Hallo :)

Ich hab den ganzen Tag versucht ein VPN zu meinem Kumpel aufzubauen. Mein Kumpel hat einn Netgear Router bei sich laufen. Der Router ist VPN fähig, und ein andere Kumpel, der fli4l benutzt, konnte auch bereits Verbindungen problemlos aufbauen...
Nun, wenn ich versuche eine Verbindung aufzubauen, dann kommt immer folgende Meldung:

Feb 12 23:53:35 [pluto] "decoit" #2: responding to Main Mode
Feb 12 23:53:35 [pluto] "decoit" #2: peer requested 86400 seconds which exceeds our limit 28800 seconds. Attribute OAKLEY_LIFE_DURATION (variable length)
Feb 12 23:53:35 [pluto] "decoit" #2: peer requested 86400 seconds which exceeds our limit 28800 seconds. Attribute OAKLEY_LIFE_DURATION (variable length)
Feb 12 23:53:35 [pluto] "decoit" #2: peer requested 86400 seconds which exceeds our limit 28800 seconds. Attribute OAKLEY_LIFE_DURATION (variable length)
Feb 12 23:53:35 [pluto] "decoit" #2: peer requested 86400 seconds which exceeds our limit 28800 seconds. Attribute OAKLEY_LIFE_DURATION (variable length)
Feb 12 23:53:35 [pluto] "decoit" #2: peer requested 86400 seconds which exceeds our limit 28800 seconds. Attribute OAKLEY_LIFE_DURATION (variable length)
Feb 12 23:53:35 [pluto] "decoit" #2: peer requested 86400 seconds which exceeds our limit 28800 seconds. Attribute OAKLEY_LIFE_DURATION (variable length)
Feb 12 23:53:35 [pluto] "decoit" #2: no acceptable Oakley Transform
Feb 12 23:53:35 [pluto] "decoit" #2: sending notification NO_PROPOSAL_CHOSEN to xxx.xxx.xxx.xxx:500

Es scheint so, alsob Router und mein Rechner unterschiedlicher Meinung sind,m was die Lebenszeit des Schlüssels angeht, wenn ich das richtig sehe ?
Die Frage ist nun, ob das richtig ist, und wie ich das ändern kann ? Kaut man ipsec.conf gibt es den keylifetime und ikelifetime .. ich hab bereits beide auf das Maximum gesetzt .. trotzdem bekomme ich weiterhin diese Meldung :(

Des weiteren hab ich folgende Meldung von ipsec verify bekommen:
Gatekeeper ipsec # ipsec verify
Checking your system to see if IPsec got installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec/ipsec.secrets) [OK]
Checking that pluto is running [OK]
DNS checks.
Looking for forward key for Gatekeeper [FAILED]
Looking for KEY in reverse map: xxx.xxx.xxx.xxx.in-addr.arpa [FAILED]
Does the machine have at least one non-private address [OK]

Was bedeutet die beiden fehlgeschlagenen Einträge ??

mfg Andre

Hi, kann dir bei deinem Problem leider nicht helfen, denn ich bin noch nicht mal so weit wie du. Aber vielleicht könntest du mir sagen, wie ich überhaupt versuche eine verbindung aufzubauen ?? was gibst du da für befehle ein ??
Ich will über eine von mir konfigurierte firewall (VPN ist eingerichtet) einen Tunnel zwischen zwei rechnern aufbauen.

suuuhuuuuchen.

Stichwort(e):

openvpn(!)
ipsec
cipe

@Ich85: suchen :)

Wenn du alles richtig eingestellt hast, dann baut sich der Tunnel automatishc auf, sobald Daten über das Interface ausgetauscht werden sollen ...



Das bringt mich jetzt aber nicht wirklich weiter ... Hat schonmal jemand beobachtet, das in verbindung mit einem Netgear Router/Vpn die ike und keyl lifetime falsch übergeben werden oder sowas ?

nein, hab ich noch nie mitbekommen, darf auch nicht sein. Der Router sollte einfach nur ein Portforwarding machen. Da hat er eigentlich nichts ausser einem "$TTL -1" und dem üblichen NAT-Header-Gehomsel zu tun.

PS: Des hast von deinem "tuned Switch" ;>

> peer requested 86400 seconds which exceeds our limit 28800 seconds

nur eine Therorie:
Du baust einen Tunnel ZUM Netgear auf:
Der Netgear schlägt eine keylifetime von 24h vor, Freeswan mag aber nur max. 8h.
Sag Deinem Freund ER soll die Keylifetime runtersetzen z.b auf 8h

Manx

Sag Deinem Freund ER soll die Keylifetime runtersetzen z.b auf 8h

Das erhöht zusätzlich die Sicherheit:)

mfg
cane

... dann aber gleich auf 30 min ;)

Manx

Original geschrieben von [WCM]Manx
> peer requested 86400 seconds which exceeds our limit 28800 seconds

nur eine Therorie:
Du baust einen Tunnel ZUM Netgear auf:
Der Netgear schlägt eine keylifetime von 24h vor, Freeswan mag aber nur max. 8h.
Sag Deinem Freund ER soll die Keylifetime runtersetzen z.b auf 8h

Manx

DAS hab ich mir auch gedacht .. das Problem dabei ist nur, das auf dem Router nicht 24h sondern 8h also 28800 eingetragen ist .. :(

Das Problem hat sich jetzt allerdings verändert .. ich bekomme jetzt folgende Fehlermeldung:

Feb 10 15:43:34 [pluto] "andre-home" #4: responding to Main Mode
Feb 10 15:43:34 [pluto] "andre-home" #4: unsupported OAKLEY attribute. Attribute OAKLEY_KEY_LENGTH
Feb 10 15:43:34 [pluto] "andre-home" #4: unsupported OAKLEY attribute. Attribute OAKLEY_KEY_LENGTH
Feb 10 15:43:34 [pluto] "andre-home" #4: unsupported OAKLEY attribute. Attribute OAKLEY_KEY_LENGTH
Feb 10 15:43:34 [pluto] "andre-home" #4: unsupported OAKLEY attribute. Attribute OAKLEY_KEY_LENGTH
Feb 10 15:43:34 [pluto] "andre-home" #4: unsupported OAKLEY attribute. Attribute OAKLEY_KEY_LENGTH
Feb 10 15:43:34 [pluto] "andre-home" #4: unsupported OAKLEY attribute. Attribute OAKLEY_KEY_LENGTH
Feb 10 15:43:34 [pluto] "andre-home" #4: no acceptable Oakley Transform


Meine Config:

# basic configuration
config setup
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple cases.
interfaces=%defaultroute
# Debug-logging controls: "none" for (almost) none, "all" for lots.
#klipsdebug=none
#plutodebug=none
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
plutoload=%search
plutostart=%search
# Close down old connection when new one using same ID shows up.
uniqueids=yes


# defaults for subsequent connection descriptions
# (these defaults will soon go away)
conn %default
keyingtries=0
disablearrivalcheck=no
authby=secret
leftrsasigkey=%dnsondemand
rightrsasigkey=%dnsondemand


# sample VPN connection
conn andre-home
# Left security gateway, subnet behind it, next hop toward right.
left=%defaultroute
leftsubnet=10.10.0.0/16
leftid=@andre
#leftnexthop=212.6.108.11
# Right security gateway, subnet behind it, next hop toward left.
right=195.xxx.xxx.xxx
rightsubnet=192.168.10.0/24
rightid=@decoit
# To authorize this connection, but not actually start it, at startup,
# uncomment this.
auth=esp
auto=add
type=tunnel
keyexchange=ike
rekey=yes

mfg Andre

Scheint wohl nach einem Schlüsselproblem auszusehen...
Hab mit Authentifizierung über dNS keine Erfahrung - vielleicht stimmen die Records auf dem DNS nicht (Format, Zeilenumbrüche...)?

mfg
cane

Original geschrieben von cane
Scheint wohl nach einem Schlüsselproblem auszusehen...
Hab mit Authentifizierung über dNS keine Erfahrung - vielleicht stimmen die Records auf dem DNS nicht (Format, Zeilenumbrüche...)?

mfg
cane

Ich hab dne dns on demand jetzt mal rausgenommen.. aber der Fehler ist immer noch der selbe .. :(

So.. das Problem oben ist erledigt .... es sieht so aus, als ob der NEtgear auf der andenre Seite mit aes als cipher net klargekommen ist ... mit 3des läuft es jetzt .. er baut ne verbindung auf .... jetzt muss ich nur noch herausfinden, wieso ich nur von meinem kumpel zu mir, aber net von mir zu ihm pingen darf :)