upgraded ipv6 scenarios to 5.0.0
authorAndreas Steffen <andreas.steffen@strongswan.org>
Tue, 29 May 2012 21:40:01 +0000 (23:40 +0200)
committerAndreas Steffen <andreas.steffen@strongswan.org>
Tue, 29 May 2012 21:40:01 +0000 (23:40 +0200)
121 files changed:
testing/tests/ipv6/host2host-ikev1/evaltest.dat
testing/tests/ipv6/host2host-ikev1/hosts/moon/etc/init.d/iptables
testing/tests/ipv6/host2host-ikev1/hosts/moon/etc/ipsec.conf
testing/tests/ipv6/host2host-ikev1/hosts/moon/etc/strongswan.conf [new file with mode: 0644]
testing/tests/ipv6/host2host-ikev1/hosts/sun/etc/init.d/iptables
testing/tests/ipv6/host2host-ikev1/hosts/sun/etc/ipsec.conf
testing/tests/ipv6/host2host-ikev1/hosts/sun/etc/strongswan.conf [new file with mode: 0644]
testing/tests/ipv6/host2host-ikev1/pretest.dat
testing/tests/ipv6/host2host-ikev2/evaltest.dat
testing/tests/ipv6/host2host-ikev2/hosts/moon/etc/ipsec.conf
testing/tests/ipv6/host2host-ikev2/hosts/moon/etc/strongswan.conf
testing/tests/ipv6/host2host-ikev2/hosts/sun/etc/ipsec.conf
testing/tests/ipv6/host2host-ikev2/hosts/sun/etc/strongswan.conf
testing/tests/ipv6/net2net-ikev1/evaltest.dat
testing/tests/ipv6/net2net-ikev1/hosts/moon/etc/init.d/iptables
testing/tests/ipv6/net2net-ikev1/hosts/moon/etc/ipsec.conf
testing/tests/ipv6/net2net-ikev1/hosts/moon/etc/strongswan.conf [new file with mode: 0644]
testing/tests/ipv6/net2net-ikev1/hosts/sun/etc/init.d/iptables
testing/tests/ipv6/net2net-ikev1/hosts/sun/etc/ipsec.conf
testing/tests/ipv6/net2net-ikev1/hosts/sun/etc/strongswan.conf [new file with mode: 0644]
testing/tests/ipv6/net2net-ikev1/pretest.dat
testing/tests/ipv6/net2net-ikev2/evaltest.dat
testing/tests/ipv6/net2net-ikev2/hosts/moon/etc/ipsec.conf
testing/tests/ipv6/net2net-ikev2/hosts/moon/etc/strongswan.conf
testing/tests/ipv6/net2net-ikev2/hosts/sun/etc/ipsec.conf
testing/tests/ipv6/net2net-ikev2/hosts/sun/etc/strongswan.conf
testing/tests/ipv6/net2net-ip4-in-ip6-ikev1/evaltest.dat
testing/tests/ipv6/net2net-ip4-in-ip6-ikev1/hosts/moon/etc/init.d/iptables
testing/tests/ipv6/net2net-ip4-in-ip6-ikev1/hosts/moon/etc/ipsec.conf
testing/tests/ipv6/net2net-ip4-in-ip6-ikev1/hosts/moon/etc/strongswan.conf [new file with mode: 0644]
testing/tests/ipv6/net2net-ip4-in-ip6-ikev1/hosts/sun/etc/init.d/iptables
testing/tests/ipv6/net2net-ip4-in-ip6-ikev1/hosts/sun/etc/ipsec.conf
testing/tests/ipv6/net2net-ip4-in-ip6-ikev1/hosts/sun/etc/strongswan.conf [new file with mode: 0644]
testing/tests/ipv6/net2net-ip4-in-ip6-ikev1/posttest.dat
testing/tests/ipv6/net2net-ip4-in-ip6-ikev1/pretest.dat
testing/tests/ipv6/net2net-ip4-in-ip6-ikev2/evaltest.dat
testing/tests/ipv6/net2net-ip4-in-ip6-ikev2/hosts/moon/etc/ipsec.conf
testing/tests/ipv6/net2net-ip4-in-ip6-ikev2/hosts/moon/etc/strongswan.conf
testing/tests/ipv6/net2net-ip4-in-ip6-ikev2/hosts/sun/etc/ipsec.conf
testing/tests/ipv6/net2net-ip4-in-ip6-ikev2/hosts/sun/etc/strongswan.conf
testing/tests/ipv6/net2net-ip6-in-ip4-ikev1/evaltest.dat
testing/tests/ipv6/net2net-ip6-in-ip4-ikev1/hosts/moon/etc/init.d/iptables
testing/tests/ipv6/net2net-ip6-in-ip4-ikev1/hosts/moon/etc/ipsec.conf
testing/tests/ipv6/net2net-ip6-in-ip4-ikev1/hosts/moon/etc/strongswan.conf
testing/tests/ipv6/net2net-ip6-in-ip4-ikev1/hosts/sun/etc/init.d/iptables
testing/tests/ipv6/net2net-ip6-in-ip4-ikev1/hosts/sun/etc/ipsec.conf
testing/tests/ipv6/net2net-ip6-in-ip4-ikev1/hosts/sun/etc/strongswan.conf
testing/tests/ipv6/net2net-ip6-in-ip4-ikev1/posttest.dat
testing/tests/ipv6/net2net-ip6-in-ip4-ikev1/pretest.dat
testing/tests/ipv6/net2net-ip6-in-ip4-ikev2/evaltest.dat
testing/tests/ipv6/net2net-ip6-in-ip4-ikev2/hosts/moon/etc/ipsec.conf
testing/tests/ipv6/net2net-ip6-in-ip4-ikev2/hosts/moon/etc/strongswan.conf
testing/tests/ipv6/net2net-ip6-in-ip4-ikev2/hosts/sun/etc/ipsec.conf
testing/tests/ipv6/net2net-ip6-in-ip4-ikev2/hosts/sun/etc/strongswan.conf
testing/tests/ipv6/net2net-rfc3779-ikev2/evaltest.dat
testing/tests/ipv6/net2net-rfc3779-ikev2/hosts/moon/etc/ipsec.conf
testing/tests/ipv6/net2net-rfc3779-ikev2/hosts/moon/etc/strongswan.conf
testing/tests/ipv6/net2net-rfc3779-ikev2/hosts/sun/etc/ipsec.conf
testing/tests/ipv6/net2net-rfc3779-ikev2/hosts/sun/etc/strongswan.conf
testing/tests/ipv6/rw-ikev1/description.txt
testing/tests/ipv6/rw-ikev1/evaltest.dat
testing/tests/ipv6/rw-ikev1/hosts/carol/etc/init.d/iptables
testing/tests/ipv6/rw-ikev1/hosts/carol/etc/ipsec.conf
testing/tests/ipv6/rw-ikev1/hosts/carol/etc/strongswan.conf [new file with mode: 0644]
testing/tests/ipv6/rw-ikev1/hosts/dave/etc/init.d/iptables [new file with mode: 0755]
testing/tests/ipv6/rw-ikev1/hosts/dave/etc/ipsec.conf [new file with mode: 0755]
testing/tests/ipv6/rw-ikev1/hosts/dave/etc/strongswan.conf [new file with mode: 0644]
testing/tests/ipv6/rw-ikev1/hosts/moon/etc/init.d/iptables
testing/tests/ipv6/rw-ikev1/hosts/moon/etc/ipsec.conf
testing/tests/ipv6/rw-ikev1/hosts/moon/etc/strongswan.conf [new file with mode: 0644]
testing/tests/ipv6/rw-ikev1/posttest.dat
testing/tests/ipv6/rw-ikev1/pretest.dat
testing/tests/ipv6/rw-ikev1/test.conf
testing/tests/ipv6/rw-ikev2/evaltest.dat
testing/tests/ipv6/rw-ikev2/hosts/carol/etc/ipsec.conf
testing/tests/ipv6/rw-ikev2/hosts/carol/etc/strongswan.conf
testing/tests/ipv6/rw-ikev2/hosts/dave/etc/ipsec.conf
testing/tests/ipv6/rw-ikev2/hosts/dave/etc/strongswan.conf
testing/tests/ipv6/rw-ikev2/hosts/moon/etc/ipsec.conf
testing/tests/ipv6/rw-ikev2/hosts/moon/etc/strongswan.conf
testing/tests/ipv6/rw-psk-ikev1/description.txt
testing/tests/ipv6/rw-psk-ikev1/evaltest.dat
testing/tests/ipv6/rw-psk-ikev1/hosts/carol/etc/init.d/iptables
testing/tests/ipv6/rw-psk-ikev1/hosts/carol/etc/ipsec.conf
testing/tests/ipv6/rw-psk-ikev1/hosts/carol/etc/ipsec.secrets
testing/tests/ipv6/rw-psk-ikev1/hosts/carol/etc/strongswan.conf [new file with mode: 0644]
testing/tests/ipv6/rw-psk-ikev1/hosts/dave/etc/init.d/iptables [new file with mode: 0755]
testing/tests/ipv6/rw-psk-ikev1/hosts/dave/etc/ipsec.conf [new file with mode: 0755]
testing/tests/ipv6/rw-psk-ikev1/hosts/dave/etc/ipsec.secrets [new file with mode: 0644]
testing/tests/ipv6/rw-psk-ikev1/hosts/dave/etc/strongswan.conf [new file with mode: 0644]
testing/tests/ipv6/rw-psk-ikev1/hosts/moon/etc/init.d/iptables
testing/tests/ipv6/rw-psk-ikev1/hosts/moon/etc/ipsec.conf
testing/tests/ipv6/rw-psk-ikev1/hosts/moon/etc/ipsec.secrets
testing/tests/ipv6/rw-psk-ikev1/hosts/moon/etc/strongswan.conf [new file with mode: 0644]
testing/tests/ipv6/rw-psk-ikev1/posttest.dat
testing/tests/ipv6/rw-psk-ikev1/pretest.dat
testing/tests/ipv6/rw-psk-ikev1/test.conf
testing/tests/ipv6/rw-psk-ikev2/evaltest.dat
testing/tests/ipv6/rw-psk-ikev2/hosts/carol/etc/strongswan.conf
testing/tests/ipv6/rw-psk-ikev2/hosts/dave/etc/strongswan.conf
testing/tests/ipv6/rw-psk-ikev2/hosts/moon/etc/strongswan.conf
testing/tests/ipv6/rw-rfc3779-ikev2/evaltest.dat
testing/tests/ipv6/rw-rfc3779-ikev2/hosts/carol/etc/ipsec.conf
testing/tests/ipv6/rw-rfc3779-ikev2/hosts/carol/etc/strongswan.conf
testing/tests/ipv6/rw-rfc3779-ikev2/hosts/dave/etc/ipsec.conf
testing/tests/ipv6/rw-rfc3779-ikev2/hosts/dave/etc/strongswan.conf
testing/tests/ipv6/rw-rfc3779-ikev2/hosts/moon/etc/ipsec.conf
testing/tests/ipv6/rw-rfc3779-ikev2/hosts/moon/etc/strongswan.conf
testing/tests/ipv6/transport-ikev1/evaltest.dat
testing/tests/ipv6/transport-ikev1/hosts/moon/etc/init.d/iptables
testing/tests/ipv6/transport-ikev1/hosts/moon/etc/ipsec.conf
testing/tests/ipv6/transport-ikev1/hosts/moon/etc/strongswan.conf [new file with mode: 0644]
testing/tests/ipv6/transport-ikev1/hosts/sun/etc/init.d/iptables
testing/tests/ipv6/transport-ikev1/hosts/sun/etc/ipsec.conf
testing/tests/ipv6/transport-ikev1/hosts/sun/etc/strongswan.conf [new file with mode: 0644]
testing/tests/ipv6/transport-ikev1/pretest.dat
testing/tests/ipv6/transport-ikev2/evaltest.dat
testing/tests/ipv6/transport-ikev2/hosts/moon/etc/ipsec.conf
testing/tests/ipv6/transport-ikev2/hosts/moon/etc/strongswan.conf
testing/tests/ipv6/transport-ikev2/hosts/sun/etc/ipsec.conf
testing/tests/ipv6/transport-ikev2/hosts/sun/etc/strongswan.conf

index 62fc859..186ce4e 100644 (file)
@@ -1,5 +1,7 @@
-moon::ipsec status::host-host.*STATE_QUICK_I2.*IPsec SA established::YES
-sun::ipsec status::host-host.*STATE_QUICK_R2.*IPsec SA established::YES
+moon::ipsec status 2> /dev/null::net-net.*ESTABLISHED.*moon.strongswan.org.*sun.strongswan.org::YES
+sun:: ipsec status 2> /dev/null::net-net.*ESTABLISHED.*sun.strongswan.org.*moon.strongswan.org::YES
+moon::ipsec status 2> /dev/null::host-host.*INSTALLED, TUNNEL::YES
+sun:: ipsec status 2> /dev/null::host-host.*INSTALLED, TUNNEL::YES
 moon::ping6 -c 1 -p deadbeef ip6-sun.strongswan.org::64 bytes from ip6-sun.strongswan.org: icmp_seq=1::YES
 sun::tcpdump::IP6 ip6-moon.strongswan.org > ip6-sun.strongswan.org: ESP::YES
 sun::tcpdump::IP6 ip6-sun.strongswan.org > ip6-moon.strongswan.org: ESP::YES
index 521d1ce..47db6db 100755 (executable)
@@ -45,14 +45,22 @@ start() {
        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
 
-       # allow crl fetch from winnetou
-       iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
-       iptables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP_WINNETOU -j ACCEPT
+       # allow last IPv6 UDP fragments
+       ip6tables -A INPUT  -p udp -m frag --fraglast -j ACCEPT
+       ip6tables -A OUTPUT -p udp -m frag --fraglast -j ACCEPT
+
+       # allow crl and certificate fetch from winnetou
+       ip6tables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP6_WINNETOU -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP6_WINNETOU -j ACCEPT
 
        # allow ssh
        iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 
+       # log dropped packets
+       ip6tables -A INPUT  -j LOG --log-prefix " IN: "
+       ip6tables -A OUTPUT -j LOG --log-prefix " OUT: "
+
        eend $?
 }
 
index 9940e81..3c0fc69 100755 (executable)
@@ -1,10 +1,13 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       plutodebug=control
-       crlcheckinterval=180
-       strictcrlpolicy=no
-       charonstart=no
+       plutostart=no
+
+ca strongswan
+       cacert=strongswanCert.pem
+       certuribase=http://ip6-winnetou.strongswan.org/certs/
+       crluri=http://ip6-winnetou.strongswan.org/strongswan.crl
+       auto=add
 
 conn %default
        ikelifetime=60m
@@ -26,3 +29,4 @@ conn host-host
        right=PH_IP6_SUN
        rightid=@sun.strongswan.org
        auto=add
+
diff --git a/testing/tests/ipv6/host2host-ikev1/hosts/moon/etc/strongswan.conf b/testing/tests/ipv6/host2host-ikev1/hosts/moon/etc/strongswan.conf
new file mode 100644 (file)
index 0000000..5ef523e
--- /dev/null
@@ -0,0 +1,6 @@
+# /etc/strongswan.conf - strongSwan configuration file
+
+charon {
+  hash_and_url = yes
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
+}
index 521d1ce..47db6db 100755 (executable)
@@ -45,14 +45,22 @@ start() {
        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
 
-       # allow crl fetch from winnetou
-       iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
-       iptables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP_WINNETOU -j ACCEPT
+       # allow last IPv6 UDP fragments
+       ip6tables -A INPUT  -p udp -m frag --fraglast -j ACCEPT
+       ip6tables -A OUTPUT -p udp -m frag --fraglast -j ACCEPT
+
+       # allow crl and certificate fetch from winnetou
+       ip6tables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP6_WINNETOU -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP6_WINNETOU -j ACCEPT
 
        # allow ssh
        iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 
+       # log dropped packets
+       ip6tables -A INPUT  -j LOG --log-prefix " IN: "
+       ip6tables -A OUTPUT -j LOG --log-prefix " OUT: "
+
        eend $?
 }
 
index 016adc0..f71e38e 100755 (executable)
@@ -1,10 +1,13 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       plutodebug=control
-       crlcheckinterval=180
-       strictcrlpolicy=no
-       charonstart=no
+       plutostart=no
+
+ca strongswan
+       cacert=strongswanCert.pem
+       certuribase=http://ip6-winnetou.strongswan.org/certs/
+       crluri=http://ip6-winnetou.strongswan.org/strongswan.crl
+       auto=add
 
 conn %default
        ikelifetime=60m
diff --git a/testing/tests/ipv6/host2host-ikev1/hosts/sun/etc/strongswan.conf b/testing/tests/ipv6/host2host-ikev1/hosts/sun/etc/strongswan.conf
new file mode 100644 (file)
index 0000000..5ef523e
--- /dev/null
@@ -0,0 +1,6 @@
+# /etc/strongswan.conf - strongSwan configuration file
+
+charon {
+  hash_and_url = yes
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
+}
index 3536fd8..7e97e77 100644 (file)
@@ -4,3 +4,4 @@ moon::ipsec start
 sun::ipsec start
 moon::sleep 2 
 moon::ipsec up host-host
+moon::sleep 1
index e658398..186ce4e 100644 (file)
@@ -1,5 +1,7 @@
-moon::ipsec status::host-host.*INSTALLED::YES
-sun::ipsec status::host-host.*INSTALLED::YES
+moon::ipsec status 2> /dev/null::net-net.*ESTABLISHED.*moon.strongswan.org.*sun.strongswan.org::YES
+sun:: ipsec status 2> /dev/null::net-net.*ESTABLISHED.*sun.strongswan.org.*moon.strongswan.org::YES
+moon::ipsec status 2> /dev/null::host-host.*INSTALLED, TUNNEL::YES
+sun:: ipsec status 2> /dev/null::host-host.*INSTALLED, TUNNEL::YES
 moon::ping6 -c 1 -p deadbeef ip6-sun.strongswan.org::64 bytes from ip6-sun.strongswan.org: icmp_seq=1::YES
 sun::tcpdump::IP6 ip6-moon.strongswan.org > ip6-sun.strongswan.org: ESP::YES
 sun::tcpdump::IP6 ip6-sun.strongswan.org > ip6-moon.strongswan.org: ESP::YES
index 930ae57..f8f4568 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       strictcrlpolicy=no
-       crlcheckinterval=180
        plutostart=no
 
 ca strongswan
index d934984..5ef523e 100644 (file)
@@ -2,5 +2,5 @@
 
 charon {
   hash_and_url = yes
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
 }
index d7653f1..a447952 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       strictcrlpolicy=no
-       crlcheckinterval=180
        plutostart=no
 
 ca strongswan
index d934984..5ef523e 100644 (file)
@@ -2,5 +2,5 @@
 
 charon {
   hash_and_url = yes
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
 }
index 459b0a6..4cf23a3 100644 (file)
@@ -1,5 +1,7 @@
-moon::ipsec status::net-net.*STATE_QUICK_I2.*IPsec SA established::YES
-sun::ipsec status::net-net.*STATE_QUICK_R2.*IPsec SA established::YES
+moon:: ipsec status 2> /dev/null::net-net.*ESTABLISHED.*moon.strongswan.org.*sun.strongswan.org::YES
+sun::  ipsec status 2> /dev/null::net-net.*ESTABLISHED.*sun.strongswan.org.*moon.strongswan.org::YES
+moon:: ipsec status 2> /dev/null::net-net.*INSTALLED, TUNNEL::YES
+sun::  ipsec status 2> /dev/null::net.net.*INSTALLED, TUNNEL::YES
 alice::ping6 -c 1 -p deadbeef ip6-bob.strongswan.org::64 bytes from ip6-bob.strongswan.org: icmp_seq=1::YES
 sun::tcpdump::IP6 ip6-moon.strongswan.org > ip6-sun.strongswan.org: ESP::YES
 sun::tcpdump::IP6 ip6-sun.strongswan.org > ip6-moon.strongswan.org: ESP::YES
index 521d1ce..47db6db 100755 (executable)
@@ -45,14 +45,22 @@ start() {
        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
 
-       # allow crl fetch from winnetou
-       iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
-       iptables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP_WINNETOU -j ACCEPT
+       # allow last IPv6 UDP fragments
+       ip6tables -A INPUT  -p udp -m frag --fraglast -j ACCEPT
+       ip6tables -A OUTPUT -p udp -m frag --fraglast -j ACCEPT
+
+       # allow crl and certificate fetch from winnetou
+       ip6tables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP6_WINNETOU -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP6_WINNETOU -j ACCEPT
 
        # allow ssh
        iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 
+       # log dropped packets
+       ip6tables -A INPUT  -j LOG --log-prefix " IN: "
+       ip6tables -A OUTPUT -j LOG --log-prefix " OUT: "
+
        eend $?
 }
 
index bb96a71..b4244f4 100755 (executable)
@@ -1,10 +1,13 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       plutodebug=control
-       crlcheckinterval=180
-       strictcrlpolicy=no
-       charonstart=no
+       plutostart=no
+
+ca strongswan
+       cacert=strongswanCert.pem
+       certuribase=http://ip6-winnetou.strongswan.org/certs/
+       crluri=http://ip6-winnetou.strongswan.org/strongswan.crl
+       auto=add
 
 conn %default
        ikelifetime=60m
@@ -26,4 +29,3 @@ conn host-host
        right=PH_IP6_SUN
        rightid=@sun.strongswan.org
        auto=add
-
diff --git a/testing/tests/ipv6/net2net-ikev1/hosts/moon/etc/strongswan.conf b/testing/tests/ipv6/net2net-ikev1/hosts/moon/etc/strongswan.conf
new file mode 100644 (file)
index 0000000..ca23c69
--- /dev/null
@@ -0,0 +1,5 @@
+# /etc/strongswan.conf - strongSwan configuration file
+
+charon {
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
+}
index 521d1ce..47db6db 100755 (executable)
@@ -45,14 +45,22 @@ start() {
        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
 
-       # allow crl fetch from winnetou
-       iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
-       iptables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP_WINNETOU -j ACCEPT
+       # allow last IPv6 UDP fragments
+       ip6tables -A INPUT  -p udp -m frag --fraglast -j ACCEPT
+       ip6tables -A OUTPUT -p udp -m frag --fraglast -j ACCEPT
+
+       # allow crl and certificate fetch from winnetou
+       ip6tables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP6_WINNETOU -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP6_WINNETOU -j ACCEPT
 
        # allow ssh
        iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 
+       # log dropped packets
+       ip6tables -A INPUT  -j LOG --log-prefix " IN: "
+       ip6tables -A OUTPUT -j LOG --log-prefix " OUT: "
+
        eend $?
 }
 
index 016adc0..f71e38e 100755 (executable)
@@ -1,10 +1,13 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       plutodebug=control
-       crlcheckinterval=180
-       strictcrlpolicy=no
-       charonstart=no
+       plutostart=no
+
+ca strongswan
+       cacert=strongswanCert.pem
+       certuribase=http://ip6-winnetou.strongswan.org/certs/
+       crluri=http://ip6-winnetou.strongswan.org/strongswan.crl
+       auto=add
 
 conn %default
        ikelifetime=60m
diff --git a/testing/tests/ipv6/net2net-ikev1/hosts/sun/etc/strongswan.conf b/testing/tests/ipv6/net2net-ikev1/hosts/sun/etc/strongswan.conf
new file mode 100644 (file)
index 0000000..ca23c69
--- /dev/null
@@ -0,0 +1,5 @@
+# /etc/strongswan.conf - strongSwan configuration file
+
+charon {
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
+}
index e360bfb..8a8af2c 100644 (file)
@@ -8,3 +8,4 @@ moon::ipsec start
 sun::ipsec start
 moon::sleep 2 
 moon::ipsec up net-net
+moon::sleep 1
index 1b4e7c8..4cf23a3 100644 (file)
@@ -1,5 +1,7 @@
-moon::ipsec status::net-net.*INSTALLED::YES
-sun::ipsec status::net.net.*INSTALLED::YES
+moon:: ipsec status 2> /dev/null::net-net.*ESTABLISHED.*moon.strongswan.org.*sun.strongswan.org::YES
+sun::  ipsec status 2> /dev/null::net-net.*ESTABLISHED.*sun.strongswan.org.*moon.strongswan.org::YES
+moon:: ipsec status 2> /dev/null::net-net.*INSTALLED, TUNNEL::YES
+sun::  ipsec status 2> /dev/null::net.net.*INSTALLED, TUNNEL::YES
 alice::ping6 -c 1 -p deadbeef ip6-bob.strongswan.org::64 bytes from ip6-bob.strongswan.org: icmp_seq=1::YES
 sun::tcpdump::IP6 ip6-moon.strongswan.org > ip6-sun.strongswan.org: ESP::YES
 sun::tcpdump::IP6 ip6-sun.strongswan.org > ip6-moon.strongswan.org: ESP::YES
index 155cf1d..9c1bedb 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       strictcrlpolicy=no
-       crlcheckinterval=180
        plutostart=no
 
 ca strongswan
index d934984..5ef523e 100644 (file)
@@ -2,5 +2,5 @@
 
 charon {
   hash_and_url = yes
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
 }
index 09abc7b..2edf75f 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       strictcrlpolicy=no
-       crlcheckinterval=180
        plutostart=no
 
 ca strongswan
index d934984..5ef523e 100644 (file)
@@ -2,5 +2,5 @@
 
 charon {
   hash_and_url = yes
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
 }
index 077899e..3b32004 100644 (file)
@@ -1,5 +1,7 @@
-moon::ipsec status::net-net.*STATE_QUICK_I2.*IPsec SA established::YES
-sun::ipsec status::net.net.*STATE_QUICK_R2.*IPsec SA established::YES
+moon:: ipsec status 2> /dev/null::net-net.*ESTABLISHED.*moon.strongswan.org.*sun.strongswan.org::YES
+sun::  ipsec status 2> /dev/null::net.net.*ESTABLISHED.*sun.strongswan.org.*moon.strongswan.org::YES
+moon:: ipsec status 2> /dev/null::net-net.*INSTALLED, TUNNEL::YES
+sun::  ipsec status 2> /dev/null::net.net.*INSTALLED, TUNNEL::YES
 alice::ping -c 1 PH_IP_BOB::64 bytes from PH_IP_BOB: icmp_seq=1::YES
 sun::tcpdump::IP6 ip6-moon.strongswan.org > ip6-sun.strongswan.org: ESP::YES
 sun::tcpdump::IP6 ip6-sun.strongswan.org > ip6-moon.strongswan.org: ESP::YES
index 25074a0..47db6db 100755 (executable)
@@ -37,9 +37,6 @@ start() {
        ip6tables -A INPUT  -i eth0 -p udp --sport 4500 --dport 4500 -j ACCEPT
        ip6tables -A OUTPUT -o eth0 -p udp --dport 4500 --sport 4500 -j ACCEPT
 
-       # allow last UDP fragment
-       ip6tables -A INPUT -i eth0 -p udp -m frag --fraglast -j ACCEPT
-
        # allow ICMPv6 neighbor-solicitations
        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
@@ -48,9 +45,13 @@ start() {
        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
 
-       # allow crl fetch from winnetou
-       iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
-       iptables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP_WINNETOU -j ACCEPT
+       # allow last IPv6 UDP fragments
+       ip6tables -A INPUT  -p udp -m frag --fraglast -j ACCEPT
+       ip6tables -A OUTPUT -p udp -m frag --fraglast -j ACCEPT
+
+       # allow crl and certificate fetch from winnetou
+       ip6tables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP6_WINNETOU -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP6_WINNETOU -j ACCEPT
 
        # allow ssh
        iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
index 1781313..758c8f8 100755 (executable)
@@ -1,10 +1,13 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       strictcrlpolicy=no
-       crlcheckinterval=180
-       charonstart=no
-       plutodebug=control
+       plutostart=no
+
+ca strongswan
+       cacert=strongswanCert.pem
+       certuribase=http://ip6-winnetou.strongswan.org/certs/
+       crluri=http://ip6-winnetou.strongswan.org/strongswan.crl
+       auto=add
 
 conn %default
        ikelifetime=60m
@@ -12,7 +15,6 @@ conn %default
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev1
-       mobike=no
 
 conn net-net
        also=host-host
@@ -23,6 +25,7 @@ conn host-host
        left=PH_IP6_MOON
        leftcert=moonCert.pem
        leftid=@moon.strongswan.org
+       leftfirewall=yes
        right=PH_IP6_SUN
        rightid=@sun.strongswan.org
        auto=add
diff --git a/testing/tests/ipv6/net2net-ip4-in-ip6-ikev1/hosts/moon/etc/strongswan.conf b/testing/tests/ipv6/net2net-ip4-in-ip6-ikev1/hosts/moon/etc/strongswan.conf
new file mode 100644 (file)
index 0000000..ca23c69
--- /dev/null
@@ -0,0 +1,5 @@
+# /etc/strongswan.conf - strongSwan configuration file
+
+charon {
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
+}
index 25074a0..47db6db 100755 (executable)
@@ -37,9 +37,6 @@ start() {
        ip6tables -A INPUT  -i eth0 -p udp --sport 4500 --dport 4500 -j ACCEPT
        ip6tables -A OUTPUT -o eth0 -p udp --dport 4500 --sport 4500 -j ACCEPT
 
-       # allow last UDP fragment
-       ip6tables -A INPUT -i eth0 -p udp -m frag --fraglast -j ACCEPT
-
        # allow ICMPv6 neighbor-solicitations
        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
@@ -48,9 +45,13 @@ start() {
        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
 
-       # allow crl fetch from winnetou
-       iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
-       iptables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP_WINNETOU -j ACCEPT
+       # allow last IPv6 UDP fragments
+       ip6tables -A INPUT  -p udp -m frag --fraglast -j ACCEPT
+       ip6tables -A OUTPUT -p udp -m frag --fraglast -j ACCEPT
+
+       # allow crl and certificate fetch from winnetou
+       ip6tables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP6_WINNETOU -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP6_WINNETOU -j ACCEPT
 
        # allow ssh
        iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
index 2caf091..4f3fd09 100755 (executable)
@@ -1,10 +1,13 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       strictcrlpolicy=no
-       crlcheckinterval=180
-       charonstart=no
-       plutodebug=control
+       plutostart=no
+
+ca strongswan
+       cacert=strongswanCert.pem
+       certuribase=http://ip6-winnetou.strongswan.org/certs/
+       crluri=http://ip6-winnetou.org/strongswan.crl
+       auto=add
 
 conn %default
        ikelifetime=60m
@@ -12,7 +15,6 @@ conn %default
        rekeymargin=3m
        keyingtries=1
        keyexchange=ikev1
-       mobike=no
 
 conn net-net
        also=host-host
@@ -23,6 +25,7 @@ conn host-host
        left=PH_IP6_SUN
        leftcert=sunCert.pem
        leftid=@sun.strongswan.org
+       leftfirewall=yes
        right=PH_IP6_MOON
        rightid=@moon.strongswan.org
        auto=add
diff --git a/testing/tests/ipv6/net2net-ip4-in-ip6-ikev1/hosts/sun/etc/strongswan.conf b/testing/tests/ipv6/net2net-ip4-in-ip6-ikev1/hosts/sun/etc/strongswan.conf
new file mode 100644 (file)
index 0000000..ca23c69
--- /dev/null
@@ -0,0 +1,5 @@
+# /etc/strongswan.conf - strongSwan configuration file
+
+charon {
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
+}
index dff1817..5a9150b 100644 (file)
@@ -1,2 +1,4 @@
 moon::ipsec stop
 sun::ipsec stop
+moon::/etc/init.d/iptables stop 2> /dev/null
+sun::/etc/init.d/iptables stop 2> /dev/null
index a96b719..a88456d 100644 (file)
@@ -1,5 +1,5 @@
-moon::echo 1 > /proc/sys/net/ipv4/ip_forward
-sun::echo 1 > /proc/sys/net/ipv4/ip_forward
+moon::/etc/init.d/iptables start 2> /dev/null
+sun::/etc/init.d/iptables start 2> /dev/null
 moon::ipsec start
 sun::ipsec start
 moon::sleep 2 
index 76c138e..3b32004 100644 (file)
@@ -1,5 +1,7 @@
-moon::ipsec status::net-net.*INSTALLED::YES
-sun::ipsec status::net.net.*INSTALLED::YES
+moon:: ipsec status 2> /dev/null::net-net.*ESTABLISHED.*moon.strongswan.org.*sun.strongswan.org::YES
+sun::  ipsec status 2> /dev/null::net.net.*ESTABLISHED.*sun.strongswan.org.*moon.strongswan.org::YES
+moon:: ipsec status 2> /dev/null::net-net.*INSTALLED, TUNNEL::YES
+sun::  ipsec status 2> /dev/null::net.net.*INSTALLED, TUNNEL::YES
 alice::ping -c 1 PH_IP_BOB::64 bytes from PH_IP_BOB: icmp_seq=1::YES
 sun::tcpdump::IP6 ip6-moon.strongswan.org > ip6-sun.strongswan.org: ESP::YES
 sun::tcpdump::IP6 ip6-sun.strongswan.org > ip6-moon.strongswan.org: ESP::YES
index c47ff80..9466d90 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       strictcrlpolicy=no
-       crlcheckinterval=180
        plutostart=no
 
 ca strongswan
index d934984..5ef523e 100644 (file)
@@ -2,5 +2,5 @@
 
 charon {
   hash_and_url = yes
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
 }
index c1041bd..e0f1268 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       strictcrlpolicy=no
-       crlcheckinterval=180
        plutostart=no
 
 ca strongswan
index d934984..5ef523e 100644 (file)
@@ -2,5 +2,5 @@
 
 charon {
   hash_and_url = yes
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
 }
index 2f73ef7..803cf5e 100644 (file)
@@ -1,5 +1,7 @@
-moon::ipsec status::net-net.*STATE_QUICK_I2.*IPsec SA established::YES
-sun::ipsec status::net.net.*STATE_QUICK_R2.*IPsec SA established::YES
+moon:: ipsec status 2> /dev/null::net-net.*ESTABLISHED.*moon.strongswan.org.*sun.strongswan.org::YES
+sun::  ipsec status 2> /dev/null::net.net.*ESTABLISHED.*sun.strongswan.org.*moon.strongswan.org::YES
+moon:: ipsec status 2> /dev/null::net-net.*INSTALLED, TUNNEL::YES
+sun::  ipsec status 2> /dev/null::net.net.*INSTALLED, TUNNEL::YES
 alice::ping6 -c 1 -p deadbeef ip6-bob.strongswan.org::64 bytes from ip6-bob.strongswan.org: icmp_seq=1::YES
 sun::tcpdump::IP moon.strongswan.org > sun.strongswan.org: ESP::YES
 sun::tcpdump::IP sun.strongswan.org > moon.strongswan.org: ESP::YES
index 25074a0..d556762 100755 (executable)
@@ -26,27 +26,16 @@ start() {
        /sbin/ip6tables -P FORWARD DROP
 
        # allow esp
-       ip6tables -A INPUT  -i eth0 -p 50 -j ACCEPT
-       ip6tables -A OUTPUT -o eth0 -p 50 -j ACCEPT
+       iptables -A INPUT  -i eth0 -p 50 -j ACCEPT
+       iptables -A OUTPUT -o eth0 -p 50 -j ACCEPT
 
        # allow IKE
-       ip6tables -A INPUT  -i eth0 -p udp --sport 500 --dport 500 -j ACCEPT
-       ip6tables -A OUTPUT -o eth0 -p udp --dport 500 --sport 500 -j ACCEPT
+       iptables -A INPUT  -i eth0 -p udp --sport 500 --dport 500 -j ACCEPT
+       iptables -A OUTPUT -o eth0 -p udp --dport 500 --sport 500 -j ACCEPT
 
        # allow MobIKE
-       ip6tables -A INPUT  -i eth0 -p udp --sport 4500 --dport 4500 -j ACCEPT
-       ip6tables -A OUTPUT -o eth0 -p udp --dport 4500 --sport 4500 -j ACCEPT
-
-       # allow last UDP fragment
-       ip6tables -A INPUT -i eth0 -p udp -m frag --fraglast -j ACCEPT
-
-       # allow ICMPv6 neighbor-solicitations
-       ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
-       ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
-       
-       # allow ICMPv6 neighbor-advertisements
-       ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
-       ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
+       iptables -A INPUT  -i eth0 -p udp --sport 4500 --dport 4500 -j ACCEPT
+       iptables -A OUTPUT -o eth0 -p udp --dport 4500 --sport 4500 -j ACCEPT
 
        # allow crl fetch from winnetou
        iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
@@ -56,6 +45,14 @@ start() {
        iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 
+        # allow ICMPv6 neighbor-solicitations
+        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
+        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
+
+        # allow ICMPv6 neighbor-advertisements
+        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
+        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
+
        # log dropped packets
        ip6tables -A INPUT  -j LOG --log-prefix " IN: "
        ip6tables -A OUTPUT -j LOG --log-prefix " OUT: "
index 773d2ed..d8ee5d9 100755 (executable)
@@ -1,10 +1,7 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       strictcrlpolicy=no
-       crlcheckinterval=180
-       plutodebug=control
-       charonstart=no
+       plutostart=no
 
 conn %default
        ikelifetime=60m
@@ -15,10 +12,10 @@ conn %default
 
 conn net-net 
        left=PH_IP_MOON
-       leftnexthop=%direct
        leftsubnet=fec1::0/16
        leftcert=moonCert.pem
        leftid=@moon.strongswan.org
+       leftfirewall=yes
        right=PH_IP_SUN
        rightsubnet=fec2::0/16
        rightid=@sun.strongswan.org
index 1cfd1eb..d18c788 100644 (file)
@@ -1,5 +1,6 @@
 # /etc/strongswan.conf - strongSwan configuration file
 
-pluto {
-  load = curl aes des sha1 sha2 md5 pem pkcs1 x509 gmp random hmac kernel-netlink
+charon {
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
+  install_routes = no
 }
index 25074a0..21ff88d 100755 (executable)
@@ -26,27 +26,16 @@ start() {
        /sbin/ip6tables -P FORWARD DROP
 
        # allow esp
-       ip6tables -A INPUT  -i eth0 -p 50 -j ACCEPT
-       ip6tables -A OUTPUT -o eth0 -p 50 -j ACCEPT
+       iptables -A INPUT  -i eth0 -p 50 -j ACCEPT
+       iptables -A OUTPUT -o eth0 -p 50 -j ACCEPT
 
        # allow IKE
-       ip6tables -A INPUT  -i eth0 -p udp --sport 500 --dport 500 -j ACCEPT
-       ip6tables -A OUTPUT -o eth0 -p udp --dport 500 --sport 500 -j ACCEPT
+       iptables -A INPUT  -i eth0 -p udp --sport 500 --dport 500 -j ACCEPT
+       iptables -A OUTPUT -o eth0 -p udp --dport 500 --sport 500 -j ACCEPT
 
        # allow MobIKE
-       ip6tables -A INPUT  -i eth0 -p udp --sport 4500 --dport 4500 -j ACCEPT
-       ip6tables -A OUTPUT -o eth0 -p udp --dport 4500 --sport 4500 -j ACCEPT
-
-       # allow last UDP fragment
-       ip6tables -A INPUT -i eth0 -p udp -m frag --fraglast -j ACCEPT
-
-       # allow ICMPv6 neighbor-solicitations
-       ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
-       ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
-       
-       # allow ICMPv6 neighbor-advertisements
-       ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
-       ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
+       iptables -A INPUT  -i eth0 -p udp --sport 4500 --dport 4500 -j ACCEPT
+       iptables -A OUTPUT -o eth0 -p udp --dport 4500 --sport 4500 -j ACCEPT
 
        # allow crl fetch from winnetou
        iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
@@ -56,6 +45,18 @@ start() {
        iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 
+        # allow ICMPv6 neighbor-solicitations
+        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
+        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
+
+        # allow ICMPv6 neighbor-advertisements
+        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
+        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
+
+        # allow crl fetch from winnetou
+        iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
+        iptables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP_WINNETOU -j ACCEPT
+
        # log dropped packets
        ip6tables -A INPUT  -j LOG --log-prefix " IN: "
        ip6tables -A OUTPUT -j LOG --log-prefix " OUT: "
index bb3f4f7..d850fa8 100755 (executable)
@@ -1,10 +1,7 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       strictcrlpolicy=no
-       crlcheckinterval=180
-       plutodebug=control
-       charonstart=no
+       plutostart=no
 
 conn %default
        ikelifetime=60m
@@ -15,10 +12,10 @@ conn %default
 
 conn net-net
        left=PH_IP_SUN
-       leftnexthop=%direct
        leftsubnet=fec2::0/16
        leftcert=sunCert.pem
        leftid=@sun.strongswan.org
+       leftfirewall=yes
        right=PH_IP_MOON
        rightsubnet=fec1::0/16
        rightid=@moon.strongswan.org
index 1cfd1eb..be176e9 100644 (file)
@@ -1,5 +1,6 @@
 # /etc/strongswan.conf - strongSwan configuration file
 
-pluto {
-  load = curl aes des sha1 sha2 md5 pem pkcs1 x509 gmp random hmac kernel-netlink
+charon {
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
+  install_routes=no
 }
index 7a8af32..c78d884 100644 (file)
@@ -4,3 +4,5 @@ alice::"ip route del fec2:\:/16 via fec1:\:1"
 moon::"ip route del fec2:\:/16 via fec0:\:2" 
 sun::"ip route del fec1:\:/16 via fec0:\:1" 
 bob::"ip route del fec1:\:/16 via fec2:\:1"
+moon::/etc/init.d/iptables stop 2> /dev/null
+sun::/etc/init.d/iptables stop 2> /dev/null
index 130058a..7781f9b 100644 (file)
@@ -1,5 +1,5 @@
-moon::echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
-sun::echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
+moon::/etc/init.d/iptables start 2> /dev/null
+sun::/etc/init.d/iptables start 2> /dev/null
 alice::"ip route add fec2:\:/16 via fec1:\:1"
 moon::"ip route add fec2:\:/16 via fec0:\:2" 
 sun::"ip route add fec1:\:/16 via fec0:\:1" 
index 833553f..803cf5e 100644 (file)
@@ -1,5 +1,7 @@
-moon::ipsec status::net-net.*INSTALLED::YES
-sun::ipsec status::net.net.*INSTALLED::YES
+moon:: ipsec status 2> /dev/null::net-net.*ESTABLISHED.*moon.strongswan.org.*sun.strongswan.org::YES
+sun::  ipsec status 2> /dev/null::net.net.*ESTABLISHED.*sun.strongswan.org.*moon.strongswan.org::YES
+moon:: ipsec status 2> /dev/null::net-net.*INSTALLED, TUNNEL::YES
+sun::  ipsec status 2> /dev/null::net.net.*INSTALLED, TUNNEL::YES
 alice::ping6 -c 1 -p deadbeef ip6-bob.strongswan.org::64 bytes from ip6-bob.strongswan.org: icmp_seq=1::YES
 sun::tcpdump::IP moon.strongswan.org > sun.strongswan.org: ESP::YES
 sun::tcpdump::IP sun.strongswan.org > moon.strongswan.org: ESP::YES
index a452c7a..2f49f74 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       strictcrlpolicy=no
-       crlcheckinterval=180
        plutostart=no
 
 conn %default
index 393ea64..d18c788 100644 (file)
@@ -1,6 +1,6 @@
 # /etc/strongswan.conf - strongSwan configuration file
 
 charon {
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
   install_routes = no
 }
index 448cccb..b5cedc5 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       strictcrlpolicy=no
-       crlcheckinterval=180
        plutostart=no
 
 conn %default
index 014b5d9..be176e9 100644 (file)
@@ -1,6 +1,6 @@
 # /etc/strongswan.conf - strongSwan configuration file
 
 charon {
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
   install_routes=no
 }
index a311992..3b0a3ee 100644 (file)
@@ -1,7 +1,9 @@
-moon::ipsec status::net-net.*INSTALLED::YES
-sun::ipsec status::net.net.*INSTALLED::YES
-moon::cat /var/log/daemon.log::TS fec2:\:/16 is contained in address block constraint fec2:\:/16::YES
-sun::cat /var/log/daemon.log::TS fec1:\:/16 is contained in address block constraint fec1:\:/16::YES
+moon:: ipsec status 2> /dev/null::net-net.*ESTABLISHED.*moon.strongswan.org.*sun.strongswan.org::YES
+sun::  ipsec status 2> /dev/null::net.net.*ESTABLISHED.*sun.strongswan.org.*moon.strongswan.org::YES
+moon:: ipsec status 2> /dev/null::net-net.*INSTALLED, TUNNEL::YES
+sun::  ipsec status 2> /dev/null::net.net.*INSTALLED, TUNNEL::YES
+moon:: cat /var/log/daemon.log::TS fec2:\:/16 is contained in address block constraint fec2:\:/16::YES
+sun::  cat /var/log/daemon.log::TS fec1:\:/16 is contained in address block constraint fec1:\:/16::YES
 alice::ping6 -c 1 -p deadbeef ip6-bob.strongswan.org::64 bytes from ip6-bob.strongswan.org: icmp_seq=1::YES
 sun::tcpdump::IP6 ip6-moon.strongswan.org > ip6-sun.strongswan.org: ESP::YES
 sun::tcpdump::IP6 ip6-sun.strongswan.org > ip6-moon.strongswan.org: ESP::YES
index 846a3f7..fb9f737 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       strictcrlpolicy=no
-       crlcheckinterval=180
        plutostart=no
 
 ca strongswan
index 94873dd..2b824dc 100644 (file)
@@ -2,5 +2,5 @@
 
 charon {
   hash_and_url = yes
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation addrblock hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation addrblock hmac stroke kernel-netlink socket-default updown
 }
index adf411d..107bb7c 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       strictcrlpolicy=no
-       crlcheckinterval=180
        plutostart=no
 
 ca strongswan
index 94873dd..2b824dc 100644 (file)
@@ -2,5 +2,5 @@
 
 charon {
   hash_and_url = yes
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation addrblock hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation addrblock hmac stroke kernel-netlink socket-default updown
 }
index 046c4b5..1746137 100644 (file)
@@ -1,7 +1,7 @@
-The roadwarrior <b>carol</b> sets up a connection to gateway <b>moon</b>.
-The authentication is based on <b>X.509 certificates</b>. Upon the successful
-establishment of the IPsec tunnel, <b>leftfirewall=yes</b> automatically inserts
-ip6tables-based firewall rules that let pass the tunneled traffic.
-In order to test both the IPv6 ESP tunnel and the firewall rules, <b>carol</b>
-sends an IPv6 ICMP request to the client <b>alice</b> behind the gateway <b>moon</b>
+The roadwarriors <b>carol</b> and <b>dave</b> set up an IPv6 connection each 
+to gateway <b>moon</b>. The authentication is based on <b>X.509 certificates</b>.
+Upon the successful establishment of the IPv6 ESP tunnels, <b>leftfirewall=yes</b>
+automatically inserts ip6tables-based firewall rules that let pass the tunneled traffic.
+In order to test both tunnel and firewall, both <b>carol</b> and <b>dave</b> send
+an IPv6 ICMP request to the client <b>alice</b> behind the gateway <b>moon</b>
 using the ping6 command.
index 894e911..0e125b7 100644 (file)
@@ -1,5 +1,15 @@
-carol::ipsec status::home.*STATE_QUICK_I2.*IPsec SA established::YES
-moon::ipsec status::rw.*STATE_QUICK_R2.*IPsec SA established::YES
+carol::ipsec status 2> /dev/null::home.*ESTABLISHED.*carol@strongswan.org.*moon.strongswan.org::YES
+dave:: ipsec status 2> /dev/null::home.*ESTABLISHED.*dave@strongswan.org.*moon.strongswan.org::YES
+moon:: ipsec status 2> /dev/null::rw\[1]: ESTABLISHED.*moon.strongswan.org.*carol@strongswan.org::YES
+moon:: ipsec status 2> /dev/null::rw\[2]: ESTABLISHED.*moon.strongswan.org.*dave@strongswan.org::YES
+carol::ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
+dave:: ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
+moon:: ipsec status 2> /dev/null::rw[{]1}.*INSTALLED, TUNNEL::YES
+moon:: ipsec status 2> /dev/null::rw[{]2}.*INSTALLED, TUNNEL::YES
 carol::ping6 -c 1 ip6-alice.strongswan.org::64 bytes from ip6-alice.strongswan.org: icmp_seq=1::YES
+dave:: ping6 -c 1 ip6-alice.strongswan.org::64 bytes from ip6-alice.strongswan.org: icmp_seq=1::YES
 moon::tcpdump::IP6 ip6-carol.strongswan.org > ip6-moon.strongswan.org: ESP::YES
 moon::tcpdump::IP6 ip6-moon.strongswan.org > ip6-carol.strongswan.org: ESP::YES
+moon::tcpdump::IP6 ip6-dave.strongswan.org > ip6-moon.strongswan.org: ESP::YES
+moon::tcpdump::IP6 ip6-moon.strongswan.org > ip6-dave.strongswan.org: ESP::YES
+
index 521d1ce..b3509f8 100755 (executable)
@@ -45,14 +45,18 @@ start() {
        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
 
-       # allow crl fetch from winnetou
-       iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
-       iptables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP_WINNETOU -j ACCEPT
+       # allow crl and certificate fetch from winnetou
+       ip6tables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP6_WINNETOU -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP6_WINNETOU -j ACCEPT
 
        # allow ssh
        iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 
+       # log dropped packets
+       ip6tables -A INPUT  -j LOG --log-prefix " IN: "
+       ip6tables -A OUTPUT -j LOG --log-prefix " OUT: "
+
        eend $?
 }
 
index 363c910..e7ed41d 100755 (executable)
@@ -1,10 +1,13 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       plutodebug=control
-       crlcheckinterval=180
-       strictcrlpolicy=no
-       charonstart=no
+       plutostart=no
+
+ca strongswan
+       cacert=strongswanCert.pem
+       certuribase=http://ip6-winnetou.strongswan.org/certs/
+       crluri=http://ip6-winnetou.strongswan.org/strongswan.crl
+       auto=add
 
 conn %default
        ikelifetime=60m
@@ -19,10 +22,6 @@ conn home
        leftid=carol@strongswan.org
        leftfirewall=yes
        right=PH_IP6_MOON
-       rightsubnet=fec1::/16
        rightid=@moon.strongswan.org
+       rightsubnet=fec1::/16
        auto=add
-
-
-
-
diff --git a/testing/tests/ipv6/rw-ikev1/hosts/carol/etc/strongswan.conf b/testing/tests/ipv6/rw-ikev1/hosts/carol/etc/strongswan.conf
new file mode 100644 (file)
index 0000000..ca23c69
--- /dev/null
@@ -0,0 +1,5 @@
+# /etc/strongswan.conf - strongSwan configuration file
+
+charon {
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
+}
diff --git a/testing/tests/ipv6/rw-ikev1/hosts/dave/etc/init.d/iptables b/testing/tests/ipv6/rw-ikev1/hosts/dave/etc/init.d/iptables
new file mode 100755 (executable)
index 0000000..b3509f8
--- /dev/null
@@ -0,0 +1,104 @@
+#!/sbin/runscript
+# Copyright 1999-2004 Gentoo Foundation
+# Distributed under the terms of the GNU General Public License v2
+
+opts="start stop reload"
+
+depend() {
+       before net
+       need logger
+}
+
+start() {
+       ebegin "Starting firewall"
+
+       # enable IP forwarding
+       echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
+       echo 1 > /proc/sys/net/ipv4/ip_forward
+       
+       # default policy is DROP
+       /sbin/iptables -P INPUT DROP
+       /sbin/iptables -P OUTPUT DROP
+       /sbin/iptables -P FORWARD DROP
+
+       /sbin/ip6tables -P INPUT DROP
+       /sbin/ip6tables -P OUTPUT DROP
+       /sbin/ip6tables -P FORWARD DROP
+
+       # allow esp
+       ip6tables -A INPUT  -i eth0 -p 50 -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p 50 -j ACCEPT
+
+       # allow IKE
+       ip6tables -A INPUT  -i eth0 -p udp --sport 500 --dport 500 -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p udp --dport 500 --sport 500 -j ACCEPT
+
+       # allow MobIKE
+       ip6tables -A INPUT  -i eth0 -p udp --sport 4500 --dport 4500 -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p udp --dport 4500 --sport 4500 -j ACCEPT
+
+       # allow ICMPv6 neighbor-solicitations
+       ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
+       ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
+       
+       # allow ICMPv6 neighbor-advertisements
+       ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
+       ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
+
+       # allow crl and certificate fetch from winnetou
+       ip6tables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP6_WINNETOU -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP6_WINNETOU -j ACCEPT
+
+       # allow ssh
+       iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
+       iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
+
+       # log dropped packets
+       ip6tables -A INPUT  -j LOG --log-prefix " IN: "
+       ip6tables -A OUTPUT -j LOG --log-prefix " OUT: "
+
+       eend $?
+}
+
+stop() {
+       ebegin "Stopping firewall"
+               for a in `cat /proc/net/ip_tables_names`; do
+                       /sbin/ip6tables -F -t $a
+                       /sbin/ip6tables -X -t $a
+
+                       /sbin/iptables -F -t $a
+                       /sbin/iptables -X -t $a
+       
+                       if [ $a == nat ]; then
+                               /sbin/iptables -t nat -P PREROUTING ACCEPT
+                               /sbin/iptables -t nat -P POSTROUTING ACCEPT
+                               /sbin/iptables -t nat -P OUTPUT ACCEPT
+                       elif [ $a == mangle ]; then
+                               /sbin/iptables -t mangle -P PREROUTING ACCEPT
+                               /sbin/iptables -t mangle -P INPUT ACCEPT
+                               /sbin/iptables -t mangle -P FORWARD ACCEPT
+                               /sbin/iptables -t mangle -P OUTPUT ACCEPT
+                               /sbin/iptables -t mangle -P POSTROUTING ACCEPT
+                       elif [ $a == filter ]; then
+                               /sbin/ip6tables -t filter -P INPUT ACCEPT
+                               /sbin/ip6tables -t filter -P FORWARD ACCEPT
+                               /sbin/ip6tables -t filter -P OUTPUT ACCEPT
+
+                               /sbin/iptables -t filter -P INPUT ACCEPT
+                               /sbin/iptables -t filter -P FORWARD ACCEPT
+                               /sbin/iptables -t filter -P OUTPUT ACCEPT
+                       fi
+               done
+       eend $?
+}
+
+reload() {
+       ebegin "Flushing firewall"
+               for a in `cat /proc/net/ip_tables_names`; do
+                       /sbin/ip6tables -F -t $a
+                       /sbin/ip6tables -X -t $a
+               done;
+        eend $?
+       start
+}
+
diff --git a/testing/tests/ipv6/rw-ikev1/hosts/dave/etc/ipsec.conf b/testing/tests/ipv6/rw-ikev1/hosts/dave/etc/ipsec.conf
new file mode 100755 (executable)
index 0000000..702ab5e
--- /dev/null
@@ -0,0 +1,27 @@
+# /etc/ipsec.conf - strongSwan IPsec configuration file
+
+config setup
+       plutostart=no
+
+ca strongswan
+       cacert=strongswanCert.pem
+       certuribase=http://ip6-winnetou.strongswan.org/certs/
+       crluri=http://ip6-winnetou.strongswan.org/strongswan.crl
+       auto=add
+
+conn %default
+       ikelifetime=60m
+       keylife=20m
+       rekeymargin=3m
+       keyingtries=1
+       keyexchange=ikev1
+
+conn home
+       left=PH_IP6_DAVE
+       leftcert=daveCert.pem
+       leftid=dave@strongswan.org
+       leftfirewall=yes
+       right=PH_IP6_MOON
+       rightid=@moon.strongswan.org
+       rightsubnet=fec1::/16
+       auto=add
diff --git a/testing/tests/ipv6/rw-ikev1/hosts/dave/etc/strongswan.conf b/testing/tests/ipv6/rw-ikev1/hosts/dave/etc/strongswan.conf
new file mode 100644 (file)
index 0000000..ca23c69
--- /dev/null
@@ -0,0 +1,5 @@
+# /etc/strongswan.conf - strongSwan configuration file
+
+charon {
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
+}
index 521d1ce..47db6db 100755 (executable)
@@ -45,14 +45,22 @@ start() {
        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
 
-       # allow crl fetch from winnetou
-       iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
-       iptables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP_WINNETOU -j ACCEPT
+       # allow last IPv6 UDP fragments
+       ip6tables -A INPUT  -p udp -m frag --fraglast -j ACCEPT
+       ip6tables -A OUTPUT -p udp -m frag --fraglast -j ACCEPT
+
+       # allow crl and certificate fetch from winnetou
+       ip6tables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP6_WINNETOU -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP6_WINNETOU -j ACCEPT
 
        # allow ssh
        iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 
+       # log dropped packets
+       ip6tables -A INPUT  -j LOG --log-prefix " IN: "
+       ip6tables -A OUTPUT -j LOG --log-prefix " OUT: "
+
        eend $?
 }
 
index 1b5a2ac..f42d7f3 100755 (executable)
@@ -1,10 +1,13 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       plutodebug=control
-       crlcheckinterval=180
-       strictcrlpolicy=no
-       charonstart=no
+       plutostart=no
+
+ca strongswan
+       cacert=strongswanCert.pem
+       certuribase=http://ip6-winnetou.strongswan.org/certs/
+       crluri=http://ip6-winnetou.strongswan.org/strongswan.crl
+       auto=add
 
 conn %default
        ikelifetime=60m
@@ -19,5 +22,5 @@ conn rw
        leftid=@moon.strongswan.org
        leftsubnet=fec1::/16
        leftfirewall=yes
-       right=%any6
+       right=%any
        auto=add
diff --git a/testing/tests/ipv6/rw-ikev1/hosts/moon/etc/strongswan.conf b/testing/tests/ipv6/rw-ikev1/hosts/moon/etc/strongswan.conf
new file mode 100644 (file)
index 0000000..ca23c69
--- /dev/null
@@ -0,0 +1,5 @@
+# /etc/strongswan.conf - strongSwan configuration file
+
+charon {
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
+}
index d37b96f..07e89d7 100644 (file)
@@ -1,6 +1,9 @@
 moon::ipsec stop
 carol::ipsec stop
-alice::"ip route del fec0:\:/16 via fec1:\:1"
-carol::"ip route del fec1:\:/16 via fec0:\:1"
+dave::ipsec stop
 moon::/etc/init.d/iptables stop 2> /dev/null
 carol::/etc/init.d/iptables stop 2> /dev/null
+dave::/etc/init.d/iptables stop 2> /dev/null
+alice::"ip route del fec0:\:/16 via fec1:\:1"
+carol::"ip route del fec1:\:/16 via fec0:\:1"
+dave::"ip route del fec1:\:/16 via fec0:\:1"
index 2b3bf90..7da0c10 100644 (file)
@@ -1,8 +1,13 @@
 moon::/etc/init.d/iptables start 2> /dev/null
 carol::/etc/init.d/iptables start 2> /dev/null
+dave::/etc/init.d/iptables start 2> /dev/null
 alice::"ip route add fec0:\:/16 via fec1:\:1"
 carol::"ip route add fec1:\:/16 via fec0:\:1"
-carol::ipsec start
+dave::"ip route add fec1:\:/16 via fec0:\:1"
 moon::ipsec start
-carol::sleep 2
+carol::ipsec start
+dave::ipsec start
+carol::sleep 1
 carol::ipsec up home
+dave::ipsec up home
+dave::sleep 2 
index bce9814..80cf5e3 100644 (file)
@@ -5,11 +5,11 @@
 
 # All UML instances that are required for this test
 #
-UMLHOSTS="alice moon carol winnetou"
+UMLHOSTS="alice moon carol winnetou dave"
 
 # Corresponding block diagram
 #
-DIAGRAM="a-m-c-w-ip6.png"
+DIAGRAM="a-m-c-w-d-ip6.png"
 
 # UML instances on which tcpdump is to be started
 #
@@ -18,4 +18,4 @@ TCPDUMPHOSTS="moon"
 # UML instances on which IPsec is started
 # Used for IPsec logging purposes
 #
-IPSECHOSTS="moon carol"
+IPSECHOSTS="moon carol dave"
index cee1853..0e125b7 100644 (file)
@@ -1,8 +1,13 @@
-moon::ipsec statusall::rw.*ESTABLISHED::YES
-carol::ipsec statusall::home.*ESTABLISHED::YES
-dave::ipsec statusall::home.*ESTABLISHED::YES
+carol::ipsec status 2> /dev/null::home.*ESTABLISHED.*carol@strongswan.org.*moon.strongswan.org::YES
+dave:: ipsec status 2> /dev/null::home.*ESTABLISHED.*dave@strongswan.org.*moon.strongswan.org::YES
+moon:: ipsec status 2> /dev/null::rw\[1]: ESTABLISHED.*moon.strongswan.org.*carol@strongswan.org::YES
+moon:: ipsec status 2> /dev/null::rw\[2]: ESTABLISHED.*moon.strongswan.org.*dave@strongswan.org::YES
+carol::ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
+dave:: ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
+moon:: ipsec status 2> /dev/null::rw[{]1}.*INSTALLED, TUNNEL::YES
+moon:: ipsec status 2> /dev/null::rw[{]2}.*INSTALLED, TUNNEL::YES
 carol::ping6 -c 1 ip6-alice.strongswan.org::64 bytes from ip6-alice.strongswan.org: icmp_seq=1::YES
-dave::ping6 -c 1 ip6-alice.strongswan.org::64 bytes from ip6-alice.strongswan.org: icmp_seq=1::YES
+dave:: ping6 -c 1 ip6-alice.strongswan.org::64 bytes from ip6-alice.strongswan.org: icmp_seq=1::YES
 moon::tcpdump::IP6 ip6-carol.strongswan.org > ip6-moon.strongswan.org: ESP::YES
 moon::tcpdump::IP6 ip6-moon.strongswan.org > ip6-carol.strongswan.org: ESP::YES
 moon::tcpdump::IP6 ip6-dave.strongswan.org > ip6-moon.strongswan.org: ESP::YES
index e544e94..38234e9 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-        crlcheckinterval=180
-       strictcrlpolicy=no
        plutostart=no
 
 ca strongswan
index d934984..5ef523e 100644 (file)
@@ -2,5 +2,5 @@
 
 charon {
   hash_and_url = yes
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
 }
index 58bc25b..e5614f5 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-        crlcheckinterval=180
-       strictcrlpolicy=no
        plutostart=no
 
 ca strongswan
index d934984..5ef523e 100644 (file)
@@ -2,5 +2,5 @@
 
 charon {
   hash_and_url = yes
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
 }
index 378e7bf..5bf8ee6 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-        crlcheckinterval=180
-       strictcrlpolicy=no
        plutostart=no
 
 ca strongswan
index d934984..5ef523e 100644 (file)
@@ -2,5 +2,5 @@
 
 charon {
   hash_and_url = yes
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
 }
index 81072eb..66fc090 100644 (file)
@@ -1,5 +1,7 @@
-The roadwarrior <b>carol</b> sets up an IPv6 tunnel connection to gateway <b>moon</b>.
-The authentication is based on <b>Preshared Keys</b> (PSK) and <b>IPv6 addresses</b> (ID_IPV6_ADDR).
-<b>firewall=yes</b> automatically inserts ip6tables-based firewall rules that let pass
-the tunneled traffic. In order to test the tunnel <b>carol</b> sends an IPv6
-ICMP request to client <b>alice</b> behind the gateway <b>moon</b> using the ping6 command.
+The roadwarriors <b>carol</b> and <b>dave</b> set up an IPv6 tunnel connection each 
+to gateway <b>moon</b>. The authentication is based on distinct <b>pre-shared keys</b>
+and IPv6 addresses. Upon the successful establishment of the IPsec tunnels,
+<b>leftfirewall=yes</b> automatically inserts ip6tables-based firewall rules that
+let pass the tunneled traffic. In order to test both tunnel and firewall, both
+<b>carol</b> and <b>dave</b> send an IPv6 ICMP request to client <b>alice</b>
+behind the gateway <b>moon</b> using the ping6 command.
index 4046d0b..16982a7 100644 (file)
@@ -1,5 +1,15 @@
-carol::ipsec status::home.*STATE_QUICK_I2.*IPsec SA established::YES
-moon::ipsec status::rw.*STATE_QUICK_R2.*IPsec SA established::YES
+carol::ipsec status 2> /dev/null::home.*ESTABLISHED.*\[fec0.*:10].*\[fec0.*:1]::YES
+dave:: ipsec status 2> /dev/null::home.*ESTABLISHED.*\[fec0.*:20].*\[fec0.*:1]::YES
+moon:: ipsec status 2> /dev/null::rw\[1]: ESTABLISHED.*\[fec0.*:1].*\[fec0.*:10]::YES
+moon:: ipsec status 2> /dev/null::rw\[2]: ESTABLISHED.*\[fec0.*:1].*\[fec0.*:20]::YES
+carol::ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
+dave:: ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
+moon:: ipsec status 2> /dev/null::rw[{]1}.*INSTALLED, TUNNEL::YES
+moon:: ipsec status 2> /dev/null::rw[{]2}.*INSTALLED, TUNNEL::YES
 carol::ping6 -c 1 ip6-alice.strongswan.org::64 bytes from ip6-alice.strongswan.org: icmp_seq=1::YES
+dave:: ping6 -c 1 ip6-alice.strongswan.org::64 bytes from ip6-alice.strongswan.org: icmp_seq=1::YES
 moon::tcpdump::IP6 ip6-carol.strongswan.org > ip6-moon.strongswan.org: ESP::YES
-moon::tcpdump::IP6 ip6-moon.strongswan.org  > ip6-carol.strongswan.org: ESP::YES
+moon::tcpdump::IP6 ip6-moon.strongswan.org > ip6-carol.strongswan.org: ESP::YES
+moon::tcpdump::IP6 ip6-dave.strongswan.org > ip6-moon.strongswan.org: ESP::YES
+moon::tcpdump::IP6 ip6-moon.strongswan.org > ip6-dave.strongswan.org: ESP::YES
+
index 521d1ce..6c437fe 100755 (executable)
@@ -45,14 +45,14 @@ start() {
        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
 
-       # allow crl fetch from winnetou
-       iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
-       iptables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP_WINNETOU -j ACCEPT
-
        # allow ssh
        iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 
+       # log dropped packets
+       ip6tables -A INPUT  -j LOG --log-prefix " IN: "
+       ip6tables -A OUTPUT -j LOG --log-prefix " OUT: "
+
        eend $?
 }
 
index 76135d1..7afbc01 100755 (executable)
@@ -1,8 +1,7 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       plutodebug=control
-       charonstart=no
+       plutostart=no
 
 conn %default
        ikelifetime=60m
@@ -11,7 +10,7 @@ conn %default
        keyingtries=1
        keyexchange=ikev1
        authby=secret
-       
+
 conn home
        left=PH_IP6_CAROL
        leftfirewall=yes
index 42c84fc..2abcb4e 100644 (file)
@@ -1,3 +1,3 @@
 # /etc/ipsec.secrets - strongSwan IPsec secrets file
 
-PH_IP6_CAROL PH_IP6_MOON : PSK 0sv+NkxY9LLZvwj4qCC2o/gGrWDF2d21jL
+PH_IP6_CAROL : PSK 0sFpZAZqEN6Ti9sqt4ZP5EWcqx
diff --git a/testing/tests/ipv6/rw-psk-ikev1/hosts/carol/etc/strongswan.conf b/testing/tests/ipv6/rw-psk-ikev1/hosts/carol/etc/strongswan.conf
new file mode 100644 (file)
index 0000000..699d8fd
--- /dev/null
@@ -0,0 +1,5 @@
+# /etc/strongswan.conf - strongSwan configuration file
+
+charon {
+  load = aes des sha1 sha2 md5 pem pkcs1 gmp random nonce hmac stroke kernel-netlink socket-default updown
+}
diff --git a/testing/tests/ipv6/rw-psk-ikev1/hosts/dave/etc/init.d/iptables b/testing/tests/ipv6/rw-psk-ikev1/hosts/dave/etc/init.d/iptables
new file mode 100755 (executable)
index 0000000..6c437fe
--- /dev/null
@@ -0,0 +1,100 @@
+#!/sbin/runscript
+# Copyright 1999-2004 Gentoo Foundation
+# Distributed under the terms of the GNU General Public License v2
+
+opts="start stop reload"
+
+depend() {
+       before net
+       need logger
+}
+
+start() {
+       ebegin "Starting firewall"
+
+       # enable IP forwarding
+       echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
+       echo 1 > /proc/sys/net/ipv4/ip_forward
+       
+       # default policy is DROP
+       /sbin/iptables -P INPUT DROP
+       /sbin/iptables -P OUTPUT DROP
+       /sbin/iptables -P FORWARD DROP
+
+       /sbin/ip6tables -P INPUT DROP
+       /sbin/ip6tables -P OUTPUT DROP
+       /sbin/ip6tables -P FORWARD DROP
+
+       # allow esp
+       ip6tables -A INPUT  -i eth0 -p 50 -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p 50 -j ACCEPT
+
+       # allow IKE
+       ip6tables -A INPUT  -i eth0 -p udp --sport 500 --dport 500 -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p udp --dport 500 --sport 500 -j ACCEPT
+
+       # allow MobIKE
+       ip6tables -A INPUT  -i eth0 -p udp --sport 4500 --dport 4500 -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p udp --dport 4500 --sport 4500 -j ACCEPT
+
+       # allow ICMPv6 neighbor-solicitations
+       ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
+       ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-solicitation -j ACCEPT
+       
+       # allow ICMPv6 neighbor-advertisements
+       ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
+       ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
+
+       # allow ssh
+       iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
+       iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
+
+       # log dropped packets
+       ip6tables -A INPUT  -j LOG --log-prefix " IN: "
+       ip6tables -A OUTPUT -j LOG --log-prefix " OUT: "
+
+       eend $?
+}
+
+stop() {
+       ebegin "Stopping firewall"
+               for a in `cat /proc/net/ip_tables_names`; do
+                       /sbin/ip6tables -F -t $a
+                       /sbin/ip6tables -X -t $a
+
+                       /sbin/iptables -F -t $a
+                       /sbin/iptables -X -t $a
+       
+                       if [ $a == nat ]; then
+                               /sbin/iptables -t nat -P PREROUTING ACCEPT
+                               /sbin/iptables -t nat -P POSTROUTING ACCEPT
+                               /sbin/iptables -t nat -P OUTPUT ACCEPT
+                       elif [ $a == mangle ]; then
+                               /sbin/iptables -t mangle -P PREROUTING ACCEPT
+                               /sbin/iptables -t mangle -P INPUT ACCEPT
+                               /sbin/iptables -t mangle -P FORWARD ACCEPT
+                               /sbin/iptables -t mangle -P OUTPUT ACCEPT
+                               /sbin/iptables -t mangle -P POSTROUTING ACCEPT
+                       elif [ $a == filter ]; then
+                               /sbin/ip6tables -t filter -P INPUT ACCEPT
+                               /sbin/ip6tables -t filter -P FORWARD ACCEPT
+                               /sbin/ip6tables -t filter -P OUTPUT ACCEPT
+
+                               /sbin/iptables -t filter -P INPUT ACCEPT
+                               /sbin/iptables -t filter -P FORWARD ACCEPT
+                               /sbin/iptables -t filter -P OUTPUT ACCEPT
+                       fi
+               done
+       eend $?
+}
+
+reload() {
+       ebegin "Flushing firewall"
+               for a in `cat /proc/net/ip_tables_names`; do
+                       /sbin/ip6tables -F -t $a
+                       /sbin/ip6tables -X -t $a
+               done;
+        eend $?
+       start
+}
+
diff --git a/testing/tests/ipv6/rw-psk-ikev1/hosts/dave/etc/ipsec.conf b/testing/tests/ipv6/rw-psk-ikev1/hosts/dave/etc/ipsec.conf
new file mode 100755 (executable)
index 0000000..b029bfd
--- /dev/null
@@ -0,0 +1,20 @@
+# /etc/ipsec.conf - strongSwan IPsec configuration file
+
+config setup
+       strictcrlpolicy=no
+       plutostart=no
+
+conn %default
+       ikelifetime=60m
+       keylife=20m
+       rekeymargin=3m
+       keyingtries=1
+       keyexchange=ikev1
+       authby=secret
+
+conn home
+       left=PH_IP6_DAVE
+       leftfirewall=yes
+       right=PH_IP6_MOON
+       rightsubnet=fec1::/16
+       auto=add
diff --git a/testing/tests/ipv6/rw-psk-ikev1/hosts/dave/etc/ipsec.secrets b/testing/tests/ipv6/rw-psk-ikev1/hosts/dave/etc/ipsec.secrets
new file mode 100644 (file)
index 0000000..2375cd5
--- /dev/null
@@ -0,0 +1,3 @@
+# /etc/ipsec.secrets - strongSwan IPsec secrets file
+
+PH_IP6_DAVE  : PSK 0sjVzONCF02ncsgiSlmIXeqhGN
diff --git a/testing/tests/ipv6/rw-psk-ikev1/hosts/dave/etc/strongswan.conf b/testing/tests/ipv6/rw-psk-ikev1/hosts/dave/etc/strongswan.conf
new file mode 100644 (file)
index 0000000..699d8fd
--- /dev/null
@@ -0,0 +1,5 @@
+# /etc/strongswan.conf - strongSwan configuration file
+
+charon {
+  load = aes des sha1 sha2 md5 pem pkcs1 gmp random nonce hmac stroke kernel-netlink socket-default updown
+}
index 521d1ce..6c437fe 100755 (executable)
@@ -45,14 +45,14 @@ start() {
        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
 
-       # allow crl fetch from winnetou
-       iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
-       iptables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP_WINNETOU -j ACCEPT
-
        # allow ssh
        iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 
+       # log dropped packets
+       ip6tables -A INPUT  -j LOG --log-prefix " IN: "
+       ip6tables -A OUTPUT -j LOG --log-prefix " OUT: "
+
        eend $?
 }
 
index 69b154b..d383996 100755 (executable)
@@ -1,8 +1,7 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       plutodebug=control
-       charonstart=no
+       plutostart=no
 
 conn %default
        ikelifetime=60m
@@ -11,10 +10,10 @@ conn %default
        keyingtries=1
        keyexchange=ikev1
        authby=secret
-       
+
 conn rw
        left=PH_IP6_MOON
        leftsubnet=fec1::/16
        leftfirewall=yes
-       right=%any6
+       right=%any
        auto=add
index ac738c1..88c4183 100644 (file)
@@ -1,3 +1,5 @@
 # /etc/ipsec.secrets - strongSwan IPsec secrets file
 
-PH_IP6_MOON %any6 : PSK 0sv+NkxY9LLZvwj4qCC2o/gGrWDF2d21jL
+PH_IP6_CAROL : PSK 0sFpZAZqEN6Ti9sqt4ZP5EWcqx
+
+PH_IP6_DAVE  : PSK 0sjVzONCF02ncsgiSlmIXeqhGN
diff --git a/testing/tests/ipv6/rw-psk-ikev1/hosts/moon/etc/strongswan.conf b/testing/tests/ipv6/rw-psk-ikev1/hosts/moon/etc/strongswan.conf
new file mode 100644 (file)
index 0000000..699d8fd
--- /dev/null
@@ -0,0 +1,5 @@
+# /etc/strongswan.conf - strongSwan configuration file
+
+charon {
+  load = aes des sha1 sha2 md5 pem pkcs1 gmp random nonce hmac stroke kernel-netlink socket-default updown
+}
index d37b96f..07e89d7 100644 (file)
@@ -1,6 +1,9 @@
 moon::ipsec stop
 carol::ipsec stop
-alice::"ip route del fec0:\:/16 via fec1:\:1"
-carol::"ip route del fec1:\:/16 via fec0:\:1"
+dave::ipsec stop
 moon::/etc/init.d/iptables stop 2> /dev/null
 carol::/etc/init.d/iptables stop 2> /dev/null
+dave::/etc/init.d/iptables stop 2> /dev/null
+alice::"ip route del fec0:\:/16 via fec1:\:1"
+carol::"ip route del fec1:\:/16 via fec0:\:1"
+dave::"ip route del fec1:\:/16 via fec0:\:1"
index 6fbbcca..e3040d1 100644 (file)
@@ -1,10 +1,16 @@
 moon::/etc/init.d/iptables start 2> /dev/null
 carol::/etc/init.d/iptables start 2> /dev/null
+dave::/etc/init.d/iptables start 2> /dev/null
 alice::"ip route add fec0:\:/16 via fec1:\:1"
 carol::"ip route add fec1:\:/16 via fec0:\:1"
+dave::"ip route add fec1:\:/16 via fec0:\:1"
 moon::rm /etc/ipsec.d/cacerts/*
 carol::rm /etc/ipsec.d/cacerts/*
-carol::ipsec start
+dave::rm /etc/ipsec.d/cacerts/*
 moon::ipsec start
-carol::sleep 2
+carol::ipsec start
+dave::ipsec start
+carol::sleep 1
 carol::ipsec up home
+dave::ipsec up home
+dave::sleep 1
index bce9814..80cf5e3 100644 (file)
@@ -5,11 +5,11 @@
 
 # All UML instances that are required for this test
 #
-UMLHOSTS="alice moon carol winnetou"
+UMLHOSTS="alice moon carol winnetou dave"
 
 # Corresponding block diagram
 #
-DIAGRAM="a-m-c-w-ip6.png"
+DIAGRAM="a-m-c-w-d-ip6.png"
 
 # UML instances on which tcpdump is to be started
 #
@@ -18,4 +18,4 @@ TCPDUMPHOSTS="moon"
 # UML instances on which IPsec is started
 # Used for IPsec logging purposes
 #
-IPSECHOSTS="moon carol"
+IPSECHOSTS="moon carol dave"
index cee1853..16982a7 100644 (file)
@@ -1,8 +1,13 @@
-moon::ipsec statusall::rw.*ESTABLISHED::YES
-carol::ipsec statusall::home.*ESTABLISHED::YES
-dave::ipsec statusall::home.*ESTABLISHED::YES
+carol::ipsec status 2> /dev/null::home.*ESTABLISHED.*\[fec0.*:10].*\[fec0.*:1]::YES
+dave:: ipsec status 2> /dev/null::home.*ESTABLISHED.*\[fec0.*:20].*\[fec0.*:1]::YES
+moon:: ipsec status 2> /dev/null::rw\[1]: ESTABLISHED.*\[fec0.*:1].*\[fec0.*:10]::YES
+moon:: ipsec status 2> /dev/null::rw\[2]: ESTABLISHED.*\[fec0.*:1].*\[fec0.*:20]::YES
+carol::ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
+dave:: ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
+moon:: ipsec status 2> /dev/null::rw[{]1}.*INSTALLED, TUNNEL::YES
+moon:: ipsec status 2> /dev/null::rw[{]2}.*INSTALLED, TUNNEL::YES
 carol::ping6 -c 1 ip6-alice.strongswan.org::64 bytes from ip6-alice.strongswan.org: icmp_seq=1::YES
-dave::ping6 -c 1 ip6-alice.strongswan.org::64 bytes from ip6-alice.strongswan.org: icmp_seq=1::YES
+dave:: ping6 -c 1 ip6-alice.strongswan.org::64 bytes from ip6-alice.strongswan.org: icmp_seq=1::YES
 moon::tcpdump::IP6 ip6-carol.strongswan.org > ip6-moon.strongswan.org: ESP::YES
 moon::tcpdump::IP6 ip6-moon.strongswan.org > ip6-carol.strongswan.org: ESP::YES
 moon::tcpdump::IP6 ip6-dave.strongswan.org > ip6-moon.strongswan.org: ESP::YES
index 882ea04..699d8fd 100644 (file)
@@ -1,5 +1,5 @@
 # /etc/strongswan.conf - strongSwan configuration file
 
 charon {
-  load = aes des sha1 sha2 md5 pem pkcs1 gmp random hmac xcbc stroke kernel-netlink socket-default updown
+  load = aes des sha1 sha2 md5 pem pkcs1 gmp random nonce hmac stroke kernel-netlink socket-default updown
 }
index 882ea04..699d8fd 100644 (file)
@@ -1,5 +1,5 @@
 # /etc/strongswan.conf - strongSwan configuration file
 
 charon {
-  load = aes des sha1 sha2 md5 pem pkcs1 gmp random hmac xcbc stroke kernel-netlink socket-default updown
+  load = aes des sha1 sha2 md5 pem pkcs1 gmp random nonce hmac stroke kernel-netlink socket-default updown
 }
index 882ea04..699d8fd 100644 (file)
@@ -1,5 +1,5 @@
 # /etc/strongswan.conf - strongSwan configuration file
 
 charon {
-  load = aes des sha1 sha2 md5 pem pkcs1 gmp random hmac xcbc stroke kernel-netlink socket-default updown
+  load = aes des sha1 sha2 md5 pem pkcs1 gmp random nonce hmac stroke kernel-netlink socket-default updown
 }
index 4ed973c..551eae2 100644 (file)
@@ -1,12 +1,17 @@
-moon::ipsec statusall::rw.*ESTABLISHED::YES
-carol::ipsec statusall::home.*ESTABLISHED::YES
-dave::ipsec statusall::home.*ESTABLISHED::YES
-moon::cat /var/log/daemon.log::TS fec0:\:10/128 is contained in address block constraint fec0:\:10/128::YES
-moon::cat /var/log/daemon.log::TS fec0:\:20/128 is contained in address block constraint fec0:\:20/128::YES
+carol::ipsec status 2> /dev/null::home.*ESTABLISHED.*carol@strongswan.org.*moon.strongswan.org::YES
+dave:: ipsec status 2> /dev/null::home.*ESTABLISHED.*dave@strongswan.org.*moon.strongswan.org::YES
+moon:: ipsec status 2> /dev/null::rw\[1]: ESTABLISHED.*moon.strongswan.org.*carol@strongswan.org::YES
+moon:: ipsec status 2> /dev/null::rw\[2]: ESTABLISHED.*moon.strongswan.org.*dave@strongswan.org::YES
+carol::ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
+dave:: ipsec status 2> /dev/null::home.*INSTALLED, TUNNEL::YES
+moon:: ipsec status 2> /dev/null::rw[{]1}.*INSTALLED, TUNNEL::YES
+moon:: ipsec status 2> /dev/null::rw[{]2}.*INSTALLED, TUNNEL::YES
+moon:: cat /var/log/daemon.log::TS fec0:\:10/128 is contained in address block constraint fec0:\:10/128::YES
+moon:: cat /var/log/daemon.log::TS fec0:\:20/128 is contained in address block constraint fec0:\:20/128::YES
 carol::cat /var/log/daemon.log::TS fec1:\:/16 is contained in address block constraint fec1:\:/16::YES
-dave::cat /var/log/daemon.log::TS fec1:\:/16 is contained in address block constraint fec1:\:/16::YES
+dave:: cat /var/log/daemon.log::TS fec1:\:/16 is contained in address block constraint fec1:\:/16::YES
 carol::ping6 -c 1 ip6-alice.strongswan.org::64 bytes from ip6-alice.strongswan.org: icmp_seq=1::YES
-dave::ping6 -c 1 ip6-alice.strongswan.org::64 bytes from ip6-alice.strongswan.org: icmp_seq=1::YES
+dave:: ping6 -c 1 ip6-alice.strongswan.org::64 bytes from ip6-alice.strongswan.org: icmp_seq=1::YES
 moon::tcpdump::IP6 ip6-carol.strongswan.org > ip6-moon.strongswan.org: ESP::YES
 moon::tcpdump::IP6 ip6-moon.strongswan.org > ip6-carol.strongswan.org: ESP::YES
 moon::tcpdump::IP6 ip6-dave.strongswan.org > ip6-moon.strongswan.org: ESP::YES
index b4138be..712be99 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-        crlcheckinterval=180
-       strictcrlpolicy=no
        plutostart=no
 
 ca strongswan
index 94873dd..2b824dc 100644 (file)
@@ -2,5 +2,5 @@
 
 charon {
   hash_and_url = yes
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation addrblock hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation addrblock hmac stroke kernel-netlink socket-default updown
 }
index cc7e09b..7088175 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-        crlcheckinterval=180
-       strictcrlpolicy=no
        plutostart=no
 
 ca strongswan
index 94873dd..e2593c1 100644 (file)
@@ -2,5 +2,5 @@
 
 charon {
   hash_and_url = yes
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation addrblock hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 nonce revocation addrblock hmac stroke kernel-netlink socket-default updown
 }
index 4832bb8..cf942fc 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-        crlcheckinterval=180
-       strictcrlpolicy=no
        plutostart=no
 
 ca strongswan
index 94873dd..2b824dc 100644 (file)
@@ -2,5 +2,5 @@
 
 charon {
   hash_and_url = yes
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation addrblock hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation addrblock hmac stroke kernel-netlink socket-default updown
 }
index 2010557..5ae9d2c 100644 (file)
@@ -1,7 +1,9 @@
-moon::ipsec status::host-host.*STATE_QUICK_I2.*IPsec SA established::YES
-sun::ipsec status::host-host.*STATE_QUICK_R2.*IPsec SA established::YES
+moon::ipsec status 2> /dev/null::host-host.*ESTABLISHED.*moon.strongswan.org.*sun.strongswan.org::YES
+sun:: ipsec status 2> /dev/null::host-host.*ESTABLISHED.*sun.strongswan.org.*moon.strongswan.org::YES
+moon::ipsec status 2> /dev/null::host-host.*INSTALLED, TRANSPORT::YES
+sun:: ipsec status 2> /dev/null::host-host.*INSTALLED, TRANSPORT::YES
 moon::ip xfrm state::mode transport::YES
-sun::ip xfrm state::mode transport::YES
+sun:: ip xfrm state::mode transport::YES
 moon::ping6 -c 1 -p deadbeef ip6-sun.strongswan.org::64 bytes from ip6-sun.strongswan.org: icmp_seq=1::YES
 sun::tcpdump::IP6 ip6-moon.strongswan.org > ip6-sun.strongswan.org: ESP::YES
 sun::tcpdump::IP6 ip6-sun.strongswan.org > ip6-moon.strongswan.org: ESP::YES
index 521d1ce..343fd49 100755 (executable)
@@ -45,14 +45,22 @@ start() {
        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
 
-       # allow crl fetch from winnetou
-       iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
-       iptables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP_WINNETOU -j ACCEPT
+       # allow crl and certficate fetch from winnetou
+       ip6tables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP6_WINNETOU -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP6_WINNETOU -j ACCEPT
+
+       # allow last IPv6 UDP fragments
+       ip6tables -A INPUT  -p udp -m frag --fraglast -j ACCEPT
+       ip6tables -A OUTPUT -p udp -m frag --fraglast -j ACCEPT
 
        # allow ssh
        iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 
+       # log dropped packets
+       ip6tables -A INPUT  -j LOG --log-prefix " IN: "
+       ip6tables -A OUTPUT -j LOG --log-prefix " OUT: "
+
        eend $?
 }
 
index 69ba505..4da381f 100755 (executable)
@@ -1,10 +1,13 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       plutodebug=control
-       crlcheckinterval=180
-       strictcrlpolicy=no
-       charonstart=no
+       plutostart=no
+
+ca strongswan
+       cacert=strongswanCert.pem
+       certuribase=http://ip6-winnetou.strongswan.org/certs/
+       crluri=http://ip6-winnetou.strongswan.org/strongswan.crl
+       auto=add
 
 conn %default
        ikelifetime=60m
diff --git a/testing/tests/ipv6/transport-ikev1/hosts/moon/etc/strongswan.conf b/testing/tests/ipv6/transport-ikev1/hosts/moon/etc/strongswan.conf
new file mode 100644 (file)
index 0000000..ca23c69
--- /dev/null
@@ -0,0 +1,5 @@
+# /etc/strongswan.conf - strongSwan configuration file
+
+charon {
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
+}
index 521d1ce..47db6db 100755 (executable)
@@ -45,14 +45,22 @@ start() {
        ip6tables -A INPUT  -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
        ip6tables -A OUTPUT -p icmpv6 --icmpv6-type neighbor-advertisement -j ACCEPT
 
-       # allow crl fetch from winnetou
-       iptables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP_WINNETOU -j ACCEPT
-       iptables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP_WINNETOU -j ACCEPT
+       # allow last IPv6 UDP fragments
+       ip6tables -A INPUT  -p udp -m frag --fraglast -j ACCEPT
+       ip6tables -A OUTPUT -p udp -m frag --fraglast -j ACCEPT
+
+       # allow crl and certificate fetch from winnetou
+       ip6tables -A INPUT  -i eth0 -p tcp --sport 80 -s PH_IP6_WINNETOU -j ACCEPT
+       ip6tables -A OUTPUT -o eth0 -p tcp --dport 80 -d PH_IP6_WINNETOU -j ACCEPT
 
        # allow ssh
        iptables -A INPUT  -p tcp --dport 22 -j ACCEPT
        iptables -A OUTPUT -p tcp --sport 22 -j ACCEPT
 
+       # log dropped packets
+       ip6tables -A INPUT  -j LOG --log-prefix " IN: "
+       ip6tables -A OUTPUT -j LOG --log-prefix " OUT: "
+
        eend $?
 }
 
index a7c6b18..b7f7911 100755 (executable)
@@ -1,10 +1,13 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       plutodebug=control
-       crlcheckinterval=180
-       strictcrlpolicy=no
-       charonstart=no
+       plutostart=no
+
+ca strongswan
+       cacert=strongswanCert.pem
+       certuribase=http://ip6-winnetou.strongswan.org/certs/
+       crluri=http://ip6-winnetou.strongswan.org/strongswan.crl
+       auto=add
 
 conn %default
        ikelifetime=60m
diff --git a/testing/tests/ipv6/transport-ikev1/hosts/sun/etc/strongswan.conf b/testing/tests/ipv6/transport-ikev1/hosts/sun/etc/strongswan.conf
new file mode 100644 (file)
index 0000000..ca23c69
--- /dev/null
@@ -0,0 +1,5 @@
+# /etc/strongswan.conf - strongSwan configuration file
+
+charon {
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
+}
index 3536fd8..7e97e77 100644 (file)
@@ -4,3 +4,4 @@ moon::ipsec start
 sun::ipsec start
 moon::sleep 2 
 moon::ipsec up host-host
+moon::sleep 1
index f1e26e7..0dfba54 100644 (file)
@@ -1,8 +1,10 @@
+moon::ipsec status 2> /dev/null::host-host.*ESTABLISHED.*moon.strongswan.org.*sun.strongswan.org::YES
+sun:: ipsec status 2> /dev/null::host-host.*ESTABLISHED.*sun.strongswan.org.*moon.strongswan.org::YES
+moon::ipsec status 2> /dev/null::host-host.*INSTALLED, TRANSPORT::YES
+sun:: ipsec status 2> /dev/null::host-host.*INSTALLED, TRANSPORT::YES
 moon::cat /var/log/daemon.log::parsed IKE_AUTH response.*N(USE_TRANSP)::YES
-moon::ipsec status::host-host.*INSTALLED.*TRANSPORT::YES
-sun::ipsec status::host-host.*INSTALLED.*TRANSPORT::YES
 moon::ip xfrm state::mode transport::YES
-sun::ip xfrm state::mode transport::YES
+sun:: ip xfrm state::mode transport::YES
 moon::ping6 -c 1 -p deadbeef ip6-sun.strongswan.org::64 bytes from ip6-sun.strongswan.org: icmp_seq=1::YES
 sun::tcpdump::IP6 ip6-moon.strongswan.org > ip6-sun.strongswan.org: ESP::YES
 sun::tcpdump::IP6 ip6-sun.strongswan.org > ip6-moon.strongswan.org: ESP::YES
index 0d9e275..00f286e 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       strictcrlpolicy=no
-       crlcheckinterval=180
        plutostart=no
 
 ca strongswan
index d934984..5ef523e 100644 (file)
@@ -2,5 +2,5 @@
 
 charon {
   hash_and_url = yes
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
 }
index 2694998..6fdd248 100755 (executable)
@@ -1,8 +1,6 @@
 # /etc/ipsec.conf - strongSwan IPsec configuration file
 
 config setup
-       strictcrlpolicy=no
-       crlcheckinterval=180
        plutostart=no
 
 ca strongswan
index d934984..5ef523e 100644 (file)
@@ -2,5 +2,5 @@
 
 charon {
   hash_and_url = yes
-  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random x509 revocation hmac xcbc stroke kernel-netlink socket-default updown
+  load = curl aes des sha1 sha2 md5 pem pkcs1 gmp random nonce x509 revocation hmac stroke kernel-netlink socket-default updown
 }