schrippe
26.01.04, 15:24
habe einen einfachen tunnel zwischen isakmpd und ipsec aufgebaut mit PSK. nun erscheint:
Jan 26 14:56:09 vpn-gate pluto[18355]: "testing-sub" #5: responding to Main Mode
Jan 26 14:56:09 vpn-gate pluto[18355]: "testing-sub" #5: ignoring informational payload, type IPSEC_INITIAL_CONTACT
Jan 26 14:56:09 vpn-gate pluto[18355]: "testing-sub" #5: Main mode peer ID is ID_IPV4_ADDR: '213.11.44.34'
Jan 26 14:56:09 vpn-gate pluto[18355]: "testing-sub" #5: sent MR3, ISAKMP SA established
Jan 26 14:56:09 vpn-gate pluto[18355]: "testing-sub" #6: responding to Quick Mode
Jan 26 14:56:09 vpn-gate pluto[18355]: "testing-sub" #6: IPsec SA established
bei route auf server ipsec:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
62.96.119.128 * 255.255.255.224 U 0 0 0 eth0
62.96.119.128 * 255.255.255.224 U 0 0 0 ipsec0
192.168.0.0 62.96.119.129 255.255.255.0 UG 0 0 0 ipsec0
192.168.110.0 gate2.sys 255.255.255.0 UG 0 0 0 eth1
localnet * 255.255.255.0 U 0 0 0 eth1
default 62.96.119.129 0.0.0.0 UG 0 0 0 eth0
route auf client isakmpd:
213.11.144.0 * 255.255.255.192 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
localnet * 255.255.255.0 U 0 0 0 eth0
default shellfish 0.0.0.0 UG 0 0 0 eth0
so wenn ich jetzt z.b. 192.168.0.2 anpingen will, durch den tunnel, gehts nicht. kommt nichts durch. umgekehrt leider auch nicht. bei beiden ist ip_forward 1 gesetzt. es sind debian maschinen mit ipsec 2.4.24 und isakmpd 2.6.1 kernel.
tcpdump auf der serverseite zeigt nichts an. als wenn nichts ankommen würde.
meine ipsec.conf:
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
uniqueids=yes
plutoload=%search
plutostart=%search
#overridemtu=1000
conn %default
keyingtries=1
conn testing-sub
also=testing
leftsubnet=192.168.121.0/24
rightsubnet=192.168.0.0/24
conn testing
#esp=aes256-sha1
#ike=blowfish128-sha
auto=add
auth=esp
pfs=yes
authby=secret
right=213.11.144.34
#leftfirewall=no
#rightfirewall=no
rightnexthop=213.11.144.1
left=62.96.19.156
leftnexthop=%defaultroute
und die isakmpd.conf:
[General]
Listen-on= 213.11.144.34
[Phase 1]
62.96.119.156= ISAKMP-vpn-server-test
[Phase 2]
Connections= testing
[ISAKMP-vpn-server-test]
Phase= 1
Transport= udp
Address= 62.96.119.156
Local-address= 213.11.44.34
Configuration= Default-main-mode
Authentication= test222
[testing]
Phase= 2
ISAKMP-peer= ISAKMP-vpn-server-test
Configuration= Default-quick-mode
Local-ID= Net-east
Remote-ID= Net-west
#Local-ID
[Net-west]
ID-type= IPV4_ADDR_SUBNET
Network= 192.168.121.0
Netmask= 255.255.255.0
[Net-east]
ID-type= IPV4_ADDR_SUBNET
Network= 192.168.0.0
Netmask= 255.255.255.0
#######################
#Main mode description
########################
...
habe die ip's ein wenig verfremdet. sieht da jemand einen fehler? habe ich was vergessen? danke
Jan 26 14:56:09 vpn-gate pluto[18355]: "testing-sub" #5: responding to Main Mode
Jan 26 14:56:09 vpn-gate pluto[18355]: "testing-sub" #5: ignoring informational payload, type IPSEC_INITIAL_CONTACT
Jan 26 14:56:09 vpn-gate pluto[18355]: "testing-sub" #5: Main mode peer ID is ID_IPV4_ADDR: '213.11.44.34'
Jan 26 14:56:09 vpn-gate pluto[18355]: "testing-sub" #5: sent MR3, ISAKMP SA established
Jan 26 14:56:09 vpn-gate pluto[18355]: "testing-sub" #6: responding to Quick Mode
Jan 26 14:56:09 vpn-gate pluto[18355]: "testing-sub" #6: IPsec SA established
bei route auf server ipsec:
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
62.96.119.128 * 255.255.255.224 U 0 0 0 eth0
62.96.119.128 * 255.255.255.224 U 0 0 0 ipsec0
192.168.0.0 62.96.119.129 255.255.255.0 UG 0 0 0 ipsec0
192.168.110.0 gate2.sys 255.255.255.0 UG 0 0 0 eth1
localnet * 255.255.255.0 U 0 0 0 eth1
default 62.96.119.129 0.0.0.0 UG 0 0 0 eth0
route auf client isakmpd:
213.11.144.0 * 255.255.255.192 U 0 0 0 eth0
192.168.0.0 * 255.255.255.0 U 0 0 0 eth1
localnet * 255.255.255.0 U 0 0 0 eth0
default shellfish 0.0.0.0 UG 0 0 0 eth0
so wenn ich jetzt z.b. 192.168.0.2 anpingen will, durch den tunnel, gehts nicht. kommt nichts durch. umgekehrt leider auch nicht. bei beiden ist ip_forward 1 gesetzt. es sind debian maschinen mit ipsec 2.4.24 und isakmpd 2.6.1 kernel.
tcpdump auf der serverseite zeigt nichts an. als wenn nichts ankommen würde.
meine ipsec.conf:
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
uniqueids=yes
plutoload=%search
plutostart=%search
#overridemtu=1000
conn %default
keyingtries=1
conn testing-sub
also=testing
leftsubnet=192.168.121.0/24
rightsubnet=192.168.0.0/24
conn testing
#esp=aes256-sha1
#ike=blowfish128-sha
auto=add
auth=esp
pfs=yes
authby=secret
right=213.11.144.34
#leftfirewall=no
#rightfirewall=no
rightnexthop=213.11.144.1
left=62.96.19.156
leftnexthop=%defaultroute
und die isakmpd.conf:
[General]
Listen-on= 213.11.144.34
[Phase 1]
62.96.119.156= ISAKMP-vpn-server-test
[Phase 2]
Connections= testing
[ISAKMP-vpn-server-test]
Phase= 1
Transport= udp
Address= 62.96.119.156
Local-address= 213.11.44.34
Configuration= Default-main-mode
Authentication= test222
[testing]
Phase= 2
ISAKMP-peer= ISAKMP-vpn-server-test
Configuration= Default-quick-mode
Local-ID= Net-east
Remote-ID= Net-west
#Local-ID
[Net-west]
ID-type= IPV4_ADDR_SUBNET
Network= 192.168.121.0
Netmask= 255.255.255.0
[Net-east]
ID-type= IPV4_ADDR_SUBNET
Network= 192.168.0.0
Netmask= 255.255.255.0
#######################
#Main mode description
########################
...
habe die ip's ein wenig verfremdet. sieht da jemand einen fehler? habe ich was vergessen? danke