Hallo,

wenn ich ipsec starte, schreibt er mir folgendes ins syslog:


Dez 3 00:30:11 muffel ipsec_setup: Starting FreeS/WAN IPsec 2.04...
Dez 3 00:30:11 muffel ipsec_setup: Using /lib/modules/2.4.21-0.13mdkcustom/kernel/net/ipsec/ipsec.o
Dec 3 00:30:11 muffel kernel: klips_info:ipsec_init: KLIPS startup, FreeS/WAN IPSec version: 2.04
Dec 3 00:30:11 muffel /etc/hotplug/net.agent: register event not handled
Dec 3 00:30:11 muffel last message repeated 2 times
Dez 3 00:30:11 muffel ipsec_setup: KLIPS debug `none'
Dec 3 00:30:11 muffel kernel:
Dez 3 00:30:11 muffel ipsec_setup: KLIPS ipsec0 on eth0 192.168.1.3/255.255.255.0 broadcast 192.168.1.255
Dec 3 00:30:11 muffel /etc/hotplug/net.agent: register event not handled
Dez 3 00:30:12 muffel ipsec_setup: ...FreeS/WAN IPsec started
Dez 3 00:30:13 muffel ipsec__plutorun: ipsec_auto: fatal error in "packetdefault": %defaultroute requested but not known
Dez 3 00:30:13 muffel ipsec__plutorun: ipsec_auto: fatal error in "block": %defaultroute requested but not known
Dez 3 00:30:14 muffel ipsec__plutorun: ipsec_auto: fatal error in "clear-or-private": %defaultroute requested but not known
Dez 3 00:30:15 muffel ipsec__plutorun: ipsec_auto: fatal error in "clear": %defaultroute requested but not known
Dez 3 00:30:15 muffel ipsec__plutorun: ipsec_auto: fatal error in "private-or-clear": %defaultroute requested but not known
Dez 3 00:30:15 muffel ipsec__plutorun: ipsec_auto: fatal error in "private": %defaultroute requested but not known
Dez 3 00:30:16 muffel ipsec__plutorun: 021 no connection named "packetdefault"
Dez 3 00:30:16 muffel ipsec__plutorun: ...could not route conn "packetdefault"
Dez 3 00:30:16 muffel ipsec__plutorun: 021 no connection named "block"
Dez 3 00:30:16 muffel ipsec__plutorun: ...could not route conn "block"
Dez 3 00:30:16 muffel ipsec__plutorun: 021 no connection named "clear-or-private"
Dez 3 00:30:16 muffel ipsec__plutorun: ...could not route conn "clear-or-private"
Dez 3 00:30:16 muffel ipsec__plutorun: 021 no connection named "clear"
Dez 3 00:30:16 muffel ipsec__plutorun: ...could not route conn "clear"
Dez 3 00:30:16 muffel ipsec__plutorun: 021 no connection named "private-or-clear"
Dez 3 00:30:16 muffel ipsec__plutorun: ...could not route conn "private-or-clear"
Dez 3 00:30:16 muffel ipsec__plutorun: 021 no connection named "private"
Dez 3 00:30:16 muffel ipsec__plutorun: ...could not route conn "private"


Was ist falsch?
Hier meine ipsec.conf: (Roadwarrior-Config)


version 2.0
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
uniqueids=yes

conn %default
keyingtries=1
compress=yes
disablearrivalcheck=no
leftrsasigkey=%cert
rightrsasigkey=%cert
authby=rsasig
auto=add


conn roadwarrior
right=%any
left=192.168.1.3
leftcert=gatecert.pem
rightid="blablablabla......"


Danke!
clumsy

Hmm.....kann mir denn wieder keiner helfen?? Oder ist's euch nur zu doof?
In letzter Zeit bekomm ich nie ne Antwort zu Problemem, die ich mit VPN habe....

Schade...
clumsy

Dez 3 00:30:13 muffel ipsec__plutorun: ipsec_auto: fatal error in "packetdefault": %defaultroute requested but not known
Würde mal tippen: Entweder fehlt die oder du hast eine Falsche Angabe. Habe gerade kein Doku zur Hand.

Gruss, Andy

In der ipsec.conf hab ich nirgends defaultroute definiert....siehe oben ^^

route zeigt mir als defaultroute, die zu meinem Internetrouter (192.168.1.1 eth0)....
wo definiert ich das richtig?
clumsy

PS:Danke, dass Du mir hilfst :)

Öhm, du benutzt einen Router. Falls du vor hast eine IPSec Verbindung nach aussen aufzubauen wird es nicht funktionieren, da deine FreeS/Wan Version warscheinlich nicht "nat-traversal" gepatcht ist. Ich empfehle "SuperfreeS/Wan" ( www.freeswan.ca )

Und dein "defaultroute" Problem geht von den "Policy Groups" aus.. die liegen in "/etc/ipsec.d/policies". Kannst du auch deaktivieren mit:



conn block
auto=ignore

conn private
auto=ignore

conn private-or-clear
auto=ignore

conn clear-or-private
auto=ignore

conn clear
auto=ignore

conn packetdefault
auto=ignore

.. in der ipsec.conf

-ready

danke....das hat geklappt :)

kannst du mir noch erklären wozu die jetzt genau da sind?? auf die wär ich ja nie im Leben gekommen!

clumsy

PS:Ich will keine ipsec-Verbindung nach draussen aufbauen......nur für Notebooks, die ins LAN wollen und mitsurfen können....

Hab da aber noch einige Probleme mit dem Zertifikatstausch und der Cisco-Software....will nich klappen :(
:mad:

kannst du mir noch erklären wozu die jetzt genau da sind?? auf die wär ich ja nie im Leben gekommen!

Das sind Policy Groups und sie existieren erst seit Freeswan 2.0

Sie dienen dazu Verbindungen, die vorher einzeln definiert werden mußten zu Gruppen zusammenzufassen -> bessere Lesbarkeit / Übersichtlichkeit.

Alle Endpunkte die in einer Policy Group stehen brauchen nicht mehr in die ipsec.conf den Freeswan baut die Verbindungen bei Bedarf von sich aus auf:)
Ein Eintrag in einer Policy Group ist simpel: IP/mask

Bisher sind Policy Groupa nur für Opportunistic Encryption möglich.

Gruppen:

private: nur verschlüsselte Kommunikation zulässig

private or clear: wenn keine Verschlüsselung möglich wird die Verbindung im Klartext aufgebaut

clear or private: es wird verschlüsselt gesendet. Fordert die Gegenstelle Klartext wird unverschlüsselt weitergesendet

clear: Nur Klartextübertragung ist erlaubt

block: alles wird geblockt

Es können zusätzlich eigene Gruppen erstellt werden...

Quelle: Das sehr gute und für jeden Interessierten zu empfehlende Buch "VPN mit Linux" Mehr zu Buch und Autor hier (http://www.spenneberg.com/index.html)

mfg
cane