IPsec NAT-Traversal - UDP Port 4500

[David001]

Liebe BSDForen-User,

nach der Installation von OpenBSD 4.4 vom USB-Stick auf mein Lenovo S10 hieß es gleich mal: alle Schotten dicht machen. Habe soweit alle Ports zu, bis auf einen, nämlich UDP 4500, der mittels 'netstat' nicht erscheint, aber bei einem Nmap-Scan 'open|filtered' ist und als Service 'sae-urn' erscheint.

Nun google ich schon seit ein paar Tagen, und finde super Tuts über das Einrichten von NAT-T und IPsec, jedoch erhalte ich nirgends die Info, wie ich den Port schliessen kann. Komischerweise wird mittels 'ps waux' auch kein Dämon angezeigt, der für den offenen Port verantwortlich sein könnte. In '/etc/services' ist auf dem Port als 'service ipsec-nat 4500/udp ipsec-msft (IPsec NAT-Traversal)' angegeben.

Laut der man-page von 'isakmpd' *sollte* das Flag '-T' ausreichen, um NAT-T zu disablen. Leider hat das auch nicht den gewünschten Erfolg erzielt.

Folgende Flags habe ich in '/etc/rc.conf' gesetzt:

isakmpd_flags="T"
inetd=NO
ipsec=NO
pf=NO
ipfilter=NO
ipnat=NO
pflogd_flags=NO
pf_rules=NO
ipsec_rules=NO

In '/etc/rc' habe ich in der Where-Bedingung wo "pf != 'NO'" ist, 'pfctl -e' auf 'pfctl -d' gesetzt. Da in '/etc/rc.conf' jedoch 'pf=NO' gesetzt ist, sollte das eigentlich nicht nötig sein.

Hatte vor ein paar Jahren OpenBSD 3.8 installiert, und da war der Port defaultmäßig nicht offen, in der Version 4.4 jedoch schon. Vielleicht muss der Kernel ja neu gebacken werden mit bestimmten Optionen drin!?

Hab nun so einige Sachen ausprobiert, steh nun jedoch leider an...


Mit freundlichen Grüßen,


David

 

[kili]

Vorweg: bitte mal die FAQ lesen (http://www.openbsd.org/faq/faq4.html).

nach der Installation von OpenBSD 4.4 vom USB-Stick

Was fuer ein USB-Stick? Wo hast Du den her, was ist da drauf, woher hast Du das OpenBSD, das auf dem USB-Stick ist?

auf mein Lenovo S10 hieß es gleich mal: alle Schotten dicht machen....

Bei OpenBSD muss man nicht alle Schotten dicht machen, das ist per Default schon so. Wenn man natuerlich seine Installation derart schreddert, wie Du es geschafft hast, sind anschliessend eher alle Schotten auf.

Laut der man-page von 'isakmpd' *sollte* das Flag '-T' ausreichen, um NAT-T zu disablen. Leider hat das auch nicht den gewünschten Erfolg erzielt.

Weil Du zum einen nur ein "T" (ohne das "-" davor) spendiert hast, und vor allem, weil du zum anderen /etc/rc.conf voellig vergeigt hast:

isakmpd_flags="T"
inetd=NO
ipsec=NO
pf=NO
ipfilter=NO
ipnat=NO
pflogd_flags=NO
pf_rules=NO
ipsec_rules=NO

Abgesehen davon, dass /etc/rc.conf grundsaetzlich ueberhaupt nicht angefasst werden sollte, hast Du isakmpd (und noch einige andere Daemons) enabled, aber gleichzeitig ipsec disabled. Das ist Unfug. Ebenso sind ipfilter und ipnat komplett ueberfluessig, das gibt's unter OpenBSD ueberhaupt nicht. pflogd_flags, pf_rules und ipsec_rules auf "NO" zu setzen ist ebenfalls grenzwertig, die stehen, wenn ueberhaupt, Flags bzw. Filenamen drin.

Wo hast Du die /etc/rc.conf her?

In '/etc/rc' habe ich...

... nichts zu aendern. /etc/rc wird nicht angefasst, solange man nicht sehr genau weiss, was man tut.

Hatte vor ein paar Jahren OpenBSD 3.8 installiert, und da war der Port defaultmäßig nicht offen, in der Version 4.4 jedoch schon. Vielleicht muss der Kernel ja neu gebacken werden mit bestimmten Optionen drin!?

Nein. Das ist kein Linux und auch kein FreeBSD. Einen speziell konfigurierten Kern braucht man nur in ganz seltenen Faellen.

 

[Kamikaze]

Nein. Das ist kein Linux und auch kein FreeBSD. Einen speziell konfigurierten Kern braucht man nur in ganz seltenen Faellen.

Ich kann's mir nicht verkneifen hier anzumerken, dass es in FreeBSD auch selten Sinn macht einen eigenen Kernel zu backen. Wir machen das nur aus Gewohnheit und Experimentierfreude so.

 

[mark05]

hi

wenn der isakmpd laeuft hast du automatisch nat-t port 4500 offen und
port 500.

holger