luckyduck
06.01.04, 00:00
Hallo,
nachdem ich nun die meisten Probleme z.T. selber und den größten Teil mit Hilfe von Google und dem Forum hier lösen konnte hänge ich nun fest. Ich habe in meinem Router eine Wlankarte mit prism2 Chipsatz. Der Router fungiert dank Hostap als Accesspoint. Die WEP Verschlüsselung habe ich beim einrichten des VPNs abgeschaltet. Ein Paketfilter ist ebenfalls "nicht an" und alle Policy's stehen hier auf ACCEPT da ich zunächst sicher sein wollte das das VPN "steht" bevor ich da herangehe. Das Wlan ansich funktioniert wunderbar, d.h. ich kann im ganzen Netz Rechner anpingen und bspw. im Internet surfen. Auf dem Router sowie auf den Clients läuft Gentoo. Der Netzwerkaufbau sieht in etwa so aus:
luckyduck-home.png (http://the-luckyduck.de/luckyduck-home.png)
Mein Plan war es jeglichen Traffic der über das Wlan übertragen wird zu verschlüsseln.
hier die ipsec.conf 's:
router (192.168.200.1):
#############################
version 2
config setup
interfaces="ipsec0=wlan0"
klipsdebug=none
plutodebug=none
uniqueids=yes
conn wavelan
# general options
type=tunnel
keyexchange=ike
keylife=900s
ikelifetime=1200s
keyingtries=5
pfs=yes
rekeymargin=150s
rekeyfuzz=25%
auto=add
# local options
left=192.168.200.1
leftsubnet=0.0.0.0/0 leftid="/C=DE/ST=NRW/L=Schlangen/O=luckyduck.tux/OU=NOC/CN=kerberos/emailAddress=lucky@the-luckyduck.de"
leftrsasigkey=%cert
leftcert=kerberos.pem
# remote options
right=192.168.200.135
rightsubnet=192.168.200.135/32 rightid="/C=DE/ST=NRW/L=Schlangen/O=luckyduck.tux/OU=NOC/CN=nepomuk/emailAddress=lucky@the-luckyduck.de"
rightrsasigkey=%cert
rightcert=nepomuk.pem
# disable OE
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore
#############################
1. roadwarrior (192.168.200.135)
#############################
version 2
config setup
interfaces="ipsec0=wlan0"
klipsdebug=none
plutodebug=none
conn wavelan
# generell options
auto=add
type=tunnel
keyexchange=ike
keylife=900s
ikelifetime=1200s
keyingtries=5
pfs=yes
rekeymargin=150s
rekeyfuzz=25%
# local options
left=192.168.200.135 leftid="/C=DE/ST=NRW/L=Schlangen/O=luckyduck.tux/OU=NOC/CN=nepomuk/email
Address=lucky@the-luckyduck.de"
leftrsasigkey=%cert
leftcert=nepomuk.pem
# remote options
right=192.168.200.1
rightsubnet=0.0.0.0/0 rightid="/C=DE/ST=NRW/L=Schlangen/O=luckyduck.tux/OU=NOC/CN=kerberos/ema
ilAddress=lucky@the-luckyduck.de"
rightrsasigkey=%cert
rightcert=kerberos.pem
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore
#############################
Wenn ich nun per "ipsec auto --up wavelan" auf dem Client eine Verbindung initiiere wird diese auch erfolgreich aufgebaut:
104 "wavelan" #1: STATE_MAIN_I1: initiate
106 "wavelan" #1: STATE_MAIN_I2: sent MI2, expecting MR2
108 "wavelan" #1: STATE_MAIN_I3: sent MI3, expecting MR3
004 "wavelan" #1: STATE_MAIN_I4: ISAKMP SA established
112 "wavelan" #2: STATE_QUICK_I1: initiate
004 "wavelan" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0xd1be63b6 <0x821257f5}
Versuche ich nun einen Rechner hinter dem Router anzupingen, entweder im Subnet 10.0.0.0/8, 192.168.0.0/24 oder im Internet kommt bei einem "tcpdump -n -i wlan0" auf dem router nur folgendes zutage:
23:05:15.320925 192.168.200.135 > 192.168.200.1: ESP(spi=0xd1be63b6,seq=0x1)
23:05:16.331945 192.168.200.135 > 192.168.200.1: ESP(spi=0xd1be63b6,seq=0x2)
23:05:17.332173 192.168.200.135 > 192.168.200.1: ESP(spi=0xd1be63b6,seq=0x3)
Es werden scheinbar alle Pakete verworfen die an wlan0 bzw ipsec0 ankommen oder besser sie werden nicht zugestellt. Ein simples "route" auf dem router liefert folgende Ausgabe:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.200.0 * 255.255.255.0 U 0 0 0 wlan0
192.168.200.0 * 255.255.255.0 U 0 0 0 ipsec0
ripe-ncc-net.ri * 255.0.0.0 U 0 0 0 ippp0
10.0.0.0 * 255.0.0.0 U 0 0 0 eth1
loopback localhost 255.0.0.0 UG 0 0 0 lo
default 193.158.139.113 0.0.0.0 UG 0 0 0 ippp0
Ein "ipsec eroute" auf dem Client folgende:
0 192.168.200.135/32:0 -> 0.0.0.0/0:0 => tun0x1002@192.168.200.1:0
Auf dem router kommt keine Ausgabe nach einem "ipsec eroute". Wenn mir hier jemand helfen könnte wäre das echt Klasse.
nachdem ich nun die meisten Probleme z.T. selber und den größten Teil mit Hilfe von Google und dem Forum hier lösen konnte hänge ich nun fest. Ich habe in meinem Router eine Wlankarte mit prism2 Chipsatz. Der Router fungiert dank Hostap als Accesspoint. Die WEP Verschlüsselung habe ich beim einrichten des VPNs abgeschaltet. Ein Paketfilter ist ebenfalls "nicht an" und alle Policy's stehen hier auf ACCEPT da ich zunächst sicher sein wollte das das VPN "steht" bevor ich da herangehe. Das Wlan ansich funktioniert wunderbar, d.h. ich kann im ganzen Netz Rechner anpingen und bspw. im Internet surfen. Auf dem Router sowie auf den Clients läuft Gentoo. Der Netzwerkaufbau sieht in etwa so aus:
luckyduck-home.png (http://the-luckyduck.de/luckyduck-home.png)
Mein Plan war es jeglichen Traffic der über das Wlan übertragen wird zu verschlüsseln.
hier die ipsec.conf 's:
router (192.168.200.1):
#############################
version 2
config setup
interfaces="ipsec0=wlan0"
klipsdebug=none
plutodebug=none
uniqueids=yes
conn wavelan
# general options
type=tunnel
keyexchange=ike
keylife=900s
ikelifetime=1200s
keyingtries=5
pfs=yes
rekeymargin=150s
rekeyfuzz=25%
auto=add
# local options
left=192.168.200.1
leftsubnet=0.0.0.0/0 leftid="/C=DE/ST=NRW/L=Schlangen/O=luckyduck.tux/OU=NOC/CN=kerberos/emailAddress=lucky@the-luckyduck.de"
leftrsasigkey=%cert
leftcert=kerberos.pem
# remote options
right=192.168.200.135
rightsubnet=192.168.200.135/32 rightid="/C=DE/ST=NRW/L=Schlangen/O=luckyduck.tux/OU=NOC/CN=nepomuk/emailAddress=lucky@the-luckyduck.de"
rightrsasigkey=%cert
rightcert=nepomuk.pem
# disable OE
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore
#############################
1. roadwarrior (192.168.200.135)
#############################
version 2
config setup
interfaces="ipsec0=wlan0"
klipsdebug=none
plutodebug=none
conn wavelan
# generell options
auto=add
type=tunnel
keyexchange=ike
keylife=900s
ikelifetime=1200s
keyingtries=5
pfs=yes
rekeymargin=150s
rekeyfuzz=25%
# local options
left=192.168.200.135 leftid="/C=DE/ST=NRW/L=Schlangen/O=luckyduck.tux/OU=NOC/CN=nepomuk/email
Address=lucky@the-luckyduck.de"
leftrsasigkey=%cert
leftcert=nepomuk.pem
# remote options
right=192.168.200.1
rightsubnet=0.0.0.0/0 rightid="/C=DE/ST=NRW/L=Schlangen/O=luckyduck.tux/OU=NOC/CN=kerberos/ema
ilAddress=lucky@the-luckyduck.de"
rightrsasigkey=%cert
rightcert=kerberos.pem
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore
#############################
Wenn ich nun per "ipsec auto --up wavelan" auf dem Client eine Verbindung initiiere wird diese auch erfolgreich aufgebaut:
104 "wavelan" #1: STATE_MAIN_I1: initiate
106 "wavelan" #1: STATE_MAIN_I2: sent MI2, expecting MR2
108 "wavelan" #1: STATE_MAIN_I3: sent MI3, expecting MR3
004 "wavelan" #1: STATE_MAIN_I4: ISAKMP SA established
112 "wavelan" #2: STATE_QUICK_I1: initiate
004 "wavelan" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0xd1be63b6 <0x821257f5}
Versuche ich nun einen Rechner hinter dem Router anzupingen, entweder im Subnet 10.0.0.0/8, 192.168.0.0/24 oder im Internet kommt bei einem "tcpdump -n -i wlan0" auf dem router nur folgendes zutage:
23:05:15.320925 192.168.200.135 > 192.168.200.1: ESP(spi=0xd1be63b6,seq=0x1)
23:05:16.331945 192.168.200.135 > 192.168.200.1: ESP(spi=0xd1be63b6,seq=0x2)
23:05:17.332173 192.168.200.135 > 192.168.200.1: ESP(spi=0xd1be63b6,seq=0x3)
Es werden scheinbar alle Pakete verworfen die an wlan0 bzw ipsec0 ankommen oder besser sie werden nicht zugestellt. Ein simples "route" auf dem router liefert folgende Ausgabe:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
192.168.0.0 * 255.255.255.0 U 0 0 0 eth0
192.168.200.0 * 255.255.255.0 U 0 0 0 wlan0
192.168.200.0 * 255.255.255.0 U 0 0 0 ipsec0
ripe-ncc-net.ri * 255.0.0.0 U 0 0 0 ippp0
10.0.0.0 * 255.0.0.0 U 0 0 0 eth1
loopback localhost 255.0.0.0 UG 0 0 0 lo
default 193.158.139.113 0.0.0.0 UG 0 0 0 ippp0
Ein "ipsec eroute" auf dem Client folgende:
0 192.168.200.135/32:0 -> 0.0.0.0/0:0 => tun0x1002@192.168.200.1:0
Auf dem router kommt keine Ausgabe nach einem "ipsec eroute". Wenn mir hier jemand helfen könnte wäre das echt Klasse.