Должен ли fwknop прослушивать порт?

Question

Я пытаюсь установить fwknop на компьютере с Debian 7 VirtualBox.

Он устанавливается без ошибок (apt-get install fwknop-server -y), я внес изменения в файл /etc/default/fwknop-server чтобы демон работал . Я сделал строфу для тестирования. Затем я перезапустил fwnop /etc/init.d/fwknop-server restart . Я сделал fwknop -S чтобы увидеть статус, и все работает.

Я также попытался удалить его с помощью apt-get remove --purge fwknop-server -y и переустановить с помощью aptitude install fwknop-server -y .

Тем не менее, в обоих случаях он не работает должным образом. Я попытался выполнить команду, чтобы открыть порт (в клиенте), так как раздел настроен, но не открывает настроенный порт. Если я запускаю на сервере iptables -vL я вижу правило, созданное fwknop, в верхней части цепочки INPUT , а также цепочку FWKNOP_INPUT которая пуста. Если я запускаю netstat -nulp | less я не нахожу fwknop как прослушивающий port udp/62201 или любой другой порт.

Q1: не должен ли fwknop прослушивать udp 62201 и появляться в netstat -nulp ?

Q2: Как я могу отладить эту проблему?

Обновление 2014-02-19

Немного о настройке: машина Debian 7 находится на VirtualBox. У меня есть хост 192.168.1.101 и Debian 192.168.56.101. Сеть настроена как хост-адаптер.

Файл /etc/network/interfaces настроен следующим образом:

# The loopback network interface
auto lo
iface lo inet loopback

# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.56.101
netmask 255.255.0.0
gateway 192.168.56.1
dns-nameservers 192.168.56.1
network 192.168.56.0
broadcast 192.168.56.255

Пробовал даже с pgp. Но под windows клиент не работает с pgp.

Вернуться к ключу Рейндель.

Итак, проблема с отправленным пакетом. Сервер, кажется, работает правильно.

Санза так же прост, как:

SOURCE: ANY;
OPEN_PORTS: tcp/22;
FW_ACCESS_TIMEOUT: 30;
REQUIRE_SOURCE_ADDRESS: N;
KEY: 1234567890;

Затем у клиента Windows у меня есть исполняемые файлы клиента fwknop, и я запускаю fwknop.exe -A tcp/22 -a 192.168.56.1 -D 192.168.56.101 --verbose

FKO Field Values:
=================

   Random Value: 8856223091859216
       Username: Bogdan
      Timestamp: 1392826691
    FKO Version: 2.0
   Message Type: 1 (Access msg)
 Message String: 192.168.56.1,tcp/22
     Nat Access: <NULL>
    Server Auth: <NULL>
 Client Timeout: 0 (seconds)
    Digest Type: 3 (SHA256)
      HMAC Type: 0 (Unknown)
Encryption Type: 1 (Rijndael)
Encryption Mode: 2 (CBC)

   Encoded Data: 8856223091859216:Qm9nZGFu:1392826691:2.0:1:MTkyLjE2OC41Ni4xLHRjcC8yMg
SPA Data Digest: CBjwLFaaNxitUlJPZqpx3xIPE+3pbi3o4QH8D16DC9I
           HMAC: <NULL>
      Plaintext: 8856223091859216:Qm9nZGFu:1392826691:2.0:1:MTkyLjE2OC41Ni4xLHRjcC8yMg:CBjwLFaaNxitUlJPZqpx3xIPE+3pbi3o4QH8D16DC9I


Final Packed/Encrypted/Encoded Data:

9tkJaoeN8qetZ+zQUiQHNL2SI57wRIs4LFEjRXNQKbEncxQ5/4KCCKm1knvcyH4kTdAdNch8kLAmExbHgpTcq/N9qf+OMLHnrD8tqKGHF2uKCAJIE3THgTr4LvBZWMAz/xTxXoAQf0jo5EjwsK6gOx9MEyEUAQB+Do69BvbG4kONUeW
YgiTvJr

Generating SPA packet:
            protocol: udp
         source port: <OS assigned>
    destination port: 62201
             IP/host: 192.168.56.101
send_spa_packet: bytes sent: 182

Подробный результат на сервере:

SPA Packet from ip 192.168.56.1 received. 
Error creating fko context: Decryption failed or decrypted data is invalid

Пожалуйста, помогите мне в дальнейшей отладке.

Answer 1

Q1: Нет, fwknopd не прослушивает порт. Он работает как анализатор Ethernet и, следовательно, не функционирует как обычный "сервер" в том смысле, что он не прослушивает порт.

Q2: Лучший способ отладить то, что происходит с fwknopd, это запустить его следующим образом:

fwknopd -f -v -i eth0

... это запустит fwknopd против eth0 (вам может потребоваться изменить это в зависимости от вашей настройки), но не fork (), чтобы стать демоном, чтобы вы могли видеть отладочный вывод на консоли ...

Теперь, когда запущен fwknopd, запустите клиент fwknop. Вы увидите подробную информацию о специфике пакета SPA, если он аутентифицирует / расшифровывает вместе с соответствующими командами iptables, которые fwknopd выполняет для предоставления доступа к любой услуге, которую вы запрашиваете у клиента.

Подробное руководство по fwknop доступно здесь:

http://www.cipherdyne.org/fwknop/docs/fwknop-tutorial.html

Answer 2

После более чем 5 часов попыток, мистер. Ответ Майкла Раша дал мне понять, что fwknop не работает, потому что демон был отключен. : /

Запуск демона fwknop-server в Ubuntu:

В Ubuntu 15.10 (и, возможно, в других) служба по умолчанию не включена, поэтому следует:

1. Отредактируйте файл:

   / И т.д. / по умолчанию / fwknop-сервер

2. Измените строку 5 с:

   START_DAEMON = "нет"

   угадать что? чтобы:

   START_DAEMON = "да"

3. Затем остановите его (даже если он уже остановлен) и начните снова с помощью команды:

   sudo service fwknop-server stop

   и перезапустите его:

   sudo service fwknop-server start

4. Видимо, перезапуск службы команд service fwknop-server restart не работает.

---

Проверьте, работает ли служба

Если вы хотите узнать, запущен ли сейчас ваш демон, используйте команду:

sudo fwknopd -S

Когда он не запущен, он отображает: No running fwknopd detected.

Когда он работает, он отображает: Detected fwknopd is running (pid=PID_NUM).

---

Поэтому я думаю, что ответ г-на Майкла должен быть помечен как правильный для сообщества, потому что у других людей могут быть другие проблемы с их настройкой. И спасибо за этот великий кусок программного обеспечения, мистер!