Hi@all,

nachdem ich den Artikel in der aktuellen CT' gelesen habe und auch hier im Forum einige Postings zu diesem Thema gefunden habe, wollte ich mich auch mal daran machen zwei getrennte Netzwerke durch einen geschützten Tunnel durch Internet zu verbinden. Beide Netze benutzen als Zugang zum Internet eine Firewall auf Basis von Debian-3.0 welche auch als Router fungiert.
Auf selbiger benutze ich einen angepassten 2.4.18 Debian-Kernel.

Nun habe ich einige prinzipielle Fragen:

1. FreeS/WAN benutzt ja IPSec. Müssen hierzu am Kernel bestimmte Anpassungen vorgenommen werden oder benötige ich evtl. sogar ein Kernel- Update oder Patch?

2. Wenn ich auf meiner Firewall ein 'apt-cache search freeswan' ausführe erhalte ich folgende Ausgabe:

freeswan - IPSEC utilities for FreeSWan
kernel-patch-freeswan - IPSEC kernel support for FreeSwan

Hier wird freeswan als IPSEC utilities für FreeSWan bezeichnet. Diese Bezeichnung ist für mich etwas Missverständlich. Handelt es sich bei diesem Paket um das eigentliche FreeS/WAN oder lediglich um einen Zusatz für selbiges?

Gruss Pixel

jo du musst nen neuen kernel kompilieren.
Und zwar genau diesen Patch einspielen den du gefunden hast.

Und es handelt sich hierbei um Free/Swan. Dies is eine IPSEC implementierung für Linux.

Gar net so einfach ich kämpf grad damit ;) (2 Postings weiter unten) ;)

auch ein Debian System... genau die gleiche Config wie du .... wenn was rausbekommst einfach mal posten :cool: ja ?
Mach ich auch oki ?


Gruß Temp

Danke,

gibt's dieses Patch auch als ganz 'normales' File? Auf dem 2. Gateway habe ich einen selbstgebauten Kernel (von Kernel.org).

Gruss Pixel

ahjo klaro....

tu dir mal entweder superFreeswan runterladen

http://freshmeat.net/branches/36937/

schaug mal da....

oder du spielst den patch in das orginale ein ... weiß grad net wo den findest aba google müsste helfen ;)


http://www.strongsec.com/freeswan/install.htm

schau dir das mal an schaut ganz gut aus ...

Gruß Temp

Hi@all,

ich habe jetzt den ganzen Nachmittag gegoogelt und kein Patch für einen 2.4.21-Kernel gefunden. Ich benötige doch ein File welches ich per patch - Befehl in die Sourcen meines Kernels einbaue und anschliessend neu übersetze. Oder habe ich da was falsch verstanden?

Gruss Pixel

hmmm wie alt is der 21er.... kann schon sein das freeswan hinterherhinkt... :(

Nimm mal nen kleineren ;)

Gruß Temp

für einen Kernel, der noch nicht veröffentlicht ist kann es auch keinen Patch gebeb. Aktuell ist der 2.4.20er.

Steve

Hi@all,

ok das ist kein Problem. Einen 2.4.20-Kernel habe ich auf dem Rechner auch drauf. Und wo bekomme ich hierfür mein Patch-File ???????

Gruss Pixel

1. es braucht kein Kernel neu zu kompiliert werden, wenn ihr freeswan als Modul installiert.
2. freeswan für alle 2.2er und 2.4er Kernel bekommt ihr hier http://www.freeswan.org
3. ich empfehle euch das x.509 patch von http://www.strongsec.com
4. installation läuft nach dem Schema:
- freeswan sourcen runterladen /usr/src
- link zu den kernelquellen eures Kernels erstellen /usr/src/linux
- x509 patch installieren (patch -p1 < freeswan.diff , im freeswan verzeichnis)
- make oldmod und make minstall
5. /etc/init.d/ipsec start|stop startet IPsec
6. ipsec verify zeigt, ob die installation erfolgreich war

gruß gurkenpapst

Hi@all,

ok mein Kernel unterstützt nun IPSec. FreeS/WAN habe ich ja bereits mittels apt-get installiert. Wenn ich der Anleitung in der CT' folge müsste es doch nun unterhalb von /etc ein Verzeichnis ipsec.d liegen oder? Da steht beschrieben das FreeS/WAN seine Dateien unterhalb von ipsec.d sucht.

Desweiteren muss ich in /etc die Datei ipsec.conf bestehen. Ich denke die muss ich neu erzeugen was anhand des Beispieles nicht so das Problem sein sollte. Viel mehr sorgen macht mir das o.g. fehlende Verzeichnis.

Mein Kernel unterstützt keine Module. Die Unterstützung für IPSec ist jedoch fest eingebaut.

Gruss Pixel

kannst du mit ipsec verify überprüfen, ob es funktioniert?

freeswan verteilt seine Dateien folgendermassen:

/etc
|
|--/ipsec.d
| |
| |--/private
| |
| |--/cacerts
| |
| |--/crls
|--ipsec.conf
|
|--ipsec.secrets
|
|--x509cert.der

Wobei hier das x509 patch berücksichtigt wurde.

Hi@all,

ok ich werde jetzt mal die von gurkenpapst beschriebene Vorgenensweise versuchen:

1. es braucht kein Kernel neu zu kompiliert werden, wenn ihr freeswan als Modul installiert.
2. freeswan für alle 2.2er und 2.4er Kernel bekommt ihr hier http://www.freeswan.org
3. ich empfehle euch das x.509 patch von http://www.strongsec.com
4. installation läuft nach dem Schema:
- freeswan sourcen runterladen /usr/src
- link zu den kernelquellen eures Kernels erstellen /usr/src/linux
- x509 patch installieren (patch -p1 < freeswan.diff , im freeswan verzeichnis)
- make oldmod und make minstall
5. /etc/init.d/ipsec start|stop startet IPsec
6. ipsec verify zeigt, ob die installation erfolgreich war

Aber eine generelle Frage zu der Sache habe ich schon. Ich habe ja zu Beginn mit 'apt-get install freeswan' doch eigentlich das Paket installiert. Was hat der eigentlich installiert wenn ich nicht mal das Verzeichnis ipsec.d finde?

Was genau ist eigentlich FreeS/WAN, eine IPSec Implementierung die als Modul läuft? Ist das das was im 2.6 Kernel enthalten sein wird?

Ich gehe wohl richtig in der Annahme das mein Kernel Module unterstützen muss um FreeS/WAN zu benutzen?

Gruss Pixel

Hi@all,

also ich habe sowohl das FreeS/WAN wie auch das x509-Patch nach /usr/src kopiert und entpackt. Anschliessend den Patch angewendet. Wenn ich nun im freeswan-Verzeichnis 'make oldmod' aufrufe erhalte ich die Fehlermeldung:

make[2]: Leaving directory `/usr/src/freeswan-2.00/programs/proc'
make[2]: Entering directory `/usr/src/freeswan-2.00/programs/pluto'
cc -I../../linux/include -DPLUTO -DKLIPS -DX509=\"X.509-1.3.1\" -DDEBUG -DGCC_LINT -DSHARED_SECRETS_FILE=\"/etc/ipsec.secrets\" -DPOLICYGROUPSDIR=\"/etc/ipsec.d/policies\" -g -Wall -W -Wmissing-prototypes -Wpointer-arith -Wbad-function-cast -Wcast-qual -Wmissing-declarations -Wwrite-strings -Wstrict-prototypes -c pem.c
pem.c:28: des.h: No such file or directory
make[2]: *** [pem.o] Error 1
make[2]: Leaving directory `/usr/src/freeswan-2.00/programs/pluto'
make[1]: *** [programs] Error 1
make[1]: Leaving directory `/usr/src/freeswan-2.00/programs'
make: *** [programs] Error 1

Was passt da nicht?

Gruss Pixel

liegen deine Kernelquellen unter /usr/src/linux?

Er findet die Datei des.h nicht.

habe vergessen das freeswan 2.00 veröffentlicht wurde. Die obige anleitung bezieht sich auf 1.99. Werde mal nachschauen wie es bei der aktuellen Version abläuft.

Hi@all,

liegen deine Kernelquellen unter /usr/src/linux?
jo, linux -> kernel-source-2.4.18
Er findet die Datei des.h nicht.
Die Datei des.h ist aber vorhanden:

find -name 'des.h'
./kernel-source-2.4.18/include/crypto/des.h
./freeswan-2.00/linux/include/crypto/des.h

ich habe die ganz Nacht durchgegoogelt, jedoch nichts über das Problem gefunden :confused:

Gruss Pixel

Hallo,

ich hatte das selbe Problem mit FreeS/Wan 2.0 auf Debian testing mit 2.4.20er kernel. Die Version 1.99 lässt sich jedoch einwandfrei kompilieren. Auch mit eingepatchter crypto-api (die ja nochmal eine des.h mitbringt), hab ich das 2.0er Release nicht zum laufen bewegen können. Nimm am besten 1.99. Die funktioniert bei mir sowohl ohne als auch mit x509-Patches.

Gruss, emwe

er sucht aber die des.h in "-I../../linux/include -DPLUTO..." und nicht in "./kernel-source-2.4.18/include/crypto/des.h". Außerdem gibt es in meinen Kernel-Sourcen kein Verzeichnis /include/crypto. Was mich zu dem Schluss bringt das es dort auch normalerweise nicht zu finden ist weil sie dort garnicht hingehört ;-))

Nur mal so als unverbindlicher Tipp: Bei mir liegt die Datei des.h im Verzeichnis /usr/include/openssl/ ---> gehört also nicht zum Kernel sondern zu openssl. Würde auch Sinn machen, weil nämlich FreeSwan ohne openssl garnicht gehen kann!

MFG

Hi@all,

Würde auch Sinn machen, weil nämlich FreeSwan ohne openssl garnicht gehen kann!

Das würde auch die Aussage eines Users in einer Mailingliste die ich beim googlen gefunden habe decken. Der schrieb man solle openssl-dev installieren. Leider finde ich kein derartiges Paket. Woher kann ich das bekommen?


Gruss Pixel

Original geschrieben von pixel
Hi@all,



Das würde auch die Aussage eines Users in einer Mailingliste die ich beim googlen gefunden habe decken. Der schrieb man solle openssl-dev installieren. Leider finde ich kein derartiges Paket. Woher kann ich das bekommen?


Gruss Pixel


Das Paket schimpft sich meines Wissens nach libssl0.9.7,,, (je nach Version natürlich....) oder libssl-dev

www.openssl.org

@majobu,

Das Paket schimpft sich meines Wissens nach libssl0.9.7,,, (je nach Version natürlich....) oder libssl-dev

mit den beiden Paketen habe ich es probiert, an der Fehlermeldung ändert sich jedoch nichts.

Gruss Sven

aehm debian oder????

http://packages.debian.org/stable/devel/libssl-dev.html

gibts scho, kannst ja auch runterladen und dann mit dpkg installieren

ansonsten duerft ein apt-get install libssl-dev reichen.

Gruss Temp

Hi@all,

jo ist Debian und wie gesagt 'libssl-dev' ist bereits installiert :confused:

Gruss Pixel

Hi

ich hab den Thread hier mal zum anlass genommen, um mein VPN wieder zum laufen zu bringen, seit dem wechsel von suse zu debian hatte ich das als aufgeschoben :>

nundenn, ich hab einen gepatchden und laufenden kernel 2.4.20 mit ipsec, freeswan ist auch drauf, und läuft auch soweit. ABER wenn ich ipsec starte, funktioniert mein routing nicht mehr (tdsl, pppoed, iptables mit masquerade, squid). weder ein ping noch sonst irgendetwas kommt von den clients aus mehr ins internet.

gibts dafür schon bekannte fälle/lösungen?

achso die freeswan version:

# ipsec --version
Linux FreeS/WAN 2.01
See `ipsec --copyright' for copyright information.
X.509-1.4.1 distributed by Andreas Steffen <andreas.steffen@strongsec.com>

ich hab mir aus lauter verzweiflung mal die routing table angeschaut, uns dabei kommt folgendes raus:

god:/etc# route
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
217.5.98.54 * 255.255.255.255 UH 0 0 0 ppp0
217.5.98.54 * 255.255.255.255 UH 0 0 0 ipsec0
192.168.0.0 217.5.98.54 255.255.255.0 UG 0 0 0 ipsec0
192.168.0.0 * 255.255.254.0 U 0 0 0 eth1
default 217.5.98.54 128.0.0.0 UG 0 0 0 ipsec0
128.0.0.0 217.5.98.54 128.0.0.0 UG 0 0 0 ipsec0
default 217.5.98.54 0.0.0.0 UG 0 0 0 ppp0

kann mir mal einer erklären, warum ich 2 default routen habe, wenn ich ipsec starte? daher kommen meine clients warhscheinlich nicht mehr ins internet... oder?

hoffe auf eure hilfe

kaffeetrinker

[update]
nix für ungut, habs nach langem suchen auch ohne eure hilfe geschafft. rtfm hilft ab und an wunder :>