Adding even more stuff from the CABAL branch.
[tinc] / src / net_packet.c
1 /*
2     net_packet.c -- Handles in- and outgoing VPN packets
3     Copyright (C) 1998-2002 Ivo Timmermans <itimmermans@bigfoot.com>,
4                   2000-2002 Guus Sliepen <guus@sliepen.warande.net>
5
6     This program is free software; you can redistribute it and/or modify
7     it under the terms of the GNU General Public License as published by
8     the Free Software Foundation; either version 2 of the License, or
9     (at your option) any later version.
10
11     This program is distributed in the hope that it will be useful,
12     but WITHOUT ANY WARRANTY; without even the implied warranty of
13     MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.  See the
14     GNU General Public License for more details.
15
16     You should have received a copy of the GNU General Public License
17     along with this program; if not, write to the Free Software
18     Foundation, Inc., 675 Mass Ave, Cambridge, MA 02139, USA.
19
20     $Id: net_packet.c,v 1.2 2002/04/09 15:26:00 zarq Exp $
21 */
22
23 #include "config.h"
24
25 #include <errno.h>
26 #include <fcntl.h>
27 #include <netdb.h>
28 #include <netinet/in.h>
29 #ifdef HAVE_LINUX
30  #include <netinet/ip.h>
31  #include <netinet/tcp.h>
32 #endif
33 #include <stdio.h>
34 #include <stdlib.h>
35 #include <string.h>
36 #include <signal.h>
37 #include <sys/time.h>
38 #include <sys/types.h>
39 #include <syslog.h>
40 #include <unistd.h>
41 #include <sys/ioctl.h>
42 /* SunOS really wants sys/socket.h BEFORE net/if.h,
43    and FreeBSD wants these lines below the rest. */
44 #include <arpa/inet.h>
45 #include <sys/socket.h>
46 #include <net/if.h>
47
48 #include <openssl/rand.h>
49 #include <openssl/evp.h>
50 #include <openssl/pem.h>
51 #include <openssl/hmac.h>
52
53 #ifndef HAVE_RAND_PSEUDO_BYTES
54 #define RAND_pseudo_bytes RAND_bytes
55 #endif
56
57 #include <zlib.h>
58
59 #include <utils.h>
60 #include <xalloc.h>
61 #include <avl_tree.h>
62 #include <list.h>
63
64 #include "conf.h"
65 #include "connection.h"
66 #include "meta.h"
67 #include "net.h"
68 #include "netutl.h"
69 #include "process.h"
70 #include "protocol.h"
71 #include "subnet.h"
72 #include "graph.h"
73 #include "process.h"
74 #include "route.h"
75 #include "device.h"
76 #include "event.h"
77
78 #include "system.h"
79
80 int keylifetime = 0;
81 int keyexpires = 0;
82
83 #define MAX_SEQNO 1073741824
84
85 /* VPN packet I/O */
86
87 void receive_udppacket(node_t *n, vpn_packet_t *inpkt)
88 {
89   vpn_packet_t pkt1, pkt2;
90   vpn_packet_t *pkt[] = {&pkt1, &pkt2, &pkt1, &pkt2};
91   int nextpkt = 0;
92   vpn_packet_t *outpkt = pkt[0];
93   int outlen, outpad;
94   long int complen = MTU + 12;
95   EVP_CIPHER_CTX ctx;
96   char hmac[EVP_MAX_MD_SIZE];
97 cp
98   /* Check the message authentication code */
99
100   if(myself->digest && myself->maclength)
101     {
102       inpkt->len -= myself->maclength;
103       HMAC(myself->digest, myself->key, myself->keylength, (char *)&inpkt->seqno, inpkt->len, hmac, NULL);
104       if(memcmp(hmac, (char *)&inpkt->seqno + inpkt->len, myself->maclength))
105         {
106           if(debug_lvl >= DEBUG_TRAFFIC)
107             syslog(LOG_DEBUG, _("Got unauthenticated packet from %s (%s)"), n->name, n->hostname);
108           return;
109         }
110     }
111
112   /* Decrypt the packet */
113
114   if(myself->cipher)
115   {
116     outpkt = pkt[nextpkt++];
117
118     EVP_DecryptInit(&ctx, myself->cipher, myself->key, myself->key + myself->cipher->key_len);
119     EVP_DecryptUpdate(&ctx, (char *)&outpkt->seqno, &outlen, (char *)&inpkt->seqno, inpkt->len);
120     EVP_DecryptFinal(&ctx, (char *)&outpkt->seqno + outlen, &outpad);
121
122     outpkt->len = outlen + outpad;
123     inpkt = outpkt;
124   }
125
126   /* Check the sequence number */
127
128   inpkt->len -= sizeof(inpkt->seqno);
129   inpkt->seqno = ntohl(inpkt->seqno);
130
131   if(inpkt->seqno <= n->received_seqno)
132   {
133     if(debug_lvl >= DEBUG_TRAFFIC)
134       syslog(LOG_DEBUG, _("Got late or replayed packet from %s (%s), seqno %d"), n->name, n->hostname, inpkt->seqno);
135     return;
136   }
137   
138   n->received_seqno = inpkt->seqno;
139
140   if(n->received_seqno > MAX_SEQNO)
141     keyexpires = 0;
142
143   /* Decompress the packet */
144   
145   if(myself->compression)
146   {
147     outpkt = pkt[nextpkt++];
148
149     if(uncompress(outpkt->data, &complen, inpkt->data, inpkt->len) != Z_OK)
150     {
151       syslog(LOG_ERR, _("Error while uncompressing packet from %s (%s)"), n->name, n->hostname);
152       return;
153     }
154     
155     outpkt->len = complen;
156     inpkt = outpkt;
157   }
158
159   receive_packet(n, inpkt);
160 cp
161 }
162
163 void receive_tcppacket(connection_t *c, char *buffer, int len)
164 {
165   vpn_packet_t outpkt;
166 cp
167   outpkt.len = len;
168   memcpy(outpkt.data, buffer, len);
169
170   receive_packet(c->node, &outpkt);
171 cp
172 }
173
174 void receive_packet(node_t *n, vpn_packet_t *packet)
175 {
176 cp
177   if(debug_lvl >= DEBUG_TRAFFIC)
178     syslog(LOG_DEBUG, _("Received packet of %d bytes from %s (%s)"), packet->len, n->name, n->hostname);
179
180   route_incoming(n, packet);
181 cp
182 }
183
184 void send_udppacket(node_t *n, vpn_packet_t *inpkt)
185 {
186   vpn_packet_t pkt1, pkt2;
187   vpn_packet_t *pkt[] = {&pkt1, &pkt2, &pkt1, &pkt2};
188   int nextpkt = 0;
189   vpn_packet_t *outpkt;
190   int origlen;
191   int outlen, outpad;
192   long int complen = MTU + 12;
193   EVP_CIPHER_CTX ctx;
194   vpn_packet_t *copy;
195   static int priority = 0;
196   int origpriority;
197   int sock;
198 cp
199   /* Make sure we have a valid key */
200
201   if(!n->status.validkey)
202     {
203       if(debug_lvl >= DEBUG_TRAFFIC)
204         syslog(LOG_INFO, _("No valid key known yet for %s (%s), queueing packet"),
205                n->name, n->hostname);
206
207       /* Since packet is on the stack of handle_tap_input(),
208          we have to make a copy of it first. */
209
210       copy = xmalloc(sizeof(vpn_packet_t));
211       memcpy(copy, inpkt, sizeof(vpn_packet_t));
212
213       list_insert_tail(n->queue, copy);
214
215       if(n->queue->count > MAXQUEUELENGTH)
216         list_delete_head(n->queue);
217
218       if(!n->status.waitingforkey)
219         send_req_key(n->nexthop->connection, myself, n);
220
221       n->status.waitingforkey = 1;
222
223       return;
224     }
225
226   origlen = inpkt->len;
227   origpriority = inpkt->priority;
228
229   /* Compress the packet */
230
231   if(n->compression)
232   {
233     outpkt = pkt[nextpkt++];
234
235     if(compress2(outpkt->data, &complen, inpkt->data, inpkt->len, n->compression) != Z_OK)
236     {
237       syslog(LOG_ERR, _("Error while compressing packet to %s (%s)"), n->name, n->hostname);
238       return;
239     }
240     
241     outpkt->len = complen;
242     inpkt = outpkt;
243   }
244
245   /* Add sequence number */
246
247   inpkt->seqno = htonl(++(n->sent_seqno));
248   inpkt->len += sizeof(inpkt->seqno);
249
250   /* Encrypt the packet */
251
252   if(n->cipher)
253   {
254     outpkt = pkt[nextpkt++];
255
256     EVP_EncryptInit(&ctx, n->cipher, n->key, n->key + n->cipher->key_len);
257     EVP_EncryptUpdate(&ctx, (char *)&outpkt->seqno, &outlen, (char *)&inpkt->seqno, inpkt->len);
258     EVP_EncryptFinal(&ctx, (char *)&outpkt->seqno + outlen, &outpad);
259
260     outpkt->len = outlen + outpad;
261     inpkt = outpkt;
262   }
263
264   /* Add the message authentication code */
265
266   if(n->digest && n->maclength)
267     {
268       HMAC(n->digest, n->key, n->keylength, (char *)&inpkt->seqno, inpkt->len, (char *)&inpkt->seqno + inpkt->len, &outlen);
269       inpkt->len += n->maclength;
270     }
271
272   /* Determine which socket we have to use */
273
274   for(sock = 0; sock < listen_sockets; sock++)
275     if(n->address.sa.sa_family == listen_socket[sock].sa.sa.sa_family)
276       break;
277
278   if(sock >= listen_sockets)
279     sock = 0;  /* If none is available, just use the first and hope for the best. */
280   
281   /* Send the packet */
282
283 #if defined(SOL_IP) && defined(IP_TOS)
284   if(priorityinheritance && origpriority != priority && listen_socket[sock].sa.sa.sa_family == AF_INET)
285     {
286       priority = origpriority;
287       if(debug_lvl >= DEBUG_TRAFFIC)
288         syslog(LOG_DEBUG, _("Setting outgoing packet priority to %d"), priority);
289       if(setsockopt(sock, SOL_IP, IP_TOS, &priority, sizeof(priority))) /* SO_PRIORITY doesn't seem to work */
290         syslog(LOG_ERR, _("System call `%s' failed: %s"), "setsockopt", strerror(errno));
291     }
292 #endif
293
294   if((sendto(listen_socket[sock].udp, (char *)&inpkt->seqno, inpkt->len, 0, &(n->address.sa), SALEN(n->address.sa))) < 0)
295     {
296       syslog(LOG_ERR, _("Error sending packet to %s (%s): %s"),
297              n->name, n->hostname, strerror(errno));
298       return;
299     }
300   
301   inpkt->len = origlen;
302 cp
303 }
304
305 /*
306   send a packet to the given vpn ip.
307 */
308 void send_packet(node_t *n, vpn_packet_t *packet)
309 {
310   node_t *via;
311 cp
312   if(debug_lvl >= DEBUG_TRAFFIC)
313     syslog(LOG_ERR, _("Sending packet of %d bytes to %s (%s)"),
314            packet->len, n->name, n->hostname);
315
316   if(n == myself)
317     {
318       if(debug_lvl >= DEBUG_TRAFFIC)
319         {
320           syslog(LOG_NOTICE, _("Packet is looping back to us!"));
321         }
322
323       return;
324     }
325  
326   if(!n->status.reachable)
327     {
328       if(debug_lvl >= DEBUG_TRAFFIC)
329         syslog(LOG_INFO, _("Node %s (%s) is not reachable"),
330                n->name, n->hostname);
331       return;
332     }
333
334   via = (n->via == myself)?n->nexthop:n->via;
335
336   if(via != n && debug_lvl >= DEBUG_TRAFFIC)
337     syslog(LOG_ERR, _("Sending packet to %s via %s (%s)"),
338            n->name, via->name, n->via->hostname);
339
340   if((myself->options | via->options) & OPTION_TCPONLY)
341     {
342       if(send_tcppacket(via->connection, packet))
343         terminate_connection(via->connection, 1);
344     }
345   else
346     send_udppacket(via, packet);
347 }
348
349 /* Broadcast a packet using the minimum spanning tree */
350
351 void broadcast_packet(node_t *from, vpn_packet_t *packet)
352 {
353   avl_node_t *node;
354   connection_t *c;
355 cp
356   if(debug_lvl >= DEBUG_TRAFFIC)
357     syslog(LOG_INFO, _("Broadcasting packet of %d bytes from %s (%s)"),
358            packet->len, from->name, from->hostname);
359
360   for(node = connection_tree->head; node; node = node->next)
361     {
362       c = (connection_t *)node->data;
363       if(c->status.active && c->status.mst && c != from->nexthop->connection)
364         send_packet(c->node, packet);
365     }
366 cp
367 }
368
369 void flush_queue(node_t *n)
370 {
371   list_node_t *node, *next;
372 cp
373   if(debug_lvl >= DEBUG_TRAFFIC)
374     syslog(LOG_INFO, _("Flushing queue for %s (%s)"), n->name, n->hostname);
375
376   for(node = n->queue->head; node; node = next)
377     {
378       next = node->next;
379       send_udppacket(n, (vpn_packet_t *)node->data);
380       list_delete_node(n->queue, node);
381     }
382 cp
383 }
384
385 void handle_incoming_vpn_data(int sock)
386 {
387   vpn_packet_t pkt;
388   int x, l = sizeof(x);
389   char *hostname;
390   sockaddr_t from;
391   socklen_t fromlen = sizeof(from);
392   node_t *n;
393 cp
394   if(getsockopt(sock, SOL_SOCKET, SO_ERROR, &x, &l) < 0)
395     {
396       syslog(LOG_ERR, _("This is a bug: %s:%d: %d:%s"),
397              __FILE__, __LINE__, sock, strerror(errno));
398       cp_trace();
399       exit(1);
400     }
401   if(x)
402     {
403       syslog(LOG_ERR, _("Incoming data socket error: %s"), strerror(x));
404       return;
405     }
406
407   if((pkt.len = recvfrom(sock, (char *)&pkt.seqno, MAXSIZE, 0, &from.sa, &fromlen)) <= 0)
408     {
409       syslog(LOG_ERR, _("Receiving packet failed: %s"), strerror(errno));
410       return;
411     }
412
413   sockaddrunmap(&from);  /* Some braindead IPv6 implementations do stupid things. */
414
415   n = lookup_node_udp(&from);
416
417   if(!n)
418     {
419       hostname = sockaddr2hostname(&from);
420       syslog(LOG_WARNING, _("Received UDP packet from unknown source %s"), hostname);
421       free(hostname);
422       return;
423     }
424
425   if(n->connection)
426     n->connection->last_ping_time = now;
427
428   receive_udppacket(n, &pkt);
429 cp
430 }
431