fwknop ควรฟังพอร์ตหรือไม่


2

ฉันพยายามติดตั้ง fwknop บนเครื่อง VirtualBox Debian 7

มันติดตั้งโดยไม่มีข้อผิดพลาด ( apt-get install fwknop-server -y) ฉันได้ทำการแก้ไขใน/etc/default/fwknop-serverไฟล์เพื่อให้ daemon ทำงาน ฉันได้สร้างบทเพื่อการทดสอบ กว่าที่ฉันได้เริ่มต้นใหม่ /etc/init.d/fwknop-server restartfwnop ฉันได้ทำfwknop -Sเพื่อดูสถานะและทุกอย่างทำงานอยู่

ฉันยังพยายามยกเลิกการติดตั้งที่มีและการใช้ติดตั้งapt-get remove --purge fwknop-server -yaptitude install fwknop-server -y

อย่างไรก็ตามในทั้งสองกรณีดูเหมือนว่าจะทำงานไม่ถูกต้อง ฉันลองใช้คำสั่งเพื่อเปิดพอร์ต (ในไคลเอนต์) เนื่องจาก stanza ได้รับการกำหนดค่า แต่ไม่ได้เปิดพอร์ตที่กำหนดค่าไว้ ถ้าฉันทำงานในเซิร์ฟเวอร์iptables -vLฉันเห็นกฎที่ทำโดย fwknop ที่ส่วนบนของINPUTchain และฉันก็เห็น chain FWKNOP_INPUTที่ว่างเปล่าด้วย ถ้าฉันเรียกใช้netstat -nulp | lessฉันไม่พบfwknopว่าฟังport udp/62201หรือพอร์ตอื่น ๆ

Q1 : ไม่ควร fwknop ฟัง udp 62201 และปรากฏในnetstat -nulpเอาต์พุตหรือไม่

Q2 : ฉันจะแก้ไขปัญหานี้ได้อย่างไร

อัปเดต 2014-02-19

เล็กน้อยเกี่ยวกับการตั้งค่า: Debian 7 Machine อยู่บน VirtualBox ฉันมีโฮสต์ใน 192.168.1.101 และ Debian บน 192.168.56.101 เครือข่ายได้รับการกำหนดค่าเป็นอะแดปเตอร์สำหรับโฮสต์เท่านั้น

/etc/network/interfacesไฟล์การกำหนดค่าดังต่อไปนี้:

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.56.101
netmask 255.255.0.0
gateway 192.168.56.1
dns-nameservers 192.168.56.1
network 192.168.56.0
broadcast 192.168.56.255

พยายามแม้กระทั่งกับ pgp แต่ภายใต้ windows ไคลเอนต์ไม่ทำงานกับ pgp

กลับไปที่คีย์ Rijndel

ดังนั้นปัญหาคือแพ็คเก็ตที่ส่ง เซิร์ฟเวอร์ดูเหมือนว่าจะทำงานอย่างถูกต้อง

Sanza นั้นง่ายเหมือน:

SOURCE: ANY;
OPEN_PORTS: tcp/22;
FW_ACCESS_TIMEOUT: 30;
REQUIRE_SOURCE_ADDRESS: N;
KEY: 1234567890;

จากนั้นหน้าต่างไคลเอ็นต์ฉันมีไบนารีไคลเอ็นต์ fwknop และฉันเรียกใช้ fwknop.exe -A tcp/22 -a 192.168.56.1 -D 192.168.56.101 --verbose

FKO Field Values:
=================

   Random Value: 8856223091859216
       Username: Bogdan
      Timestamp: 1392826691
    FKO Version: 2.0
   Message Type: 1 (Access msg)
 Message String: 192.168.56.1,tcp/22
     Nat Access: <NULL>
    Server Auth: <NULL>
 Client Timeout: 0 (seconds)
    Digest Type: 3 (SHA256)
      HMAC Type: 0 (Unknown)
Encryption Type: 1 (Rijndael)
Encryption Mode: 2 (CBC)

   Encoded Data: 8856223091859216:Qm9nZGFu:1392826691:2.0:1:MTkyLjE2OC41Ni4xLHRjcC8yMg
SPA Data Digest: CBjwLFaaNxitUlJPZqpx3xIPE+3pbi3o4QH8D16DC9I
           HMAC: <NULL>
      Plaintext: 8856223091859216:Qm9nZGFu:1392826691:2.0:1:MTkyLjE2OC41Ni4xLHRjcC8yMg:CBjwLFaaNxitUlJPZqpx3xIPE+3pbi3o4QH8D16DC9I


Final Packed/Encrypted/Encoded Data:

9tkJaoeN8qetZ+zQUiQHNL2SI57wRIs4LFEjRXNQKbEncxQ5/4KCCKm1knvcyH4kTdAdNch8kLAmExbHgpTcq/N9qf+OMLHnrD8tqKGHF2uKCAJIE3THgTr4LvBZWMAz/xTxXoAQf0jo5EjwsK6gOx9MEyEUAQB+Do69BvbG4kONUeW
YgiTvJr

Generating SPA packet:
            protocol: udp
         source port: <OS assigned>
    destination port: 62201
             IP/host: 192.168.56.101
send_spa_packet: bytes sent: 182

ผลลัพธ์ verbose บนเซิร์ฟเวอร์คือ:

SPA Packet from ip 192.168.56.1 received. 
Error creating fko context: Decryption failed or decrypted data is invalid

โปรดช่วยฉันแก้ปัญหาต่อไป


CPJ คุณได้รับการแก้ไขนี้หรือไม่? ฉันพบสิ่งที่อาจเป็นปัญหาเดียวกันระหว่างแล็ปท็อปของฉัน (Mac OS X) และเซิร์ฟเวอร์ VPS Linux (Debian) โปรดแจ้งให้เราทราบ
Harv

@Harv ใช่และไม่ใช่ปัญหาไม่ได้มาจากเซิร์ฟเวอร์ แต่มาจากไคลเอนต์ Windows fwknop ฉันสร้าง linux VM และลองเชื่อมต่อและเชื่อมต่ออย่างถูกต้อง อย่างไรก็ตามใน Windows ไม่ได้จัดการเพื่อให้ลูกค้าทำงานได้
จักรราศี

โอเคน่าสนใจ ดังนั้นมันอาจมีบางอย่างที่เกี่ยวข้องกับเวอร์ชันไลบรารีที่ไม่เข้ากันและทำให้เข้ากันไม่ได้ถูกต้องหรือไม่ มันเกี่ยวกับเท่าที่ฉันสามารถแยกแยะได้จากสิ่งที่ฉันเห็นที่นี่และในการทดสอบของฉันเองในวันนี้
Harv

ดี. ดูเหมือนว่าในเวลานั้นลูกค้ายังไม่ทันสมัย และถ้าฉันจำได้อย่างถูกต้องมีตัวเลือกอาร์กิวเมนต์น้อยใช้ได้ / ทำงาน (กว่าสำหรับ linux) ซึ่งทำให้ลำดับไม่ถูกต้อง แต่มากกว่านั้นอีกเกือบหนึ่งปีแล้วที่ตอนนี้ฉันไม่รู้การเปลี่ยนแปลงที่เกิดขึ้นกับไคลเอนต์ windows หากคุณพบสิ่งใหม่มันอาจเป็นประโยชน์กับฉันและกับคนอื่นดังนั้นโปรดแบ่งปัน
จักรราศี

คำตอบ:


5

Q1: ไม่ fwknopd ไม่ฟังพอร์ต มันทำงานเป็นอีเธอร์เน็ตดมกลิ่นและดังนั้นจึงไม่ทำงานเป็น "เซิร์ฟเวอร์" ปกติในการที่มันไม่ได้ฟังบนพอร์ต

Q2: วิธีที่ดีที่สุดในการดีบักสิ่งที่เกิดขึ้นกับ fwknopd คือเรียกใช้ดังต่อไปนี้:

fwknopd -f -v -i eth0

... สิ่งนี้จะเริ่มขึ้น fwknopd เทียบกับ eth0 (คุณอาจต้องเปลี่ยนสิ่งนั้นขึ้นอยู่กับการตั้งค่าของคุณ) แต่ไม่ใช่ fork () เพื่อที่จะกลายเป็นดีมอนเพื่อให้คุณสามารถเห็นผลลัพธ์การดีบักบนคอนโซล ...

ตอนนี้ด้วยการเรียกใช้ fwknopd จากนั้นไปข้างหน้าและเรียกใช้ไคลเอ็นต์ fwknop คุณจะเห็นข้อมูล verbose เกี่ยวกับแพคเก็ตข้อมูลเฉพาะของ SPA หากตรวจสอบ / ถอดรหัสพร้อมด้วยคำสั่ง iptables ที่ fwknopd ดำเนินการเพื่อให้สิทธิ์การเข้าถึงบริการใดก็ตามที่คุณร้องขอกับลูกค้า

บทแนะนำที่ครอบคลุมเกี่ยวกับ fwknop มีให้ที่นี่:

http://www.cipherdyne.org/fwknop/docs/fwknop-tutorial.html


0

หลังจากพยายามนานกว่า 5 ชั่วโมงนาย คำตอบของ Michael Rash ทำให้ฉันรู้fwknopว่าไม่ได้ทำงานเพราะภูตถูกปิด : /

การเริ่ม fwknop-server daemon บน Ubuntu:

ในUbuntu 15.10 (และอาจเป็นอย่างอื่น) บริการจะไม่เปิดใช้งานตามค่าเริ่มต้นดังนั้นหนึ่งควรจะ:

  1. แก้ไขไฟล์:

    / etc / default / fwknop เซิร์ฟเวอร์

  2. เปลี่ยนบรรทัด 5 จาก:

    START_DAEMON = "ไม่"

    จะเดาอะไร ไปที่:

    START_DAEMON = "ใช่"

  3. จากนั้นหยุดมัน (แม้ว่ามันจะหยุดทำงานไปแล้ว) และเริ่มต้นใหม่อีกครั้งด้วยคำสั่ง:

    sudo service fwknop-server stop

    และรีสตาร์ทด้วย:

    sudo service fwknop-server start

  4. เห็นได้ชัดว่าคำสั่งservice fwknop-server restartไม่ทำงาน


ตรวจสอบว่าบริการกำลังทำงานอยู่หรือไม่

หากคุณต้องการดูว่า daemon ของคุณกำลังทำงานอยู่หรือไม่ให้ใช้คำสั่ง:

sudo fwknopd -S

เมื่อมันไม่ทำงานมันจะแสดง: No running fwknopd detected.

เมื่อมันกำลังทำงานมันจะแสดง: Detected fwknopd is running (pid=PID_NUM).


ดังนั้นฉันคิดว่าคำตอบของมิเชลควรถูกทำเครื่องหมายว่าเป็นคำตอบที่ถูกต้องเพื่อประโยชน์ของชุมชนเพราะคนอื่นอาจมีปัญหาอื่น ๆ เกี่ยวกับการตั้งค่าของพวกเขา และขอขอบคุณสำหรับซอฟต์แวร์ชิ้นนี้ที่ยอดเยี่ยม!

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.