PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : ip-sicherheit wird verhandelt, mehr kommt beim anpingen des ipsec-gateway nicht



Seiten : [1] 2 3

schrippe
10.10.03, 09:09
ich meine ich habe einen tunnel von windows nach linux aufgebaut und will jetzt das tunnelende auf linuxseite anpingen. das sollte ja nicht funktionieren. wenn ich jetzt das netz hinter dem gate anpingen will, kommt nur "ip-sicherheit wird verhandelt". die sollten sich doch nach ein paar pings geeinigt haben, oder?

ipsec.conf Linux


version 2

# basic configuration

config setup
interfaces="ipsec0=eth1" ##ist das ankommende interface
#interfaces=%defaultroute
klipsdebug=none
plutodebug=none
uniqueids=no

conn %default
keyingtries=1
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
compress=yes

conn roadwarrior
plutoload=%search
plutostart=%search
leftsubnet=192.168.121.0/255.255.255.0
right=%any
#left=%defaultroute
left=62.96.19.xxx
#rightid="/C=de/ST=nrw/L=duesseldorf/O=klaus/OU=unix/CN=gatekey/Email=w@w.de"
auto=start
leftcert=vpn-server.pem
rightcert=windows.pem
pfs=yes


Windows IPsec.conf

# basic configuration

conn roadwarrior
left=%any
right=62.96.19.156
rightsubnet=192.168.121.0/255.255.255.0
rightca="C=de, S=nrw, L=duesseldorf, O=klausine, OU=unix, CN=newca, Email=w@q.de"
network=auto
auto=start
pfs=yes



Wo Liegt denn der Fehler. WIe leite ich denn die anfragen vom äußeren (eth1) tunnelende ins innere lan (eth0) um?

danke euch schonma

[WCM]Manx
10.10.03, 09:42
Hi!

Das mit "IP Sicherheit wird verhandelt" sollte sich mit dem zweiten Ping langsam legen.
Scheinbar ist FreeS/WAN momentan wieder sehr angesagt ;)

Die erste Überprüfung am besten mit "ipsec barf |less" machen.
Am Ende des Files den Plutostart und das Laden der Zertifikate überprüfen.
Die Config schaut bei mir mal so aus (auf Dich umgelegt)
FreeS/WAN 2.02

/etc/ipsec.conf


config setup
interfaces="ipsec0=eth1
klipsdebug=none
plutodebug=none

conn roadwarrior ## man kann ja später eine %default machen
left=DEINE EXT_IP
leftnexthop=IP_des_nächsten_ROUTER # wenn vorhanden
leftrsasigkey=%cert
leftcert=vpn-server.pem
leftid="C=DE, O=... usw" ## Subject des vpn-server.pem
right=%any
rightrsasigkey=%cert
rightcert=windowsCert.pem
rightid="C=DE, O=... usw"
auto=add

# Keine OE

conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore

Windows ipsec.conf


conn roadwarrior
left=%any
right=IP_des_VPN_Server
rightca="C=DE... usw" ## Common Name der CA!!!
network=lan
auto=start
pfs=yes

Manx

schrippe
10.10.03, 09:48
dies ist das ende der ausgabe ipsec barf:


+ egrep -i 'ipsec|klips|pluto'
+ cat
Oct 10 09:40:20 vpn-server ipsec_setup: Starting FreeS/WAN IPsec 2.02...
Oct 10 09:40:20 vpn-server ipsec_setup: Using /lib/modules/2.4.22/kernel/net/ipsec/ipsec.o
Oct 10 09:40:20 vpn-server kernel: klips_info:ipsec_init: KLIPS startup, FreeS/WAN IPSec version: 2.02
Oct 10 09:40:20 vpn-server ipsec_setup: KLIPS debug `none'
Oct 10 09:40:20 vpn-server ipsec_setup: KLIPS ipsec0 on eth1 62.96.19.156/255.255.255.224 broadcast 62.96.19.159
Oct 10 09:40:21 vpn-server ipsec_setup: ...FreeS/WAN IPsec started
Oct 10 09:40:21 vpn-server ipsec__plutorun: ipsec_auto: fatal error in "roadwarrior": (/etc/ipsec.conf, line 25) unknown parameter name "plutoload"
Oct 10 09:40:21 vpn-server ipsec__plutorun: ...could not add conn "roadwarrior"
Oct 10 09:40:21 vpn-server ipsec__plutorun: 021 no connection named "roadwarrior"
Oct 10 09:40:21 vpn-server ipsec__plutorun: ...could not route conn "roadwarrior"

Oct 10 09:40:21 vpn-server ipsec__plutorun: 021 no connection named "roadwarrior"
Oct 10 09:40:21 vpn-server ipsec__plutorun: ...could not start conn "roadwarrior"
+ _________________________ plog
+ sed -n '2827,$p' /var/log/auth.log
+ egrep -i pluto
+ cat
Oct 10 09:40:21 vpn-server ipsec__plutorun: Starting Pluto subsystem...
Oct 10 09:40:21 vpn-server pluto[4208]: Starting Pluto (FreeS/WAN Version 2.02 X.509-1.4.6 PLUTO_USES_KEYRR)
Oct 10 09:40:21 vpn-server pluto[4208]: Changing to directory '/etc/ipsec.d/cacerts'
Oct 10 09:40:21 vpn-server pluto[4208]: loaded cacert file 'cacert.pem' (1533 bytes)
Oct 10 09:40:21 vpn-server pluto[4208]: Changing to directory '/etc/ipsec.d/crls'
Oct 10 09:40:21 vpn-server pluto[4208]: loaded crl file 'crl.pem' (658 bytes)
Oct 10 09:40:21 vpn-server pluto[4208]: listening for IKE messages
Oct 10 09:40:21 vpn-server pluto[4208]: adding interface ipsec0/eth1 62.96.19.156
Oct 10 09:40:21 vpn-server pluto[4208]: loading secrets from "/etc/ipsec.secrets"
Oct 10 09:40:21 vpn-server pluto[4208]: loaded private key file '/etc/ipsec.d/private/vpn-server.key' (1751 bytes)



komisch zuerst kann er pluto nicht starten und dann doch?

[WCM]Manx
10.10.03, 10:01
.. versuch mal meine config bzw nimm das "plutoload" raus.

Im Logfile sollte schon stehen:
...
added connection description "roadwarrior"
...

Grüße

Manx

schrippe
10.10.03, 10:05
das hat es gebracht. endlich mal ne KOMPETENTE antwort.

alles klappt jetzt.

schrippe
10.10.03, 10:26
zu früh gefreut!!

wo kann ich sehen in welche richtung der tunnel aufgebaut ist? oder ist das egal.


der sinnd meines tunnels soll sein, daß ich mit einer gsm karte mich übers internet ins firmenlan "einwählen" kann.
dazu habe ich jetzt in beide config dateien das folgende eingetragen:

windows:
rightsubnet=192.168.121.0/255.255.255.0

linux: (vpn-gate)
leftsubnet=192.168.121.0/255.255.255.0

und schon gehts nicht mehr.

ich konnte vorher noch das gate anpingen (EXT_IP) dann wird kurz verhandelt und dann kommt ein response.
jetzt klappt das mit dem anpingen des gates noch, aber wenn ich jetzt eine ip hinter dem gate, also im leftsubnet anpinge kommt:

ip-sicherheit wird verhandelt und dann
zeitüberschreitung der anforderung usw.

was jetzt???

[WCM]Manx
10.10.03, 10:39
Hi!

Nach dem das bei mir auch erstmal eine Testumgebung ist, kann ich's mit einem LAN hinter dem VPN-Gateway nicht testen (kommt erst ;) )

Wieviele Interfaces/NICs hat das VPNGateway? - routing ist ein?
Welche IP im Firmenlan möchtest Du errreichen?
Hat das VPNGateway noch eine Funktion in der Firma (NAT Gateway o.ä)?

Grüße

Manx

PS: IMHO wartet der Gateway auf Verbindungen (auto=add), der Client initiiert den Aufbau (auto=start)

schrippe
10.10.03, 10:56
das gate hat keine weitere funktion, ist nur erstmal zu testen aufgebaut.
es hat 2 nic's: 192.168.121.91 und 62.96.19.156

ich möchte das 192.168.121.0 netz erreichen. alle weiteren ip's dahinter.
ist es möglich ein weiteres netz einzubinden?

sollte ich da bei beiden auto=start eintragen?

[WCM]Manx
10.10.03, 11:01
Original geschrieben von schrippe
sollte ich da bei beiden auto=start eintragen?

Nein, ich glaub "add" am Gateway und "start" am Client ist o.k
Ist Routing eingeschaltet?
cat /proc/sys/net/ipv4/ip_forward sollte 1 ergeben, wenn 0 =>
echo "1" > /proc/sys/net/ipv4/ip_forward

Manx

schrippe
10.10.03, 11:05
ja steht schon drin.

anubis01
10.10.03, 12:31
Vielleicht liegt es an deinem Certificate? :confused:

Hast du das Certificate "richtig" importiert, sprich "automatisch" hinzufuegen lassen? Das war das Prob das ich hatte, ich hatte es manuell hinzugefuegt...

Gruss,

Anubis

schrippe
10.10.03, 12:58
ja ich habe es in xp importier und automatisch angeklickt.

mittlerweile habe ich zweit sections draus gemacht. eine nur zum gate und eine zum gate und dann weiter zum subnetz. so bekomme ich wenigstens den tunnel zum gate hin. nur das netz dahinter funzt nicht.

[WCM]Manx
10.10.03, 13:07
Hi!

poste nochmal deine jetzigen Configs.
Ich hab die freeswan faqs eher überflogen, aber ich glaube, dass man bei einer Subnetdeklaration den Gateway NICHT mehr pingen kann, nur mehr das Netz dahinter.

Grüße

Manx

schrippe
10.10.03, 13:27
windows ipsec.conf:


version 2

# basic configuration

config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
uniqueids=yes

conn %default
keyingtries=1
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
compress=yes

conn roadwarrior
right=%any
left=62.96.19.156
leftid="/C=de/ST=nrw/L=duesseldorf/O=wapme/OU=unix/CN=gatekey/Email=w@w.de"
rightid="/C=de/ST=windows/L=duesseldorf/O=wapme/OU=unix/CN=newcert/Email=q@ww.de"
auto=add
leftcert=vpn-server.pem
rightcert=windows.pem
pfs=yes

conn roadwarrior-net
leftnexthop=%defaultroute
rightnexthop=%defaultroute
rightsubnet=192.168.0.0/24
right=%any
left=62.96.19.156
leftid="/C=de/ST=nrw/L=duesseldorf/O=wapme/OU=unix/CN=gatekey/Email=w@w.de"
rightid="/C=de/ST=windows/L=duesseldorf/O=wapme/OU=unix/CN=newcert/Email=q@ww.de"
auto=add
leftcert=vpn-server.pem
rightcert=windows.pem
pfs=yes


/etc/ipsec.conf

# basic configuration^M
^M
^M
conn roadwarrior^M
keyingtries=0^M
left=%any^M
right=62.96.19.156^M
rightca="C=de,S=nrw,L=duesseldorf,O=wapme,OU=unix,CN=newca, Email=w@q.de"^M
network=auto^M
auto=start^M
pfs=yes^M
^M
conn roadwarrior-net^M
left=%any^M
leftnexthop=%defaultroute^M
right=62.96.19.156^M
rightsubnet=192.168.121.0/255.255.255.0^M
rightca="C=de,S=nrw,L=duesseldorf,O=wapme,OU=unix,CN=newca, Email=w@q.de"^M
network=auto^M
auto=start^M
pfs=yes

denk dir die ^M weg, die kommen von dem transport von win nach linux.

so wie oben bekomme ich den tunnel zum gate aufgebaut, aber ich kann nicht ins netz dahinter pingen. da kommt dann
ip-sicherheit wird verhandelt ....

hier noch die letzten zeilen von ipsec barf:

Oct 10 13:29:58 vpn-server pluto[12772]: "roadwarrior-net"[1] 62.96.19.157 #1: Peer ID is ID_DER_ASN1_DN: 'C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de'
Oct 10 13:29:58 vpn-server pluto[12772]: "roadwarrior-net"[1] 62.96.19.157 #1: sent MR3, ISAKMP SA established
Oct 10 13:29:58 vpn-server pluto[12772]: "roadwarrior"[1] 62.96.19.157 #2: responding to Quick Mode
Oct 10 13:29:59 vpn-server pluto[12772]: "roadwarrior"[1] 62.96.19.157 #2: IPsec SA established
+ _________________________ date
+ date
Fri Oct 10 13:30:04 CEST 2003

[WCM]Manx
10.10.03, 13:33
Hi!

auf die schnelle würd ich sagen fehlt am Gateway im "roadwarrior-net" eine "leftsubnet" Deklaration.

Manx

schrippe
10.10.03, 14:04
wie soll an denn eigentlich ein leftsubnet für den roadwarrior angeben? man weiß doch die ip normalerweise nicht.
ist doch sonst witzlos

[WCM]Manx
10.10.03, 14:13
Linux FreeS/WAN:
left == Gateway selber
right == roadwarrior

conn roadwarrior-net
leftnexthop=%defaultroute
rightnexthop=%defaultroute
rightsubnet=192.168.0.0/24 ### brauchst Du vielleicht nicht
right=%any
left=62.96.19.156 ### externe IP des Gateway
leftsubnet=192.168.121.0/24 ### das Netz in das du willst!
leftid="/C=de/ST=nrw/L=duesseldorf/O=...usw"
rightid="/C=de/ST=windows/L=duesseldorf/O=...usw"
auto=add
leftcert=vpn-server.pem
rightcert=windows.pem
pfs=yes

Grüße

Manx :confused:

schrippe
10.10.03, 14:44
ich hab eingetragen. pingen geht immer noch nicht

"roadwarrior-net"[1] 62.96.19.157 #1: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x9dff8fd9 (perhaps this is a duplicated packet)


dies ist die letzte zeile von ipsec barf wenn ich direkt nach dem tunnelaufbau ping 192.168.121.90 mache.
dann wird wieder nur die ip-sicherheit verhandelt.

danke dir trotzdem bis hierher.

[WCM]Manx
12.10.03, 23:56
Hi!

Hast Du vielleicht vorher eine Meldung wie:
"... cannot respond to IPsec SA request because no connection is known for ..."

Wenn ja => posten, dann ist's nur eine Kleinigkeit.

Grüße

Manx

PS: Mein Tunnel läuft schon :)

schrippe
13.10.03, 08:33
Dies sind die letzten Zeilen:
Nachdem ich den server neu gestartet habe ist das in blau aufgetaucht

Oct 13 08:11:22 vpn-server ipsec_setup: Starting FreeS/WAN IPsec 2.02...
Oct 13 08:11:22 vpn-server ipsec_setup: Using /lib/modules/2.4.22/kernel/net/ipsec/ipsec.o
Oct 13 08:11:22 vpn-server kernel: klips_info:ipsec_init: KLIPS startup, FreeS/WAN IPSec version: 2.02
Oct 13 08:11:22 vpn-server ipsec_setup: KLIPS debug `none'
Oct 13 08:11:22 vpn-server ipsec_setup: KLIPS ipsec0 on eth1 62.96.19.156/255.255.255.224 broadcast 62.96.19.159
Oct 13 08:11:22 vpn-server ipsec_setup: WARNING: changing route filtering on eth1 (changing /proc/sys/net/ipv4/conf/eth1/rp_filter from 1 to 0)
Oct 13 08:11:59 vpn-server pluto[279]: "roadwarrior-net"[1] 62.96.19.157 #1: sent MR3, ISAKMP SA established
Oct 13 08:11:59 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #2: responding to Quick Mode
Oct 13 08:11:59 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #2: IPsec SA established
Oct 13 08:13:23 vpn-server pluto[279]: "roadwarrior-net"[1] 62.96.19.157 #1: received Delete SA payload: deleting ISAKMP State #1
Oct 13 08:13:23 vpn-server pluto[279]: "roadwarrior-net"[1] 62.96.19.157: deleting connection "roadwarrior-net" instance with peer 62.96.19.157
Oct 13 08:18:53 vpn-server pluto[279]: packet from 62.96.19.157:500: Informational Exchange is for an unknown (expired?) SA
Oct 13 08:23:54 vpn-server pluto[279]: packet from 62.96.19.157:500: received Vendor ID Payload; ASCII hash: \036+Qi\005\031\034}|\026|?5\007da
Oct 13 08:23:54 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #3: responding to Main Mode from unknown peer 62.96.19.157
Oct 13 08:23:54 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #3: Peer ID is ID_DER_ASN1_DN: 'C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de'
Oct 13 08:23:55 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #3: sent MR3, ISAKMP SA established
Oct 13 08:23:55 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #4: responding to Quick Mode
Oct 13 08:23:55 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #4: IPsec SA established
Oct 13 08:25:23 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #3: received Delete SA payload: deleting ISAKMP State #3
Oct 13 08:28:25 vpn-server pluto[279]: packet from 62.96.19.157:500: received Vendor ID Payload; ASCII hash: \036+Qi\005\031\034}|\026|?5\007da
Oct 13 08:28:25 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #5: responding to Main Mode from unknown peer 62.96.19.157
Oct 13 08:28:26 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #5: Peer ID is ID_DER_ASN1_DN: 'C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de'
Oct 13 08:28:26 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #5: sent MR3, ISAKMP SA established
Oct 13 08:28:26 vpn-server pluto[279]: "roadwarrior-net"[2] 62.96.19.157 #6: responding to Quick Mode
Oct 13 08:28:26 vpn-server pluto[279]: "roadwarrior-net"[2] 62.96.19.157 #6: cannot route -- route already in use for "roadwarrior"
Oct 13 08:28:26 vpn-server pluto[279]: "roadwarrior-net"[2] 62.96.19.157: deleting connection "roadwarrior-net" instance with peer 62.96.19.157
Oct 13 08:28:27 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #5: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xa9d77339 (perhaps this is a duplicated packet)
Oct 13 08:30:20 vpn-server pluto[279]: packet from 62.96.19.157:500: Informational Exchange is for an unknown (expired?) SA
Oct 13 08:30:20 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #5: received Delete SA payload: deleting ISAKMP State #5
Oct 13 08:30:37 vpn-server pluto[279]: packet from 62.96.19.157:500: received Vendor ID Payload; ASCII hash: \036+Qi\005\031\034}|\026|?5\007da
Oct 13 08:30:37 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #7: responding to Main Mode from unknown peer 62.96.19.157
Oct 13 08:30:37 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #7: Peer ID is ID_DER_ASN1_DN: 'C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de'
Oct 13 08:30:37 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #7: sent MR3, ISAKMP SA established
Oct 13 08:30:38 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #8: responding to Quick Mode
Oct 13 08:30:38 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #8: IPsec SA established
Oct 13 08:30:43 vpn-server pluto[279]: packet from 62.96.19.157:500: received Vendor ID Payload; ASCII hash: \036+Qi\005\031\034}|\026|?5\007da
Oct 13 08:30:43 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #9: responding to Main Mode from unknown peer 62.96.19.157
Oct 13 08:30:44 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #9: Peer ID is ID_DER_ASN1_DN: 'C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de'
Oct 13 08:30:44 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #9: sent MR3, ISAKMP SA established
Oct 13 08:30:44 vpn-server pluto[279]: "roadwarrior-net"[3] 62.96.19.157 #10: responding to Quick Mode
Oct 13 08:30:44 vpn-server pluto[279]: "roadwarrior-net"[3] 62.96.19.157 #10: cannot route -- route already in use for "roadwarrior"
Oct 13 08:30:44 vpn-server pluto[279]: "roadwarrior-net"[3] 62.96.19.157: deleting connection "roadwarrior-net" instance with peer 62.96.19.157
Oct 13 08:30:45 vpn-server pluto[279]: "roadwarrior"[1] 62.96.19.157 #9: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x6e96d450 (perhaps this is a duplicated packet)


sollte ich das forwarding wieder einschalten? wenn ja, wie mache ich das permanent. und dann steht da noch was von "responding to Main Mode from unknown peer 62.96.19.157", aber er baut doch die verbindung auf

[WCM]Manx
13.10.03, 09:26
Hi!

Da Du ja nur eine roadwarrior Verbindung brauchst würd' ich eine der beiden löschen.
Dass rp_filter auf 0 gesetzt wird ist normal und kein routing (ip_forward)

Mein Tunnel funktioniert soweit:

Linux-Gateway:


# basic configuration
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none

# default configuration

conn %default
left=193.171.253.xxx
leftnexthop=193.171.253.xxx
leftsubnet=10.1.1.0/24
leftrsasigkey=%cert
leftcert=gatewayCert.pem
leftid="C=AT, O=.., CN=gateway.xxxat"

# Add connections here.

conn test
right=%any
rightsubnet=192.168.123.1/32 ## Roadwarriors ist hinter einem DSL-Router
rightrsasigkey=%cert
rightcert=myCert.pem
rightid="C=AT, O=..., CN=manx@xxx.at"
auto=add

WINDOWS:

conn test
left=%any
right=193.171.253.xx
rightsubnet=10.1.1.0/24
rightca="C=AT, O=..., CN=CA der ..."
network=lan
auto=start
pfs=yes


Grüße

Manx

PS: Der Verbindungsaufbau erfolgt in 2 Phasen "Main Mode" ist die erste

schrippe
13.10.03, 09:51
hab hier noch was gefunden: meineste das vorhin?

Oct 13 09:38:10 vpn-server pluto[2713]: "roadwarrior-net"[1] 62.96.19.157 #2: sent MR3, ISAKMP SA established
Oct 13 09:38:10 vpn-server pluto[2713]: "roadwarrior-net"[1] 62.96.19.157 #2: cannot respond to IPsec SA request because no connection is known for 192.168.121.0/24===62.96.19.156[C=de, ST=nrw, L=duesseldorf, O=wapme, OU=unix, CN=gatekey, E=w@w.de]...62.96.19.157[C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de]
Oct 13 09:38:11 vpn-server pluto[2713]: "roadwarrior-net"[1] 62.96.19.157 #2: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0xdecae138 (perhaps this is a duplicated packet)
+ _________________________ date
+ date


danke

schrippe
13.10.03, 10:06
leftsubnet=10.1.1.0/24

ist das das netz an deinem "öffentlichen" rechner? das ist doch eine private ip, oder?

[WCM]Manx
13.10.03, 10:09
Hi!

Ja, sowas meinte ich, das bedeutet , dass die left bzw. right Einträge nicht 100%ig stimmen.



no connection is known
for 192.168.121.0/24===62.96.19.156[C=de,..]...62.96.19.157
^^^^^^^^^^^ ^^^^^^^^ ^^^^^^^
leftsubnet left right


Manx

[WCM]Manx
13.10.03, 10:11
Original geschrieben von schrippe
ist das das netz an deinem "öffentlichen" rechner? das ist doch eine private ip, oder?

left ist der Linux-VPN-Gateway, das leftsubnet ist das Netz hinter dem Linux-VPN-Gateway. Nämlich genau das entfernte LAN (mit privaten Adressen) in das der VPN-Tunnel die roadwarrior bringen soll.

Grüße

Manx

schrippe
13.10.03, 12:13
diese config funzt bei mir nicht!
sobald ich in linux und windows left bzw. rightsubnet reinschreibe bau er mir den tuinnel nicht mehr auf. ohne diese beiden (blau) zeilen geht es, also die verbindung roadwarrior funzt sofort. nur weiter geht es dann nicht mehr.

version 2
config setup
interfaces=%defaultroute
#interfaces="ipsec0=eth1"
klipsdebug=none
plutodebug=none
uniqueids=yes

conn %default
keyingtries=1
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
compress=yes

conn roadwarrior-net
right=%any
left=62.96.19.156
leftsubnet=192.168.0.0/24
leftid="/C=de/ST=nrw/L=duesseldorf/O=wapme/OU=unix/CN=gatekey/Email=w@w.de"
rightid="/C=de/ST=windows/L=duesseldorf/O=wapme/OU=unix/CN=newcert/Email=q@ww.de"
leftcert=vpn-server.pem
rightcert=windows.pem
pfs=yes
auto=add

WINDOWS:

conn roadwarrior-net
keyingtries=0
left=%any
right=62.96.19.156
rightsubnet=192.168.0.0/24
rightca="C=de,S=nrw,L=duesseldorf,O=wapme,OU=unix,CN=newca, Email=w@q.de"
network=auto
auto=start
pfs=yes

[WCM]Manx
13.10.03, 12:19
Hi!

1.) Fehlermeldungen? bzw. ipsec barf |less
2.) Ich dachte Dein LAN wäre 192.168.121.0/24

Manx

schrippe
13.10.03, 12:20
wenn ich mit meinen beiden verbindungen den tunnel aufbaue kommt das hier:

Oct 13 12:17:04 vpn-server pluto[24634]: "roadwarrior-net"[1] 62.96.19.157 #1: responding to Main Mode from unknown peer 62.96.19.157
Oct 13 12:17:04 vpn-server pluto[24634]: "roadwarrior-net"[1] 62.96.19.157 #1: Peer ID is ID_DER_ASN1_DN: 'C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de'
Oct 13 12:17:04 vpn-server pluto[24634]: "roadwarrior-net"[1] 62.96.19.157 #1: sent MR3, ISAKMP SA established
Oct 13 12:17:04 vpn-server pluto[24634]: "roadwarrior"[1] 62.96.19.157 #2: responding to Quick Mode
Oct 13 12:17:04 vpn-server pluto[24634]: "roadwarrior"[1] 62.96.19.157 #2: IPsec SA established
Oct 13 12:17:29 vpn-server pluto[24634]: packet from 62.96.19.157:500: received Vendor ID Payload; ASCII hash: \036+Qi\005\031\034}|\026|?5\007da
Oct 13 12:17:29 vpn-server pluto[24634]: "roadwarrior"[1] 62.96.19.157 #3: responding to Main Mode from unknown peer 62.96.19.157
Oct 13 12:17:29 vpn-server pluto[24634]: "roadwarrior"[1] 62.96.19.157 #3: Peer ID is ID_DER_ASN1_DN: 'C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de'
Oct 13 12:17:29 vpn-server pluto[24634]: "roadwarrior"[1] 62.96.19.157 #3: sent MR3, ISAKMP SA established
Oct 13 12:17:29 vpn-server pluto[24634]: "roadwarrior-net"[1] 62.96.19.157 #4: responding to Quick Mode
Oct 13 12:17:29 vpn-server pluto[24634]: "roadwarrior-net"[1] 62.96.19.157 #4: cannot route -- route already in use for "roadwarrior"
Oct 13 12:17:30 vpn-server pluto[24634]: "roadwarrior"[1] 62.96.19.157 #3: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x19153e2a (perhaps this is a duplicated packet)
+ _________________________ date


dabei kann er irgendwie nicht routen. aber ich möchte conn roadwarrior nicht rausnehmen, weil das wenigstens funzt.

schrippe
13.10.03, 12:23
1.) Fehlermeldungen? bzw. ipsec barf |less
2.) Ich dachte Dein LAN wäre 192.168.121.0/2

zu 1) habe ich in meinem letzten thread geschrieben
zu 2) ich dachte ich könnte mit 192.168.0.0 mehere lans erreichen. wir haben hier ein .121.0 netz für linux und ein .110.0 netz für windows. es sollen nachher beide erreichbar sein.

ach so, den server selber kann ich über mit der äußeren ip anpingen, aber eine ip im .121. netz nicht. wird nur verhandelt.

[WCM]Manx
13.10.03, 12:25
Hi!

Du brauchst die conn roadwarrior ja nicht rausnehmen, allerdings solltest Du in Windows nicht auto=start (bei beiden) haben.
Lass die config am Linux-VPN Gateway so wie sie ist (mit den subnets!) und nimm die roadwarrior connection am Windows Rechner raus!
Du kannst ja die ipsec.conf kopieren (ipsec.conf.old)

Manx