mangle en ordentlig IPSec-klient, eller i hvert fald noget,
der ikke kræver alt for meget manuel indgriben hver gang. Tilsvarende
for Xbox, en wireless print server, webcams etc etc.

WPA er nu engang standarden for sikkerhed i trådløse net, så det er
det 'alting' kan.

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

Den Sun, 03 Dec 2006 16:52:50 +0100 skrev Asbjorn Hojmark:
> On 03 Dec 2006 12:41:36 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>> Ja, det ser faktisk ud til at det bare virker nu. Det tog lidt tid,
>> men det havde WPA nok også gjort. Og så har det den fordel at hvis
>> jeg en dag skifter wlan-kortet ud med et access point, så kan jeg
>> fortsætte med at bruge samme konfiguration. IPSEC virker jo også
>> på ethernet, i modsætning til WPA.
>
> Til gengæld... Når du skal have din PDA sikkert på dit WLAN, så vil du
> sikkert mangle en ordentlig IPSec-klient, eller i hvert fald noget,
> der ikke kræver alt for meget manuel indgriben hver gang. Tilsvarende
> for Xbox, en wireless print server, webcams etc etc.
>
> WPA er nu engang standarden for sikkerhed i trådløse net, så det er
> det 'alting' kan.

Sjovt, fra alle andre hører jeg ellers at grunden til at de kun kører
WEP eller slet ingen kryptering er at al deres den slags udstyr ikke
supporterer WPA.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Kent Friis <nospam@nospam.invalid> writes:

>Sjovt, fra alle andre hører jeg ellers at grunden til at de kun kører
>WEP eller slet ingen kryptering er at al deres den slags udstyr ikke
>supporterer WPA.

WEP gik vist af mode for så længe siden, at det kun er et meget
tilbagestående fåtal, der slås med den slags. Og hvis de endelig
gør, kan 3-400 kroner løse deres problem.

Der er vist ingen grund til at ynke dem.

Mvh.
   Klaus.

---

Den Sun, 3 Dec 2006 19:58:40 +0000 (UTC) skrev Klaus Ellegaard:
> Kent Friis <nospam@nospam.invalid> writes:
>
>>Sjovt, fra alle andre hører jeg ellers at grunden til at de kun kører
>>WEP eller slet ingen kryptering er at al deres den slags udstyr ikke
>>supporterer WPA.
>
> WEP gik vist af mode for så længe siden, at det kun er et meget
> tilbagestående fåtal, der slås med den slags. Og hvis de endelig
> gør, kan 3-400 kroner løse deres problem.

"Vist"? Det er max to år siden vi fik splinternye IP-telefoner på
arbejdet, der virkede perfekt uden kryptering, men ikke kunne
trække WEP - som var den kraftigste kryptering de havde.

Men jo, hvis man vil skifte alt sit hardware ud hvert andet år,
kan det vel nok lade sig gøre. Men sg* ikke for 3-400 kr.

Men det problem har jeg så slet ikke, for det eneste jeg har der kører
WLAN er den bærbare og nu også Linux-maskinen, og de kan begge køre
IPSEC. Så jeg kan stadig ikke se nogen fordel ved WPA.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 03 Dec 2006 20:03:37 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>Men jo, hvis man vil skifte alt sit hardware ud hvert andet år,
>kan det vel nok lade sig gøre. Men sg* ikke for 3-400 kr.

Hm, det meste privatforbruger-udstyr, jeg er faldet over, kunne
opgraderes uden problemer. Det lyder lidt som et særtilfælde.

Når min lokale Aldi sælger en bredbåndsrouter og selv på skiltene i
butikken nævner WEP/WPA/WPA2, så tror jeg ikke at problemet er så
stort længere.

>Men det problem har jeg så slet ikke, for det eneste jeg har der kører
>WLAN er den bærbare og nu også Linux-maskinen, og de kan begge køre
>IPSEC. Så jeg kan stadig ikke se nogen fordel ved WPA.

Hvis det virker, så virker det jo - og så er der intet galt i dit
setup, tværtimod.

Folks behov er blot forskellige. Herhjemme har vi efterhånden haft en
god, blandet landhandel på lokalnettet: PDA'er, mobiltelefoner,
XBox360'ere, Apple Airport Express og så selvfølgelig en bunke
ordinære computere med blandede operativsystemer. Enkelte af førnævnte
enheder understøtter IPSec, men jeg er sikker på at gæster ville
spørge endnu mere til hjælp, hvis de ikke bare kunne logge på et
trådløst netværk som normalt.

--
- Peter Brodersen
Kendt fra Internet

---

Den Sun, 03 Dec 2006 23:56:50 +0100 skrev Peter Brodersen:
> On 03 Dec 2006 20:03:37 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>Men jo, hvis man vil skifte alt sit hardware ud hvert andet år,
>>kan det vel nok lade sig gøre. Men sg* ikke for 3-400 kr.
>
> Hm, det meste privatforbruger-udstyr, jeg er faldet over, kunne
> opgraderes uden problemer. Det lyder lidt som et særtilfælde.
>
> Når min lokale Aldi sælger en bredbåndsrouter og selv på skiltene i
> butikken nævner WEP/WPA/WPA2, så tror jeg ikke at problemet er så
> stort længere.

Det er jo kun routeren. Der blev snakket om PDA'er og andet "legetøj"
med lav CPU-kraft. Fx. førnævnte IP-telefon - når den ikke har
CPU-kraften til WEP, så løser en software-opdatering ikke noget.

>>Men det problem har jeg så slet ikke, for det eneste jeg har der kører
>>WLAN er den bærbare og nu også Linux-maskinen, og de kan begge køre
>>IPSEC. Så jeg kan stadig ikke se nogen fordel ved WPA.
>
> Hvis det virker, så virker det jo - og så er der intet galt i dit
> setup, tværtimod.
>
> Folks behov er blot forskellige. Herhjemme har vi efterhånden haft en
> god, blandet landhandel på lokalnettet: PDA'er, mobiltelefoner,
> XBox360'ere, Apple Airport Express og så selvfølgelig en bunke
> ordinære computere med blandede operativsystemer. Enkelte af førnævnte
> enheder understøtter IPSec, men jeg er sikker på at gæster ville
> spørge endnu mere til hjælp, hvis de ikke bare kunne logge på et
> trådløst netværk som normalt.

Med et 60-tegns password genereret fra /dev/random, er der ikke nogen
der "bare lige logger på som normalt", uanset hvilken kryptering jeg
vælger

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 04 Dec 2006 15:34:45 GMT, Kent Friis <nospam@nospam.invalid> wrote:

> Med et 60-tegns password genereret fra /dev/random, er der ikke nogen
> der "bare lige logger på som normalt", uanset hvilken kryptering jeg
> vælger

Jo, med WEP er det faktisk fuldstændig trivielt.

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

Den Mon, 04 Dec 2006 17:03:02 +0100 skrev Asbjorn Hojmark:
> On 04 Dec 2006 15:34:45 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>> Med et 60-tegns password genereret fra /dev/random, er der ikke nogen
>> der "bare lige logger på som normalt", uanset hvilken kryptering jeg
>> vælger
>
> Jo, med WEP er det faktisk fuldstændig trivielt.

WEP er efterhånden grænsende til "ingen kryptering".

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 04 Dec 2006 18:03:46 GMT, Kent Friis <nospam@nospam.invalid> wrote:

> WEP er efterhånden grænsende til "ingen kryptering".

Enig. Jeg misforstod tydeligvis din kommentar om nøglelængde.

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

Den Mon, 04 Dec 2006 23:52:04 +0100 skrev Asbjorn Hojmark:
> On 04 Dec 2006 18:03:46 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>> WEP er efterhånden grænsende til "ingen kryptering".
>
> Enig. Jeg misforstod tydeligvis din kommentar om nøglelængde.

Nej, der var ikke noget underforstået vedr. valget af kryptering
i nøglelængden, det var kun for at vise besværligheden af at
skulle indtaste nøglen. Jeg kan lige forestille mig det...

- "Her er koden, den indtaster du bare"
<ti minutter senere>
- "Det virker ikke"
<endnu senere>
- Det 37. tegn skal være et komma, og ikke et punktum, og så har du
glemt et a som det 46. tegn.

Det er klart at hvis vi snakker om WEP, og derfor kan knække koden
på 10 minutter, så behøver folk slet ikke besværet med at indtaste
password'et. Det kunne gå hen og være hurtigere at knække det. Det
kan være svært nok at indtaste en Windows CD-key, og den er vist kun
halvt så lang - og uden specialtegn.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 05 Dec 2006 16:28:28 GMT, Kent Friis <nospam@nospam.invalid> wrote:

> - Det 37. tegn skal være et komma, og ikke et punktum, og så har du
> glemt et a som det 46. tegn.

Jeg anbefaler altid, at man cut-and-paste'er nøglen ind på udstyret,
fremfor at vælge en der kan huskes.

Hvis man har For Mange(TM) devices til at det virker fornuftigt at
bruge cut-and-paste, er en preshared key overvejende sandsynligt
simpelthen den forkerte løsningsmodel.

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

Den Tue, 05 Dec 2006 22:45:57 +0100 skrev Asbjorn Hojmark:
> On 05 Dec 2006 16:28:28 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>> - Det 37. tegn skal være et komma, og ikke et punktum, og så har du
>> glemt et a som det 46. tegn.
>
> Jeg anbefaler altid, at man cut-and-paste'er nøglen ind på udstyret,
> fremfor at vælge en der kan huskes.

Det har jeg naturligvis også gjort, jeg prøver at forestille mig
den situation hvor nogen kommer på besøg og lige skal på mit
trådløse netværk. Man kan jo ikke cut'n'paste noget over før
de er på netværket. Så er det man stikker dem et stykke papir
med passwordet

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 05 Dec 2006 21:55:29 GMT, Kent Friis <nospam@nospam.invalid> wrote:

> Det har jeg naturligvis også gjort, jeg prøver at forestille mig
> den situation hvor nogen kommer på besøg og lige skal på mit
> trådløse netværk. Man kan jo ikke cut'n'paste noget over før
> de er på netværket.

Jeg har brugt USB.

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

Den Wed, 29 Nov 2006 23:23:10 +0100 skrev Asbjorn Hojmark:
> On 29 Nov 2006 16:46:16 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>> Så fik jeg endelig taget mig sammen til at købe et trådløst netkort,
>> og så skal der jo lige lidt kryptering på.
>
> Der er ikke noget crypto (som fx WPA) i dit trådløse udstyr?

Det blev efterhånden så mange anbefalinger af WPA (ikke kun i denne
gruppe), at jeg lige må have lidt nærmere oplysninger om hvad WPA
egentlig kan... Jeg må indrømme at jeg ikke ved ret meget om emnet,
da det hele tiden har været planen at køre IPSEC - som jeg mener blev
anbefalet her i gruppen dengang jeg startede med at overveje
trådløst netværk.

De ting jeg er interesseret i er:

- Password/key per host. Hvis jeg fx giver min nabo adgang til mit
trådløse netværk, skal han naturligvis ikke kunne "impersonate" min
bærbare. Min bærbare har naturligvis adgang til alt, hvorimod han
kun ville få adgang til de ting jeg vil give ham adgang til. Det
kunne fx være internet, men ingen adgang til mine maskiner. Eller
det kunne være noget FTP-agtigt på min linux-maskine, men ingen
internet-adgang.

- Tunnel per host. Lidt det samme som ovenfor, men selvom en
maskine er connected, må den naturligvis ikke kunne se trafik til/fra
andre maskiner på netværket.

- Den dag jeg kommer til at mangle PCI-porte, bliver det trådløse
netkort nok skiftet ud med et access-point. Det skal naturligvis ikke
ændre på at det er Linux-maskinen der styrer forbindelserne, og
bestemmer hvem der har adgang til hvad. Access-pointet skal
derfor blot bridge den krypterede forbindelse videre. (Denne er
jeg ret sikker på at WPA ikke kan klare, men ret mig endelig
hvis jeg tager fejl).

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 04 Dec 2006 18:49:35 GMT, Kent Friis <nospam@nospam.invalid> wrote:

> - Password/key per host.

Hvis man ikke er interesseret i at dele samme preshared key ud til
flere devices, kan man bruge WPA Enterprise, der er baseret på brug af
User IDs og passwords.

Der er en mængde forskellige EAP-typer, og man kan fx også bruge
EAP-TLS (certifikater), hvis man har en PKI.

> - Tunnel per host.

AP'et kan vælge at benytte brugeridentiteten til at 'mappe' brugeren
til et såkaldt wireless VLAN, men det er typisk ikke funktionalitet,
man ser i et privat-bruger-AP.

> Access-pointet skal derfor blot bridge den krypterede forbindelse
> videre. (Denne er jeg ret sikker på at WPA ikke kan klare, men ret
> mig endelig hvis jeg tager fejl).

Et AP er netop blot en bridge (uafhængigt af hvilken crypto du vælger,
om nogen overhovedet). Du kan altså vælge at bridge trafikken ind på
et interface på din Linux-box, og så bruge den til at styre, hvem der
må hvad.

Hvis det er et AP, der kan lave wireless VLAN, kan du bridge dem ind
på separate sub-interfaces.

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

Den Tue, 05 Dec 2006 00:05:08 +0100 skrev Asbjorn Hojmark:
>
> ... WPA Enterprise ... typisk ikke funktionalitet, man ser i et
> privat-bruger-AP ...

Det lyder dyrt Jeg tror bare jeg holder fast i IPSEC.

Jeg troede faktisk kun WPA kunne klare at fungere som et shared medium,
a'la ethernet. Men så lærte jeg da noget nyt.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 05 Dec 2006 16:33:36 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>> ... WPA Enterprise ... typisk ikke funktionalitet, man ser i et
>> privat-bruger-AP ...

> Det lyder dyrt Jeg tror bare jeg holder fast i IPSEC.

WPA Enterprise er ikke dyrt. Det er bare WPA+RADIUS.

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

Den Tue, 05 Dec 2006 22:47:41 +0100 skrev Asbjorn Hojmark:
> On 05 Dec 2006 16:33:36 GMT, Kent Friis <nospam@nospam.invalid> wrote:
>
>>> ... WPA Enterprise ... typisk ikke funktionalitet, man ser i et
>>> privat-bruger-AP ...
>
>> Det lyder dyrt Jeg tror bare jeg holder fast i IPSEC.
>
> WPA Enterprise er ikke dyrt. Det er bare WPA+RADIUS.

Du fik det til at lyde som om at der skal et specielt access point
til, i stedet for det billigste wireless-kort ude fra A-Z.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On 05 Dec 2006 21:56:40 GMT, Kent Friis <nospam@nospam.invalid> wrote:

>> WPA Enterprise er ikke dyrt. Det er bare WPA+RADIUS.

> Du fik det til at lyde som om at der skal et specielt access point
> til, i stedet for det billigste wireless-kort ude fra A-Z.

Det refererede specifikt til det med wireless VLAN.

-A
--
Hvis du beskyttes af den 'gratis' spam-udsender til privatbrugere,
beskyttes du også mod svar fra mig. Jeg filtrerer de indlæg bort.

---

> Nov 29 21:20:36 gandalf racoon: 2006-11-29 21:20:36: INFO: respond new phase 2 negotiation: 172.16.2.1[0]<=>172.16.2.2[0]

Ligger fejlen ikke her?

Jeg er ikke vant til racoon, men i Phase 2 aftaler man hvilke netværk
der skal transporteres data for.

Prøv at byt 172.16.2.1 ud med 0.0.0.0

---

Den Fri, 01 Dec 2006 01:15:02 +0100 skrev Christian E. Lysel:
>> Nov 29 21:20:36 gandalf racoon: 2006-11-29 21:20:36: INFO: respond new phase 2 negotiation: 172.16.2.1[0]<=>172.16.2.2[0]
>
> Ligger fejlen ikke her?
>
> Jeg er ikke vant til racoon, men i Phase 2 aftaler man hvilke netværk
> der skal transporteres data for.
>
> Prøv at byt 172.16.2.1 ud med 0.0.0.0

Det må være tunnel endpoints den skriver. Når jeg sammenholder
min konfiguration med manualen, vil jeg mene det er de rigtige
steder der står 0.0.0.0/0.

setkey-kommandoen ser sådan her ud:

setkey -c <<EOF
flush;
spdflush;

spdadd 172.16.2.2 0.0.0.0/0 any -P in ipsec
esp/tunnel/172.16.2.2-172.16.2.1/require;

spdadd 0.0.0.0/0 172.16.2.2 any -P out ipsec
esp/tunnel/172.16.2.1-172.16.2.2/require;
EOF
      
Og man setkey siger flg. om spdadd:

spdadd [-46n] src_range dst_range upperspec policy ;
Add an SPD entry.

[...]

src_range
dst_range
These select the communications that should be secured by IPsec.
They can be an IPv4/v6 address or an IPv4/v6 address range, and
    may be accompanied by a TCP/UDP port specification. This takes
the following form:
   
    address
    address/prefixlen
    address[port]
    address/prefixlen[port]
   
    prefixlen and port must be decimal numbers. The square brackets
around port are really necessary, they are not man page meta-
    characters. For FQDN resolution, the rules applicable to src and
dst apply here as well.

[...]

The protocol/mode/src-dst/level part specifies the rule how to
    process the packet. Either ah, esp, or ipcomp must be used as
protocol. mode is either transport or tunnel. If mode is tunnel,
    you must specify the end-point addresses of the SA as src and dst
with -' between these addresses, which is used to specify the SA
    to use.

Det kan heller ikke være i racoon.conf jeg mangler at skifte
172.16.2.1 ud med 0.0.0.0/0, for der står kun 172.16.2.1 et sted,
nemlig i "listen" (tilføjet efter jeg postede log'en, for at slippe
for en masse "listening on" linier. Resten af vejen ned står der
0.0.0.0/0 og 172.16.2.2.

Derudover: Jeg kan ikke blot pinge 172.16.2.1, som er det ip-nummer
der vender ud mod tunnelen, men også linux-maskinens andre IP-numre.
Trafikken kommer altså fint til linux-maskinen og bliver dekrypteret.
Det er først når pakkerne skal videre til en anden maskine at de
forsvinder sporløst.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Den 01 Dec 2006 15:27:06 GMT skrev Kent Friis:
>
> Derudover: Jeg kan ikke blot pinge 172.16.2.1, som er det ip-nummer
> der vender ud mod tunnelen, men også linux-maskinens andre IP-numre.
> Trafikken kommer altså fint til linux-maskinen og bliver dekrypteret.
> Det er først når pakkerne skal videre til en anden maskine at de
> forsvinder sporløst.

En ting mere - hvis man forsøger at connecte til den bærbare fra
en maskine på LAN-siden, når pakkerne fint til Linux-maskinen, og
bliver krypteret og send videre til den bærbare. Så den vej er
der hul igennem. Pakkerne bliver så vidt jeg kan se også
dekrypteret korrekt, for jeg kan se der kommer en TCP RST tilbage
(det var så det andet problem med at XP sender trafikken dobbelt, både
krypteret og ikke krypteret).

Så fra LAN -> IPSEC virker det fint, det er kun IPSEC -> LAN /
internet der ikke virker.

Jeg har også prøvet med iptables sat til at acceptere alt, det hjalp
heller ikke.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

Den 01 Dec 2006 16:21:27 GMT skrev Kent Friis:
>
> Så fra LAN -> IPSEC virker det fint, det er kun IPSEC -> LAN /
> internet der ikke virker.

Wohoo, fandt problemet. Det var en manglende fwd (forward) policy,
som setkey iflg. dokumentationen skulle oprette automatisk - og
forsøg på at oprette den manuelt gav bare "file exists". Grunden
til at den ikke blev oprettet var at en gammel broken header-fil
fik ./configure til at tro at systemet slet ikke supporterer fwd-
policy (det er vist et Linux-fænomen), og derfor compilede setkey
uden denne feature.

Så er spørgsmålet bare hvorfor helv*** XP sender al trafikken to
gange - både krypteret og ukrypteret.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On Fri, 2006-12-01 at 17:20 +0000, Kent Friis wrote:
> Så er spørgsmålet bare hvorfor helv*** XP sender al trafikken to
> gange - både krypteret og ukrypteret.

De OpenSWAN/FreeSWAN installationer jeg har rodet med er det normalt i
nogle kerner at man ser trafik dobbelt med pcap.

Prøv at sniff fra en 3. maskine.

---

Den Fri, 01 Dec 2006 20:25:21 +0100 skrev Christian E. Lysel:
> On Fri, 2006-12-01 at 17:20 +0000, Kent Friis wrote:
>> Så er spørgsmålet bare hvorfor helv*** XP sender al trafikken to
>> gange - både krypteret og ukrypteret.
>
> De OpenSWAN/FreeSWAN installationer jeg har rodet med er det normalt i
> nogle kerner at man ser trafik dobbelt med pcap.

Det var også min første tanke, men hvis Wireshark lytter med på både
den krypterede og den ukrypterede del, ville jeg forvente at se
ukrypteret trafik begge veje. Som det er nu ser jeg kun indgående
trafik dobbelt.

Derudover er der al støjen (broadcasts m.m) der heller ikke er
krypteret.

> Prøv at sniff fra en 3. maskine.

Hvis jeg havde en, var det skam det første jeg ville have forsøgt.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On Fri, 2006-12-01 at 21:36 +0000, Kent Friis wrote:
> Det var også min første tanke, men hvis Wireshark lytter med på både
> den krypterede og den ukrypterede del, ville jeg forvente at se
> ukrypteret trafik begge veje. Som det er nu ser jeg kun indgående
> trafik dobbelt.

Hvis jeg fra vpnserveren sender en icmp request, ser jeg kun ESP
(tcpdump fra vpnserveren).
Når klienten svare, ser jeg både icmp reply og ESP.


I ældre versioner af Linux kernen var der et ipsec0 interface...det
savner jeg, alt var mere simpelt dengang, også håndteringen af evt. MTU
problemmer.

> Derudover er der al støjen (broadcasts m.m) der heller ikke er
> krypteret.

Hvilken protokoller?

> > Prøv at sniff fra en 3. maskine.
>
> Hvis jeg havde en, var det skam det første jeg ville have forsøgt.

Jeg ville tage fat i en ven, eller låne en maskine fra min arbejdsgiver.
Hvis det ikke er muligt kan du jo altid bruge en vituel maskine, fx
VMware. Du kan nu sniffe fra maskinen der afvikler emulatoren.

---

Den Sat, 02 Dec 2006 13:42:33 +0100 skrev Christian E. Lysel:
> On Fri, 2006-12-01 at 21:36 +0000, Kent Friis wrote:
>> Det var også min første tanke, men hvis Wireshark lytter med på både
>> den krypterede og den ukrypterede del, ville jeg forvente at se
>> ukrypteret trafik begge veje. Som det er nu ser jeg kun indgående
>> trafik dobbelt.
>
> Hvis jeg fra vpnserveren sender en icmp request, ser jeg kun ESP
> (tcpdump fra vpnserveren).
> Når klienten svare, ser jeg både icmp reply og ESP.

Det er det samme jeg ser. Så skal det jo nok være sådan.

>> Derudover er der al støjen (broadcasts m.m) der heller ikke er
>> krypteret.
>
> Hvilken protokoller?

Alle de sædvanlige - 137, 138 osv... Jeg har ikke maskinen på lige nu,
så jeg kan give hele listen.

Mvh
Kent
--
"So there I was surrounded by all these scary creatures
They were even scarier than what Microsoft call features"
- C64Mafia: Forbidden Forest (Don't Go Walking Slow).

---

On Mon, 2006-12-04 at 18:49 +0000, Kent Friis wrote:
> - Password/key per host. Hvis jeg fx giver min nabo adgang til mit

Jo, det kan lade sig gøre i nogle implementationen, men vi tager
udgangspunkt i Linux som AP, mener jeg det bliver svært, det bliver
noget snavs at lave ACL på MAC adresser.

Betragt det som et ethernet med klienter.

> - Tunnel per host. Lidt det samme som ovenfor, men selvom en

Jo, på andre implementationer. Har ikke set det på linux (hostap)

> - Den dag jeg kommer til at mangle PCI-porte, bliver det trådløse
> netkort nok skiftet ud med et access-point. Det skal naturligvis ikke
> ændre på at det er Linux-maskinen der styrer forbindelserne, og
> bestemmer hvem der har adgang til hvad. Access-pointet skal
> derfor blot bridge den krypterede forbindelse videre. (Denne er
> jeg ret sikker på at WPA ikke kan klare, men ret mig endelig
> hvis jeg tager fejl).

Større løsninger virker på denne måde, hvorved man opnår en central
administration. Hvis du er linux kernel haj, bør du selv kunne
implementere det.

Du kan også købe et advanceret AP, der laver VLANs.