https://opennet.ru/openforum/vsluhforumID1/70058.html Здравствуйте коллеги!<br><br>Есть рабочая конфигурация IPsec VPN поднятая между <br>Dlink 808hv и FreeBSD 5.4-RELEASE-p16<br>Dlink настроен по типовой конфигурации с сайта производителя<br>http://www.dlink.ru/technical/faq_vpn_11.php<br>так же настроен и сервер с FreeBSD<br>только используется racoon из пакета ipsec-tools-0.6.6<br>и не используются gif интерфейсы по причине не поддержки их на Dlink<br><br>Необходимо увидеть пакеты которые приходят<br>для внутреннего интерфейса FreeBSD через IPsec тунель.<br><br>XXX.XXX.XXX.XXX &#8211; внешний FreeBSD xxx.xxx.xxx.xxx &#8211; внутренний FreeBSD<br>YYY.YYY.YYY.YYY &#8211; внешний Dlink yyy.yyy.yyy.yyy &#8211; внутренний Dlink<br><br>tcpdump естесно видит такое <br>free# tcpdump -ni tun0 &#124; grep YYY.YYY.YYY.YYY<br>tcpdump: verbose output suppressed, use -v or -vv for full protocol decode<br>listening on tun0, link-type NULL (BSD loopback), capture size 96 bytes<br>18:24:30.486446 IP YYY.YYY.YYY.YYY &gt; XXX.XXX.XXX.XXX: ESP(spi=0x024b97c5,seq=0x9dc)<br>18:24:30.486706 IP XXX.XXX.XXX.XXX &gt; YYY.YYY.YYY.Y https://opennet.ru/openforum/vsluhforumID1/70058.html#6 Mon, 27 Jun 2016 05:57:38 GMT <br>1) узнаем SPI (in или out) для конкретного SA:<br>2) узнаем encryption key для этого SPI<br><br>sudo setkey -D &#124; grep -A 1 420e154f &lt;--- (нужный SPI)<br>esp mode=tunnel spi=1108219215(0x420e154f) reqid=16632(0x000040f8)<br>E: aes-cbc cddb026d f02cef75 cb3883cb 170c12a5 &lt; -- сессионный ключ<br>Из ключа убираем пробелы и предваряем 0x<br><br>потом запускаем sudo tcpdump -ni eth1 -E aes128-hmac96:0xcddb026df02cef75cb3883cb170c12a5 'ip[20:4] = 0x420e154f'<br> https://opennet.ru/openforum/vsluhforumID1/70058.html#5 Wed, 08 Nov 2006 10:39:44 GMT &gt;если тунель терминируется на твоем сервере, то не вижу проблем в снифинге, <br>&gt;если же это транзитный ipsec трафик, то эт нереально, даже не <br>&gt;пробуй все равно ничего не взломаешь. <br><br>&gt;Есть рабочая конфигурация IPsec VPN поднятая между <br>&gt;Dlink 808hv и FreeBSD 5.4-RELEASE-p16<br>&gt;Dlink настроен по типовой конфигурации с сайта производителя<br>&gt;http://www.dlink.ru/technical/faq_vpn_11.php<br>&gt;так же настроен и сервер с FreeBSD<br>&gt;только используется racoon из пакета ipsec-tools-0.6.6<br>&gt;и не используются gif интерфейсы по причине не поддержки их на Dlink<br><br>Да тунель создаётся на моём серваке FreeBSD 5.4-RELEASE-p16 с моим ключём<br>и полным доступом. Пакеты входящие через тунель IPsec могут адресоватся<br>как члену локальной сети так и самому серваку FreeBSD 5.4-RELEASE-p16<br>(для его внутреннего интерфейса). Снифирить те тунельные пакеты которые выходят<br>расшифрованными через FreeBSD 5.4-RELEASE-p16 в локалку естено никаких проблем...<br>Но пост созда для того чтобы разобратся как снифирить пакеты которые приходтя через https://opennet.ru/openforum/vsluhforumID1/70058.html#4 Tue, 07 Nov 2006 19:49:43 GMT если тунель терминируется на твоем сервере, то не вижу проблем в снифинге, если же это транзитный ipsec трафик, то эт нереально, даже не пробуй все равно ничего не взломаешь. https://opennet.ru/openforum/vsluhforumID1/70058.html#3 Tue, 07 Nov 2006 10:13:34 GMT &gt;&gt;Копался с подобной штукой, но, увы, не нашел решения - так и <br>&gt;&gt;не понял, как получить доступ (и возможно ли это) непосредственно к <br>&gt;&gt;содержимому пакетов...Они ж шифруются, и расшифровываются в ядре ;) <br>&gt;<br>&gt;<br>&gt;Если бы к шифрованным пакетам можно было получить так легко доступ... зачем <br>&gt;тогда нужно шифрование. <br><br>Хотелось бы конечно услышать ответы по существу... В мане к моему<br>tcpdump говорится<br> <br> -E Use spi@ipaddr algo:secret for decrypting IPsec ESP packets that<br> are addressed to addr and contain Security Parameter Index value<br> spi. This combination may be repeated with comma or newline<br> seperation.<br><br>В общем существует возможность расишифровки пакетов<br>но всевозможные комбинации spi@ipaddr algo:secret к каким либо зримым результатам<br>не приводят. Если кто расшифровывал то нужен алгоритм<br>или пример или что нибудь что поможет в этом дела... <br><br>Очень много задач на сервере требующие контроля и учёта в смысле <br>трафика внутри IPsec канала с фейх https://opennet.ru/openforum/vsluhforumID1/70058.html#2 Tue, 07 Nov 2006 06:09:13 GMT &gt;Копался с подобной штукой, но, увы, не нашел решения - так и <br>&gt;не понял, как получить доступ (и возможно ли это) непосредственно к <br>&gt;содержимому пакетов...Они ж шифруются, и расшифровываются в ядре ;) <br><br><br>Если бы к шифрованным пакетам можно было получить так легко доступ... зачем тогда нужно шифрование. https://opennet.ru/openforum/vsluhforumID1/70058.html#1 Mon, 06 Nov 2006 18:28:54 GMT Копался с подобной штукой, но, увы, не нашел решения - так и не понял, как получить доступ (и возможно ли это) непосредственно к содержимому пакетов...Они ж шифруются, и расшифровываются в ядре ;)