cane
24.10.03, 14:34
Hallo!
Wenn ich versuche die ipsec.exe auf Win 2000 Laptop zu starten erscheint nur
Deactivating old Policy
Removing old Policy
Ich kann den Gateway auch anpingen - umgekehrt funktioniert der Ping auch nur
lese ich auf der Dos Ausgabe niergendwo:
IP Sicherheit wird verhandelt :confused:
Mein Vorgehen:
Ich habe mir die Zertifikate mit dem von [WCM]Manx empfohlenen ct Tools gebaut.
Ist wirklich einfach...
Die Zertifikate habe ich denke ich richtig installiert:
#CA erzeugen
./make_ca
#gatecert erzeugen
./make_cert
#wincert erzeugen
./make_cert myhost
#crl erzeugen
./make_crl
# gatecert an richtigen Ort kopieren
cp x509cert.der /etc/x509cert.der
#cacert zu .der machen und am richtigen Ort speichern
openssl x509 –in cacert.pem –outform der –out /etc/ipsec.d/cacerts/RootCA.der
#crl an den richtigen Ort kopieren
cp /crls/crl.pem /etc/ipsec.d/crls/
#wincert auf Diskette
mount /floppy && cp myhost.p12 /floppy
#auf dem Win Rechner
Ipsec.msc starten
Auf dem Ordner Eigene Zertifikate Rechtsclick und alle Tasks importieren wählen
Die myhost.p12 auf der Diskette wählen
Kennwort eingeben
Zertifikatsspeicher automatisch wählen
#Die Identifikation des gatecert auslesen und in die /etc/ipsec.conf auf dem Linux Rechner #eintragen.
openssl x509 –in gatewayCert.pem –noout –subject
#Die Identifikation des Rootcert auslesen und in die /etc/ipsec.conf auf dem Windows Rechner #eintragen.
openssl x509 –in cacert.pem –noout –subject
#Freeswan restarten
/etc/init.d/ipsec restart
Dann habe ich meine ipsec.conf so angepasst:
#Linux Gateway
conn block
auto=ignore
conn private
auto=ignore
conn private-or.clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore
# basic configuration
config setup
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple cases.
#interfaces=%defaultroute
interfaces="ipsec0=eth0"
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
plutoload=%search
plutostart=%search
# Close down old connection when new one using same ID shows up.
uniqueids=yes
conn roadwarrior
left=141.88.172.200
leftcert=gatewayCert.pem
leftid="C=DE, L=Siegen, O=IHK, OU=EDV, CN=gate"
right=%any
rightrsasigkey=%cert
rightcert=myhostCert.pem
rightid="C=DE, L=Siegen, O=IHK, OU=EDV, CN=myhost"
auto=add
#Windows Client
con roadwarrior
left=%any
right=141.88.172.200
rightca="C=DE, L=Siegen, O=IHK, OU=EDV, CN=rootca"
network =lan
auto=start
pfs=yes
eine Ausgabe von ipsec verify sieht so aus:
Checking your system to see if IPsec got installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [FAILED]
Checking that pluto is running [OK]
DNS checks.
Looking for forward key for vpn [NO KEY]
Does the machine have at least one non-private address [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADING [N/A]
Zum Schluß hier eine angehängte Ausgabe von ipsec barf:
Würde mich freuen wenn ihr mehr wisst als ich...
Schönes WE wünscht
cane
Wenn ich versuche die ipsec.exe auf Win 2000 Laptop zu starten erscheint nur
Deactivating old Policy
Removing old Policy
Ich kann den Gateway auch anpingen - umgekehrt funktioniert der Ping auch nur
lese ich auf der Dos Ausgabe niergendwo:
IP Sicherheit wird verhandelt :confused:
Mein Vorgehen:
Ich habe mir die Zertifikate mit dem von [WCM]Manx empfohlenen ct Tools gebaut.
Ist wirklich einfach...
Die Zertifikate habe ich denke ich richtig installiert:
#CA erzeugen
./make_ca
#gatecert erzeugen
./make_cert
#wincert erzeugen
./make_cert myhost
#crl erzeugen
./make_crl
# gatecert an richtigen Ort kopieren
cp x509cert.der /etc/x509cert.der
#cacert zu .der machen und am richtigen Ort speichern
openssl x509 –in cacert.pem –outform der –out /etc/ipsec.d/cacerts/RootCA.der
#crl an den richtigen Ort kopieren
cp /crls/crl.pem /etc/ipsec.d/crls/
#wincert auf Diskette
mount /floppy && cp myhost.p12 /floppy
#auf dem Win Rechner
Ipsec.msc starten
Auf dem Ordner Eigene Zertifikate Rechtsclick und alle Tasks importieren wählen
Die myhost.p12 auf der Diskette wählen
Kennwort eingeben
Zertifikatsspeicher automatisch wählen
#Die Identifikation des gatecert auslesen und in die /etc/ipsec.conf auf dem Linux Rechner #eintragen.
openssl x509 –in gatewayCert.pem –noout –subject
#Die Identifikation des Rootcert auslesen und in die /etc/ipsec.conf auf dem Windows Rechner #eintragen.
openssl x509 –in cacert.pem –noout –subject
#Freeswan restarten
/etc/init.d/ipsec restart
Dann habe ich meine ipsec.conf so angepasst:
#Linux Gateway
conn block
auto=ignore
conn private
auto=ignore
conn private-or.clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore
# basic configuration
config setup
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple cases.
#interfaces=%defaultroute
interfaces="ipsec0=eth0"
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
plutoload=%search
plutostart=%search
# Close down old connection when new one using same ID shows up.
uniqueids=yes
conn roadwarrior
left=141.88.172.200
leftcert=gatewayCert.pem
leftid="C=DE, L=Siegen, O=IHK, OU=EDV, CN=gate"
right=%any
rightrsasigkey=%cert
rightcert=myhostCert.pem
rightid="C=DE, L=Siegen, O=IHK, OU=EDV, CN=myhost"
auto=add
#Windows Client
con roadwarrior
left=%any
right=141.88.172.200
rightca="C=DE, L=Siegen, O=IHK, OU=EDV, CN=rootca"
network =lan
auto=start
pfs=yes
eine Ausgabe von ipsec verify sieht so aus:
Checking your system to see if IPsec got installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [FAILED]
Checking that pluto is running [OK]
DNS checks.
Looking for forward key for vpn [NO KEY]
Does the machine have at least one non-private address [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADING [N/A]
Zum Schluß hier eine angehängte Ausgabe von ipsec barf:
Würde mich freuen wenn ihr mehr wisst als ich...
Schönes WE wünscht
cane