Archiv verlassen und diese Seite im Standarddesign anzeigen : ip-sicherheit wird verhandelt, mehr kommt beim anpingen des ipsec-gateway nicht
ich meine ich habe einen tunnel von windows nach linux aufgebaut und will jetzt das tunnelende auf linuxseite anpingen. das sollte ja nicht funktionieren. wenn ich jetzt das netz hinter dem gate anpingen will, kommt nur "ip-sicherheit wird verhandelt". die sollten sich doch nach ein paar pings geeinigt haben, oder?
ipsec.conf Linux
version 2
# basic configuration
config setup
interfaces="ipsec0=eth1" ##ist das ankommende interface
#interfaces=%defaultroute
klipsdebug=none
plutodebug=none
uniqueids=no
conn %default
keyingtries=1
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
compress=yes
conn roadwarrior
plutoload=%search
plutostart=%search
leftsubnet=192.168.121.0/255.255.255.0
right=%any
#left=%defaultroute
left=62.96.19.xxx
#rightid="/C=de/ST=nrw/L=duesseldorf/O=klaus/OU=unix/CN=gatekey/Email=w@w.de"
auto=start
leftcert=vpn-server.pem
rightcert=windows.pem
pfs=yes
Windows IPsec.conf
# basic configuration
conn roadwarrior
left=%any
right=62.96.19.156
rightsubnet=192.168.121.0/255.255.255.0
rightca="C=de, S=nrw, L=duesseldorf, O=klausine, OU=unix, CN=newca, Email=w@q.de"
network=auto
auto=start
pfs=yes
Wo Liegt denn der Fehler. WIe leite ich denn die anfragen vom äußeren (eth1) tunnelende ins innere lan (eth0) um?
danke euch schonma
Hi!
Das mit "IP Sicherheit wird verhandelt" sollte sich mit dem zweiten Ping langsam legen.
Scheinbar ist FreeS/WAN momentan wieder sehr angesagt ;)
Die erste Überprüfung am besten mit "ipsec barf |less" machen.
Am Ende des Files den Plutostart und das Laden der Zertifikate überprüfen.
Die Config schaut bei mir mal so aus (auf Dich umgelegt)
FreeS/WAN 2.02
/etc/ipsec.conf
config setup
interfaces="ipsec0=eth1
klipsdebug=none
plutodebug=none
conn roadwarrior ## man kann ja später eine %default machen
left=DEINE EXT_IP
leftnexthop=IP_des_nächsten_ROUTER # wenn vorhanden
leftrsasigkey=%cert
leftcert=vpn-server.pem
leftid="C=DE, O=... usw" ## Subject des vpn-server.pem
right=%any
rightrsasigkey=%cert
rightcert=windowsCert.pem
rightid="C=DE, O=... usw"
auto=add
# Keine OE
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore
Windows ipsec.conf
conn roadwarrior
left=%any
right=IP_des_VPN_Server
rightca="C=DE... usw" ## Common Name der CA!!!
network=lan
auto=start
pfs=yes
Manx
dies ist das ende der ausgabe ipsec barf:
+ egrep -i 'ipsec|klips|pluto'
+ cat
Oct 10 09:40:20 vpn-server ipsec_setup: Starting FreeS/WAN IPsec 2.02...
Oct 10 09:40:20 vpn-server ipsec_setup: Using /lib/modules/2.4.22/kernel/net/ipsec/ipsec.o
Oct 10 09:40:20 vpn-server kernel: klips_info:ipsec_init: KLIPS startup, FreeS/WAN IPSec version: 2.02
Oct 10 09:40:20 vpn-server ipsec_setup: KLIPS debug `none'
Oct 10 09:40:20 vpn-server ipsec_setup: KLIPS ipsec0 on eth1 62.96.19.156/255.255.255.224 broadcast 62.96.19.159
Oct 10 09:40:21 vpn-server ipsec_setup: ...FreeS/WAN IPsec started
Oct 10 09:40:21 vpn-server ipsec__plutorun: ipsec_auto: fatal error in "roadwarrior": (/etc/ipsec.conf, line 25) unknown parameter name "plutoload"
Oct 10 09:40:21 vpn-server ipsec__plutorun: ...could not add conn "roadwarrior"
Oct 10 09:40:21 vpn-server ipsec__plutorun: 021 no connection named "roadwarrior"
Oct 10 09:40:21 vpn-server ipsec__plutorun: ...could not route conn "roadwarrior"
Oct 10 09:40:21 vpn-server ipsec__plutorun: 021 no connection named "roadwarrior"
Oct 10 09:40:21 vpn-server ipsec__plutorun: ...could not start conn "roadwarrior"
+ _________________________ plog
+ sed -n '2827,$p' /var/log/auth.log
+ egrep -i pluto
+ cat
Oct 10 09:40:21 vpn-server ipsec__plutorun: Starting Pluto subsystem...
Oct 10 09:40:21 vpn-server pluto[4208]: Starting Pluto (FreeS/WAN Version 2.02 X.509-1.4.6 PLUTO_USES_KEYRR)
Oct 10 09:40:21 vpn-server pluto[4208]: Changing to directory '/etc/ipsec.d/cacerts'
Oct 10 09:40:21 vpn-server pluto[4208]: loaded cacert file 'cacert.pem' (1533 bytes)
Oct 10 09:40:21 vpn-server pluto[4208]: Changing to directory '/etc/ipsec.d/crls'
Oct 10 09:40:21 vpn-server pluto[4208]: loaded crl file 'crl.pem' (658 bytes)
Oct 10 09:40:21 vpn-server pluto[4208]: listening for IKE messages
Oct 10 09:40:21 vpn-server pluto[4208]: adding interface ipsec0/eth1 62.96.19.156
Oct 10 09:40:21 vpn-server pluto[4208]: loading secrets from "/etc/ipsec.secrets"
Oct 10 09:40:21 vpn-server pluto[4208]: loaded private key file '/etc/ipsec.d/private/vpn-server.key' (1751 bytes)
komisch zuerst kann er pluto nicht starten und dann doch?
.. versuch mal meine config bzw nimm das "plutoload" raus.
Im Logfile sollte schon stehen:
...
added connection description "roadwarrior"
...
Grüße
Manx
das hat es gebracht. endlich mal ne KOMPETENTE antwort.
alles klappt jetzt.
zu früh gefreut!!
wo kann ich sehen in welche richtung der tunnel aufgebaut ist? oder ist das egal.
der sinnd meines tunnels soll sein, daß ich mit einer gsm karte mich übers internet ins firmenlan "einwählen" kann.
dazu habe ich jetzt in beide config dateien das folgende eingetragen:
windows:
rightsubnet=192.168.121.0/255.255.255.0
linux: (vpn-gate)
leftsubnet=192.168.121.0/255.255.255.0
und schon gehts nicht mehr.
ich konnte vorher noch das gate anpingen (EXT_IP) dann wird kurz verhandelt und dann kommt ein response.
jetzt klappt das mit dem anpingen des gates noch, aber wenn ich jetzt eine ip hinter dem gate, also im leftsubnet anpinge kommt:
ip-sicherheit wird verhandelt und dann
zeitüberschreitung der anforderung usw.
was jetzt???
Hi!
Nach dem das bei mir auch erstmal eine Testumgebung ist, kann ich's mit einem LAN hinter dem VPN-Gateway nicht testen (kommt erst ;) )
Wieviele Interfaces/NICs hat das VPNGateway? - routing ist ein?
Welche IP im Firmenlan möchtest Du errreichen?
Hat das VPNGateway noch eine Funktion in der Firma (NAT Gateway o.ä)?
Grüße
Manx
PS: IMHO wartet der Gateway auf Verbindungen (auto=add), der Client initiiert den Aufbau (auto=start)
das gate hat keine weitere funktion, ist nur erstmal zu testen aufgebaut.
es hat 2 nic's: 192.168.121.91 und 62.96.19.156
ich möchte das 192.168.121.0 netz erreichen. alle weiteren ip's dahinter.
ist es möglich ein weiteres netz einzubinden?
sollte ich da bei beiden auto=start eintragen?
Original geschrieben von schrippe
sollte ich da bei beiden auto=start eintragen?
Nein, ich glaub "add" am Gateway und "start" am Client ist o.k
Ist Routing eingeschaltet?
cat /proc/sys/net/ipv4/ip_forward sollte 1 ergeben, wenn 0 =>
echo "1" > /proc/sys/net/ipv4/ip_forward
Manx
Vielleicht liegt es an deinem Certificate? :confused:
Hast du das Certificate "richtig" importiert, sprich "automatisch" hinzufuegen lassen? Das war das Prob das ich hatte, ich hatte es manuell hinzugefuegt...
Gruss,
Anubis
ja ich habe es in xp importier und automatisch angeklickt.
mittlerweile habe ich zweit sections draus gemacht. eine nur zum gate und eine zum gate und dann weiter zum subnetz. so bekomme ich wenigstens den tunnel zum gate hin. nur das netz dahinter funzt nicht.
Hi!
poste nochmal deine jetzigen Configs.
Ich hab die freeswan faqs eher überflogen, aber ich glaube, dass man bei einer Subnetdeklaration den Gateway NICHT mehr pingen kann, nur mehr das Netz dahinter.
Grüße
Manx
windows ipsec.conf:
version 2
# basic configuration
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
uniqueids=yes
conn %default
keyingtries=1
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
compress=yes
conn roadwarrior
right=%any
left=62.96.19.156
leftid="/C=de/ST=nrw/L=duesseldorf/O=wapme/OU=unix/CN=gatekey/Email=w@w.de"
rightid="/C=de/ST=windows/L=duesseldorf/O=wapme/OU=unix/CN=newcert/Email=q@ww.de"
auto=add
leftcert=vpn-server.pem
rightcert=windows.pem
pfs=yes
conn roadwarrior-net
leftnexthop=%defaultroute
rightnexthop=%defaultroute
rightsubnet=192.168.0.0/24
right=%any
left=62.96.19.156
leftid="/C=de/ST=nrw/L=duesseldorf/O=wapme/OU=unix/CN=gatekey/Email=w@w.de"
rightid="/C=de/ST=windows/L=duesseldorf/O=wapme/OU=unix/CN=newcert/Email=q@ww.de"
auto=add
leftcert=vpn-server.pem
rightcert=windows.pem
pfs=yes
/etc/ipsec.conf
# basic configuration^M
^M
^M
conn roadwarrior^M
keyingtries=0^M
left=%any^M
right=62.96.19.156^M
rightca="C=de,S=nrw,L=duesseldorf,O=wapme,OU=unix,CN=newca, Email=w@q.de"^M
network=auto^M
auto=start^M
pfs=yes^M
^M
conn roadwarrior-net^M
left=%any^M
leftnexthop=%defaultroute^M
right=62.96.19.156^M
rightsubnet=192.168.121.0/255.255.255.0^M
rightca="C=de,S=nrw,L=duesseldorf,O=wapme,OU=unix,CN=newca, Email=w@q.de"^M
network=auto^M
auto=start^M
pfs=yes
denk dir die ^M weg, die kommen von dem transport von win nach linux.
so wie oben bekomme ich den tunnel zum gate aufgebaut, aber ich kann nicht ins netz dahinter pingen. da kommt dann
ip-sicherheit wird verhandelt ....
hier noch die letzten zeilen von ipsec barf:
Oct 10 13:29:58 vpn-server pluto[12772]: "roadwarrior-net"[1] 62.96.19.157 #1: Peer ID is ID_DER_ASN1_DN: 'C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de'
Oct 10 13:29:58 vpn-server pluto[12772]: "roadwarrior-net"[1] 62.96.19.157 #1: sent MR3, ISAKMP SA established
Oct 10 13:29:58 vpn-server pluto[12772]: "roadwarrior"[1] 62.96.19.157 #2: responding to Quick Mode
Oct 10 13:29:59 vpn-server pluto[12772]: "roadwarrior"[1] 62.96.19.157 #2: IPsec SA established
+ _________________________ date
+ date
Fri Oct 10 13:30:04 CEST 2003
Hi!
auf die schnelle würd ich sagen fehlt am Gateway im "roadwarrior-net" eine "leftsubnet" Deklaration.
Manx
wie soll an denn eigentlich ein leftsubnet für den roadwarrior angeben? man weiß doch die ip normalerweise nicht.
ist doch sonst witzlos
Linux FreeS/WAN:
left == Gateway selber
right == roadwarrior
conn roadwarrior-net
leftnexthop=%defaultroute
rightnexthop=%defaultroute
rightsubnet=192.168.0.0/24 ### brauchst Du vielleicht nicht
right=%any
left=62.96.19.156 ### externe IP des Gateway
leftsubnet=192.168.121.0/24 ### das Netz in das du willst!
leftid="/C=de/ST=nrw/L=duesseldorf/O=...usw"
rightid="/C=de/ST=windows/L=duesseldorf/O=...usw"
auto=add
leftcert=vpn-server.pem
rightcert=windows.pem
pfs=yes
Grüße
Manx :confused:
ich hab eingetragen. pingen geht immer noch nicht
"roadwarrior-net"[1] 62.96.19.157 #1: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x9dff8fd9 (perhaps this is a duplicated packet)
dies ist die letzte zeile von ipsec barf wenn ich direkt nach dem tunnelaufbau ping 192.168.121.90 mache.
dann wird wieder nur die ip-sicherheit verhandelt.
danke dir trotzdem bis hierher.
Hi!
Hast Du vielleicht vorher eine Meldung wie:
"... cannot respond to IPsec SA request because no connection is known for ..."
Wenn ja => posten, dann ist's nur eine Kleinigkeit.
Grüße
Manx
PS: Mein Tunnel läuft schon :)
Dies sind die letzten Zeilen:
Nachdem ich den server neu gestartet habe ist das in blau aufgetaucht
Oct 13 08:11:22 vpn-server ipsec_setup: Starting FreeS/WAN IPsec 2.02...
Oct 13 08:11:22 vpn-server ipsec_setup: Using /lib/modules/2.4.22/kernel/net/ipsec/ipsec.o
Oct 13 08:11:22 vpn-server kernel: klips_info:ipsec_init: KLIPS startup, FreeS/WAN IPSec version: 2.02
Oct 13 08:11:22 vpn-server ipsec_setup: KLIPS debug `none'
Oct 13 08:11:22 vpn-server ipsec_setup: KLIPS ipsec0 on eth1 62.96.19.156/255.255.255.224 broadcast 62.96.19.159
Oct 13 08:11:22 vpn-server ipsec_setup: WARNING: changing route filtering on eth1 (changing /proc/sys/net/ipv4/conf/eth1/rp_filter from 1 to 0)
Oct 13 08:11:59 vpn-server pluto[279]: "roadwarrior-net"[1] 62.96.19.157 #1: sent MR3, ISAKMP SA established
Oct 13 08:11:59 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #2: responding to Quick Mode
Oct 13 08:11:59 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #2: IPsec SA established
Oct 13 08:13:23 vpn-server pluto[279]: "roadwarrior-net"[1] 62.96.19.157 #1: received Delete SA payload: deleting ISAKMP State #1
Oct 13 08:13:23 vpn-server pluto[279]: "roadwarrior-net"[1] 62.96.19.157: deleting connection "roadwarrior-net" instance with peer 62.96.19.157
Oct 13 08:18:53 vpn-server pluto[279]: packet from 62.96.19.157:500: Informational Exchange is for an unknown (expired?) SA
Oct 13 08:23:54 vpn-server pluto[279]: packet from 62.96.19.157:500: received Vendor ID Payload; ASCII hash: \036+Qi\005\031\034}|\026|?5\007da
Oct 13 08:23:54 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #3: responding to Main Mode from unknown peer 62.96.19.157
Oct 13 08:23:54 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #3: Peer ID is ID_DER_ASN1_DN: 'C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de'
Oct 13 08:23:55 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #3: sent MR3, ISAKMP SA established
Oct 13 08:23:55 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #4: responding to Quick Mode
Oct 13 08:23:55 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #4: IPsec SA established
Oct 13 08:25:23 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #3: received Delete SA payload: deleting ISAKMP State #3
Oct 13 08:28:25 vpn-server pluto[279]: packet from 62.96.19.157:500: received Vendor ID Payload; ASCII hash: \036+Qi\005\031\034}|\026|?5\007da
Oct 13 08:28:25 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #5: responding to Main Mode from unknown peer 62.96.19.157
Oct 13 08:28:26 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #5: Peer ID is ID_DER_ASN1_DN: 'C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de'
Oct 13 08:28:26 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #5: sent MR3, ISAKMP SA established
Oct 13 08:28:26 vpn-server pluto[279]: "roadwarrior-net"[2] 62.96.19.157 #6: responding to Quick Mode
Oct 13 08:28:26 vpn-server pluto[279]: "roadwarrior-net"[2] 62.96.19.157 #6: cannot route -- route already in use for "roadwarrior"
Oct 13 08:28:26 vpn-server pluto[279]: "roadwarrior-net"[2] 62.96.19.157: deleting connection "roadwarrior-net" instance with peer 62.96.19.157
Oct 13 08:28:27 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #5: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xa9d77339 (perhaps this is a duplicated packet)
Oct 13 08:30:20 vpn-server pluto[279]: packet from 62.96.19.157:500: Informational Exchange is for an unknown (expired?) SA
Oct 13 08:30:20 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #5: received Delete SA payload: deleting ISAKMP State #5
Oct 13 08:30:37 vpn-server pluto[279]: packet from 62.96.19.157:500: received Vendor ID Payload; ASCII hash: \036+Qi\005\031\034}|\026|?5\007da
Oct 13 08:30:37 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #7: responding to Main Mode from unknown peer 62.96.19.157
Oct 13 08:30:37 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #7: Peer ID is ID_DER_ASN1_DN: 'C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de'
Oct 13 08:30:37 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #7: sent MR3, ISAKMP SA established
Oct 13 08:30:38 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #8: responding to Quick Mode
Oct 13 08:30:38 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #8: IPsec SA established
Oct 13 08:30:43 vpn-server pluto[279]: packet from 62.96.19.157:500: received Vendor ID Payload; ASCII hash: \036+Qi\005\031\034}|\026|?5\007da
Oct 13 08:30:43 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #9: responding to Main Mode from unknown peer 62.96.19.157
Oct 13 08:30:44 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #9: Peer ID is ID_DER_ASN1_DN: 'C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de'
Oct 13 08:30:44 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #9: sent MR3, ISAKMP SA established
Oct 13 08:30:44 vpn-server pluto[279]: "roadwarrior-net"[3] 62.96.19.157 #10: responding to Quick Mode
Oct 13 08:30:44 vpn-server pluto[279]: "roadwarrior-net"[3] 62.96.19.157 #10: cannot route -- route already in use for "roadwarrior"
Oct 13 08:30:44 vpn-server pluto[279]: "roadwarrior-net"[3] 62.96.19.157: deleting connection "roadwarrior-net" instance with peer 62.96.19.157
Oct 13 08:30:45 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #9: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x6e96d450 (perhaps this is a duplicated packet)
sollte ich das forwarding wieder einschalten? wenn ja, wie mache ich das permanent. und dann steht da noch was von "responding to Main Mode from unknown peer 62.96.19.157", aber er baut doch die verbindung auf
Hi!
Da Du ja nur eine roadwarrior Verbindung brauchst würd' ich eine der beiden löschen.
Dass rp_filter auf 0 gesetzt wird ist normal und kein routing (ip_forward)
Mein Tunnel funktioniert soweit:
Linux-Gateway:
# basic configuration
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
# default configuration
conn %default
left=193.171.253.xxx
leftnexthop=193.171.253.xxx
leftsubnet=10.1.1.0/24
leftrsasigkey=%cert
leftcert=gatewayCert.pem
leftid="C=AT, O=.., CN=gateway.xxxat"
# Add connections here.
conn test
right=%any
rightsubnet=192.168.123.1/32 ## Roadwarriors ist hinter einem DSL-Router
rightrsasigkey=%cert
rightcert=myCert.pem
rightid="C=AT, O=..., CN=manx@xxx.at"
auto=add
WINDOWS:
conn test
left=%any
right=193.171.253.xx
rightsubnet=10.1.1.0/24
rightca="C=AT, O=..., CN=CA der ..."
network=lan
auto=start
pfs=yes
Grüße
Manx
PS: Der Verbindungsaufbau erfolgt in 2 Phasen "Main Mode" ist die erste
hab hier noch was gefunden: meineste das vorhin?
Oct 13 09:38:10 vpn-server pluto[2713]: "roadwarrior-net"[1] 62.96.19.157 #2: sent MR3, ISAKMP SA established
Oct 13 09:38:10 vpn-server pluto[2713]: "roadwarrior-net"[1] 62.96.19.157 #2: cannot respond to IPsec SA request because no connection is known for 192.168.121.0/24===62.96.19.156[C=de, ST=nrw, L=duesseldorf, O=wapme, OU=unix, CN=gatekey, E=w@w.de]...62.96.19.157[C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de]
Oct 13 09:38:11 vpn-server pluto[2713]: "roadwarrior-net"[1] 62.96.19.157 #2: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xdecae138 (perhaps this is a duplicated packet)
+ _________________________ date
+ date
danke
leftsubnet=10.1.1.0/24
ist das das netz an deinem "öffentlichen" rechner? das ist doch eine private ip, oder?
Hi!
Ja, sowas meinte ich, das bedeutet , dass die left bzw. right Einträge nicht 100%ig stimmen.
no connection is known
for 192.168.121.0/24===62.96.19.156[C=de,..]...62.96.19.157
^^^^^^^^^^^ ^^^^^^^^ ^^^^^^^
leftsubnet left right
Manx
Original geschrieben von schrippe
ist das das netz an deinem "öffentlichen" rechner? das ist doch eine private ip, oder?
left ist der Linux-VPN-Gateway, das leftsubnet ist das Netz hinter dem Linux-VPN-Gateway. Nämlich genau das entfernte LAN (mit privaten Adressen) in das der VPN-Tunnel die roadwarrior bringen soll.
Grüße
Manx
diese config funzt bei mir nicht!
sobald ich in linux und windows left bzw. rightsubnet reinschreibe bau er mir den tuinnel nicht mehr auf. ohne diese beiden (blau) zeilen geht es, also die verbindung roadwarrior funzt sofort. nur weiter geht es dann nicht mehr.
version 2
config setup
interfaces=%defaultroute
#interfaces="ipsec0=eth1"
klipsdebug=none
plutodebug=none
uniqueids=yes
conn %default
keyingtries=1
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
compress=yes
conn roadwarrior-net
right=%any
left=62.96.19.156
leftsubnet=192.168.0.0/24
leftid="/C=de/ST=nrw/L=duesseldorf/O=wapme/OU=unix/CN=gatekey/Email=w@w.de"
rightid="/C=de/ST=windows/L=duesseldorf/O=wapme/OU=unix/CN=newcert/Email=q@ww.de"
leftcert=vpn-server.pem
rightcert=windows.pem
pfs=yes
auto=add
WINDOWS:
conn roadwarrior-net
keyingtries=0
left=%any
right=62.96.19.156
rightsubnet=192.168.0.0/24
rightca="C=de,S=nrw,L=duesseldorf,O=wapme,OU=unix,CN=newca, Email=w@q.de"
network=auto
auto=start
pfs=yes
Hi!
1.) Fehlermeldungen? bzw. ipsec barf |less
2.) Ich dachte Dein LAN wäre 192.168.121.0/24
Manx
wenn ich mit meinen beiden verbindungen den tunnel aufbaue kommt das hier:
Oct 13 12:17:04 vpn-server pluto[24634]: "roadwarrior-net"[1] 62.96.19.157 #1: responding to Main Mode from unknown peer 62.96.19.157
Oct 13 12:17:04 vpn-server pluto[24634]: "roadwarrior-net"[1] 62.96.19.157 #1: Peer ID is ID_DER_ASN1_DN: 'C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de'
Oct 13 12:17:04 vpn-server pluto[24634]: "roadwarrior-net"[1] 62.96.19.157 #1: sent MR3, ISAKMP SA established
Oct 13 12:17:04 vpn-server pluto[24634]: "roadwarrior"[1] 62.96.19.157 #2: responding to Quick Mode
Oct 13 12:17:04 vpn-server pluto[24634]: "roadwarrior"[1] 62.96.19.157 #2: IPsec SA established
Oct 13 12:17:29 vpn-server pluto[24634]: packet from 62.96.19.157:500: received Vendor ID Payload; ASCII hash: \036+Qi\005\031\034}|\026|?5\007da
Oct 13 12:17:29 vpn-server pluto[24634]: "roadwarrior"[1] 62.96.19.157 #3: responding to Main Mode from unknown peer 62.96.19.157
Oct 13 12:17:29 vpn-server pluto[24634]: "roadwarrior"[1] 62.96.19.157 #3: Peer ID is ID_DER_ASN1_DN: 'C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de'
Oct 13 12:17:29 vpn-server pluto[24634]: "roadwarrior"[1] 62.96.19.157 #3: sent MR3, ISAKMP SA established
Oct 13 12:17:29 vpn-server pluto[24634]: "roadwarrior-net"[1] 62.96.19.157 #4: responding to Quick Mode
Oct 13 12:17:29 vpn-server pluto[24634]: "roadwarrior-net"[1] 62.96.19.157 #4: cannot route -- route already in use for "roadwarrior"
Oct 13 12:17:30 vpn-server pluto[24634]: "roadwarrior"[1] 62.96.19.157 #3: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x19153e2a (perhaps this is a duplicated packet)
+ _________________________ date
dabei kann er irgendwie nicht routen. aber ich möchte conn roadwarrior nicht rausnehmen, weil das wenigstens funzt.
1.) Fehlermeldungen? bzw. ipsec barf |less
2.) Ich dachte Dein LAN wäre 192.168.121.0/2
zu 1) habe ich in meinem letzten thread geschrieben
zu 2) ich dachte ich könnte mit 192.168.0.0 mehere lans erreichen. wir haben hier ein .121.0 netz für linux und ein .110.0 netz für windows. es sollen nachher beide erreichbar sein.
ach so, den server selber kann ich über mit der äußeren ip anpingen, aber eine ip im .121. netz nicht. wird nur verhandelt.
Hi!
Du brauchst die conn roadwarrior ja nicht rausnehmen, allerdings solltest Du in Windows nicht auto=start (bei beiden) haben.
Lass die config am Linux-VPN Gateway so wie sie ist (mit den subnets!) und nimm die roadwarrior connection am Windows Rechner raus!
Du kannst ja die ipsec.conf kopieren (ipsec.conf.old)
Manx
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.