Hi list,<br>
<br>
I established a VPN between a Netgear router and a Openswan(2.3.1-1),<br>
everything works OK but a fragmentation issue that seems to happen on<br>
the OpenSWAN side.<br>
<br>
Here's the network configuration :<br>
<br>
<br>
<br>
&nbsp;&nbsp;
Client1&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
Openswan&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
Netgear
FWAG114&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
Client2<br>
<a href="http://192.168.3.2"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "192.168.3.2" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 192.168.3.2</a> --- <a href="http://192.168.3.252"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "192.168.3.252" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 192.168.3.252</a> (eth1) (eth0) <a href="http://192.168.2.252"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "192.168.2.252" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 192.168.2.252</a> &lt;--&gt;
192.168.2.128(Internet Port) (Lan Port) <a href="http://10.10.250.1"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.1" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.1</a> ---<a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a><br>
<br>
<br>
<br>
I scanned eth0 and eth1 on the openswan server, while pinging Client2<br>
from Client1 with 1472 bytes packets<br>
(greater than the tunnel MTU) to force fragmentation and reassembling<br>
on the two tunnel endpoints.<br>
<br>
What we're expecting to see is openswan fragmenting the ICMP request,<br>
sending it to the netgear that'll reassemble it before transmitting to<br>
Client2,<br>
and symetric on the return.<br>
<br>
This is what we observed for about the first 15 pings that go through<br>
the tunnel.&nbsp; Then the next pings packets are just dropped by openSWAN<br>
instead of<br>
being fragmented.<br>
<br>
OpenSWAN logs don't show any error, and the problem remains on the<br>
OpenSWAN side if we ping Client1 from Client2. The experience was<br>
reproduced again and again with the same results.&nbsp; We also replaced the <br>
tunnel by a classic link, but with low MTU to force fragmention, and it worked ok<br>
so we assume that's really an issue with our OpenSWAN.<br>
<br>
Another strange thing is that sometimes the fragmentation seems to<br>
take a long time, as you can observe below. You will also find our<br>
/etc/ipsec.conf. <br>
<br>
Did one of you encountered such an issue ? How did you you work it around ?<br>
<br>
Thanks for help<br>
<br>
Manu<br>
<br>
<br>
<br>
Example of a ping between clients :<br>
<br>
$ ping -s 1472 -M dont <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a><br>
PING <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a> (<a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>) 1472(1500) bytes of data.<br>
1480 bytes from <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>: icmp_seq=1 ttl=127 time=21.2 ms<br>
1480 bytes from <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>: icmp_seq=2 ttl=127 time=19.4 ms<br>
1480 bytes from <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>: icmp_seq=3 ttl=127 time=19.2 ms<br>
1480 bytes from <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>: icmp_seq=4 ttl=127 time=598 ms&nbsp; &lt;---------<br>
1480 bytes from <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>: icmp_seq=5 ttl=127 time=19.6 ms<br>
1480 bytes from <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>: icmp_seq=6 ttl=127 time=19.4 ms<br>
1480 bytes from <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>: icmp_seq=7 ttl=127 time=18.8 ms<br>
1480 bytes from <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>: icmp_seq=8 ttl=127 time=18.6 ms<br>
1480 bytes from <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>: icmp_seq=9 ttl=127 time=19.0 ms<br>
1480 bytes from <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>: icmp_seq=10 ttl=127 time=1018 ms&nbsp; &lt;-------<br>
1480 bytes from <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>: icmp_seq=11 ttl=127 time=20.3 ms<br>
1480 bytes from <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>: icmp_seq=12 ttl=127 time=19.0 ms<br>
1480 bytes from <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>: icmp_seq=13 ttl=127 time=1018 ms &lt;------<br>
1480 bytes from <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>: icmp_seq=14 ttl=127 time=591 ms &lt;-----<br>
1480 bytes from <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>: icmp_seq=15 ttl=127 time=19.6 ms<br>
1480 bytes from <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a>: icmp_seq=16 ttl=127 time=19.5 ms<br>
<br>
--- <a href="http://10.10.250.10"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.10" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.10</a> ping statistics ---<br>
199 packets transmitted, 16 received, 91% packet loss, time 197983ms<br>
rtt min/avg/max/mdev = 18.628/216.383/1018.966/357.090 ms, pipe 2<br>
<br>
<br>
<br>
<br>
<br>
<br>
Server Configuration :<br>
Debian Sarge, kernel <a href="http://2.6.11.9"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "2.6.11.9" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 2.6.11.9</a><br>
Openswan 2.3.1-1<br>
<br>
/etc/ipsec.conf :<br>
---------------<br>
version 2.0<br>
<br>
# basic configuration<br>
config setup<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; klipsdebug=none<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutodebug=all<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; plutostderrlog=&quot;/var/log/openswan.log&quot;<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; nat_traversal=yes<br>
<br>
conn %default<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; type=tunnel<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; left=<a href="http://192.168.2.252"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "192.168.2.252" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 192.168.2.252</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftnexthop=%defaultroute<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; right=%any<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto=add<br>
<br>
# Add connections here<br>
conn net2net<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; keyexchange=ike<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; authby=secret<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auth=esp<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; pfs=yes<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rekey=yes<br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftid=<a href="mailto:vpnserver@hotbox.ibrowse.com">vpnserver@hotbox.ibrowse.com</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; leftsubnet=<a href="http://0.0.0.0/0"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "0.0.0.0" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 0.0.0.0/0</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightid=<a href="mailto:office@hotbox.ibrowse.com">office@hotbox.ibrowse.com</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; rightsubnet=<a href="http://10.10.250.0/24"></b></font><font color="red"><b>MailScanner has detected a possible fraud attempt from "10.10.250.0" claiming to be</b></font> <font color="red"><b>MailScanner warning: numerical links are often malicious: 10.10.250.0/24</a><br>
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; auto=add<br>
<br>
#Disable Opportunistic Encryption<br>
include /etc/ipsec.d/examples/no_oe.conf<br>
<br><br>-- <br>Emmanuel ROGER<br>Master Pro
R.A.D.I&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;
[Please no HTML, I'm not a browser]<br>University Of Caen (France)&nbsp;&nbsp; [Pas d'HTML, je ne suis pas un navigateur]<br>