From owner-freebsd-users-jp@freebsd.org  Thu Sep 14 22:43:22 2017
Return-Path: <owner-freebsd-users-jp@freebsd.org>
Delivered-To: freebsd-users-jp@mailman.ysv.freebsd.org
Received: from mx1.freebsd.org (mx1.freebsd.org
 [IPv6:2001:1900:2254:206a::19:1])
 by mailman.ysv.freebsd.org (Postfix) with ESMTP id 05C4DE1112C
 for <freebsd-users-jp@mailman.ysv.freebsd.org>;
 Thu, 14 Sep 2017 22:43:22 +0000 (UTC)
 (envelope-from oniuda@oni.gr.jp)
Received: from zaku.oni.gr.jp (zaku.oni.gr.jp [210.152.8.54])
 (using TLSv1.2 with cipher ECDHE-RSA-AES256-GCM-SHA384 (256/256 bits))
 (Client did not present a certificate)
 by mx1.freebsd.org (Postfix) with ESMTPS id BB9F26CB26
 for <freebsd-users-jp@freebsd.org>; Thu, 14 Sep 2017 22:43:21 +0000 (UTC)
 (envelope-from oniuda@oni.gr.jp)
Received: from localhost (localhost [127.0.0.1])
 by zaku.oni.gr.jp (8.15.2/8.15.2) with ESMTP id v8EMhChc060467
 for <freebsd-users-jp@freebsd.org>; Fri, 15 Sep 2017 07:43:12 +0900 (JST)
 (envelope-from oniuda@oni.gr.jp)
Date: Fri, 15 Sep 2017 07:43:10 +0900 (JST)
Message-Id: <20170915.074310.28917475783234883.oniuda@oni.gr.jp>
To: freebsd-users-jp@freebsd.org
From: Koh-ichi Oniuda (=?iso-2022-jp?B?GyRCNTRAOEVEOUAwbBsoQg==?=)
 <oniuda@oni.gr.jp>
In-Reply-To: <20170912.114806.696099016890246140.oniuda@oni.gr.jp>
References: <20170912.114806.696099016890246140.oniuda@oni.gr.jp>
X-Mailer: Mew version 6.7 on Emacs 25.1 / Mule 6.0 (HANACHIRUSATO)
Mime-Version: 1.0
Content-Type: Text/Plain; charset=iso-2022-jp
Content-Transfer-Encoding: 7bit
Subject: [FreeBSD-users-jp 96119] Re: IPSec on FreeBSD 11.1-RELEASE-p1
X-BeenThere: freebsd-users-jp@freebsd.org
X-Mailman-Version: 2.1.23
Precedence: list
List-Id: Discussion relevant to FreeBSD communities in Japan
 <freebsd-users-jp.freebsd.org>
List-Unsubscribe: <https://lists.freebsd.org/mailman/options/freebsd-users-jp>, 
 <mailto:freebsd-users-jp-request@freebsd.org?subject=unsubscribe>
List-Archive: <http://lists.freebsd.org/pipermail/freebsd-users-jp/>
List-Post: <mailto:freebsd-users-jp@freebsd.org>
List-Help: <mailto:freebsd-users-jp-request@freebsd.org?subject=help>
List-Subscribe: <https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp>, 
 <mailto:freebsd-users-jp-request@freebsd.org?subject=subscribe>
X-List-Received-Date: Thu, 14 Sep 2017 22:43:22 -0000

追加情報です。

3台のFreeBSD Box間でipsecの鍵交換をやってみました。
A.FreeBSD 11.1-RELEASE-p1+ports/ipsec-tools(ipsec-tools-0.8.2_2)
B.FreeBSD 11.1-RELEASE-p1+ports/ipsec-tools(ipsec-tools-0.8.2_2)
C.FreeBSD 9.3-STABLE+ports/ipsec-tools(ipsec-tools-0.8.1_4)

A <-> B 間では、最初のメールの通りとなります。
A <-> C 間では、Aは、同様の現象ですが、Cでは、SADが正常に表示されま
した。Aが鍵交換失敗しているのでIPSec通信はできませんが。

また A <-> B 間で鍵交換なし(racoonなし)鍵固定で接続した場合は、正常
にSAD SPDともに表示され、IPSecの通信が確立されます。

　FreeBSD 11とracoon間に問題があるように思えます。
　portsを最新にしましたがipsec-toolsは8/4のタイムスタンプのままでした。

FreeBSD 11 + ports/ipsec-tools で問題なくIPSec通信できるのでしょうか？
google検索では、FreeBSD11+strongswanでの、事例はヒットします。

In <20170912.114806.696099016890246140.oniuda@oni.gr.jp>
 at Tue, 12 Sep 2017 11:48:06 +0900 (JST)
Re:[ [FreeBSD-users-jp 96112] IPSec on FreeBSD 11.1-RELEASE-p1 ]
 Koh-ichi Oniuda (鬼生田浩一) <oniuda@oni.gr.jp> wrotes:
oniuda> 鬼生田です。
oniuda> 
oniuda> 　/usr/ports/security/ipsec-toolsをFreeBSD 11.1-RELEASE-p1にインストール
oniuda> し、2台のFreeBSD間でIPSec VPNを作ろうとしています。ipsec-toolsはFreeBSD4
oniuda> 時代から、FreeBSD9まで使用し続けているのですが、FreeBSD11では、同じような
oniuda> 設定でつながりません。
oniuda> 
oniuda> racoonのログに以下のエラー(pfkey UPDATE failed: No such process)が記録
oniuda> されます。
oniuda> DEBUG: pk_recv: retry[0] recv()
oniuda> DEBUG: got pfkey UPDATE message
oniuda> ERROR: pfkey UPDATE failed: No such process
oniuda> DEBUG: pk_recv: retry[0] recv()
oniuda> DEBUG: got pfkey ADD message
oniuda> INFO: IPsec-SA established: ESP 192.168.16.3[500]->192.168.16.2[500] spi=40609554(0x26ba712)
oniuda> 
oniuda> また、以下のカーネルメッセージが表示されます。
oniuda> key_acqdone: ACQ 3802949569 is not found.key_acqdone: ACQ 528895646 is not found.key_update: invalid state.
oniuda> key_update: saidx mismatched for SPI 133341799key_add: invalid state.
oniuda> 
oniuda> FreeBSD 9の時は、 pfkey UPDATE failed: No such processのエラーは出ていま
oniuda> せん。
oniuda> 
oniuda> 192.168.16.3 のサーバ側のsetkey
oniuda> # setkey -D
oniuda> 192.168.16.3 192.168.16.2
oniuda>         esp mode=any spi=85290753(0x05156f01) reqid=0(0x00000000)
oniuda>         E: 3des-cbc  1aaa44a3 0895b138 999b20f7 09ba3b7d 55f47cf8 a573bfaa
oniuda>         A: hmac-sha1  2932e89a ca480ba0 87cabbaf 40a67c76 b5768e8c
oniuda>         seq=0x00000000 replay=4 flags=0x00000000 state=mature
oniuda>         created: Sep 12 11:39:02 2017   current: Sep 12 11:39:03 2017
oniuda>         diff: 1(s)      hard: 28800(s)  soft: 23040(s)
oniuda>         last:                           hard: 0(s)      soft: 0(s)
oniuda>         current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
oniuda>         allocated: 0    hard: 0 soft: 0
oniuda>         sadb_seq=1 pid=9023 refcnt=1
oniuda> 192.168.16.2 192.168.16.3
oniuda>         esp mode=tunnel spi=109578375(0x06880887) reqid=0(0x00000000)
oniuda>         seq=0x00000000 replay=0 flags=0x00000000 state=larval
oniuda>         created: Sep 12 11:39:02 2017   current: Sep 12 11:39:03 2017
oniuda>         diff: 1(s)      hard: 0(s)      soft: 0(s)
oniuda>         last:                           hard: 0(s)      soft: 0(s)
oniuda>         current: 0(bytes)       hard: 0(bytes)  soft: 0(bytes)
oniuda>         allocated: 0    hard: 0 soft: 0
oniuda>         sadb_seq=0 pid=9023 refcnt=1
oniuda> 
oniuda> となりSPIの交換ができている様ですが、192.168.16.2 192.168.16.3側の
oniuda> 情報が不十分で
oniuda> 
oniuda> 2017-09-12 11:39:33: ERROR: 192.168.16.2 give up to get IPsec-SA due to time up to wait.
oniuda> 
oniuda> となります。
oniuda> 
oniuda> 以下にも同様の現象があるようです。
oniuda> https://groups.google.com/forum/#!topic/fido7.ru.unix.bsd/YhEK6_50fCs
oniuda> 
oniuda> 対応策ありましたら、ご教授ください。

---
Oniuda