Hallo

Seit kurzem habe ich einen Internet Zugang über W-Lan Richtfunk, welcher via IpSec Verschlüsselt wird.
Mein ISP hat mir dazu zwei Zertifikate gegeben, Eines für Windows (.p12) und das andere für Linux (.pem).
Unter Windows funktioniert die ganze Sache ja wunderbar aber unter Linux habe ich leicht Konfigurations-Probleme.

Fehlermeldung von Pluto “Issuer CA certificate not found” oder “sending notification INVALID_ID_INFORMATION”

Meine Frage:
Wo muss ich das Zertifikat hinkopieren ???
Muss ich in die ipsec.secrets etwas eintragen ??
Wie sollte die ipsec.conf aussehen wenn ich folgende Information habe:
VPN GW 192.168.54.1
Freeswan 1.99
Zertifikat(.pem):

Certificate:
Data:
Version: 3 (0x2)
Serial Number: 9 (0x9)
Signature Algorithm: md5WithRSAEncryption
Issuer: C=AT, ST=Oberoesterreich, L=H.........
Validity
Not Before: Feb 13 15:16:04 2004 GMT
Not After : Feb 12 15:16:04 2006 GMT
Subject: C=AT, ST=Oberoesterreich, L=..........
Subject Public Key Info:
Public Key Algorithm: rsaEncryption
RSA Public Key: (2048 bit)
Modulus (2048 bit):
00:d4:61:13:21:45:e2:6f:44:a5:54:fa:f7:dd:09:
....................................
c1:ae:70:6f:95:c0:f5:5c:23:76:b8:38:16:89:22:
dc:45
Exponent: 65537 (0x10001)
X509v3 extensions:
X509v3 Basic Constraints:
CA:FALSE
Netscape Cert Type:
SSL Client, S/MIME, Object Signing
Netscape Comment:
TinyCA Generated Certificate
X509v3 Subject Key Identifier:
55:FC:68:.......:CF:F0:B4:A9
X509v3 Authority Key Identifier:
keyid:7D:D0:4E...............A4:3C:93:8E
DirName:/C=AT/ST=Oberoesterreich/L.............
serial:00

X509v3 Issuer Alternative Name:
email:tec......@.........at
X509v3 Subject Alternative Name:
<EMPTY>

X509v3 Key Usage:
Digital Signature, Key Encipherment
Signature Algorithm: md5WithRSAEncryption
0a:29:cc:c3:85:f6:f4:5a:ab:16:42:65:c1:a1:53:ad:34 :7d:
.................................................. ......................................
d6:b9:bc:c0:8b:f2:d6:86:0f:cf:1e:9f:30:e5:ee:b5:9a :45:
ed:7c:cb:d0
-----BEGIN CERTIFICATE-----
MIIE2TCCA8GgAwIBAgIBCTANBgkqhkiG9w0BAQQFADCBlzELMA kGA1UEBhMCQVQx
..........................................
v6pnEfa/3x6TG2Yj67vaIUUpCqIXLncg8n3zdpMYRj6hH5uPLCVk3BKV13 X6jJX2
c8dl+Da9mvsFZyoBJ3M4u8RYrFhwp8XWubzAi/LWhg/PHp8w5e61mkXtfMvQ
-----END CERTIFICATE-----



Habe, glaube ich zumindest fast schon alle Konfigurations-Möglichkeiten durch und weis nicht mehr weiter, vielen dank für eure Hilfe

Du solltest unter /etc/ipsec ein verzeichnis haben .. certs .. ( kann auch woanders liegen .. das kommt auf die Distrie an ) in diese Verzeichnis müssen normalerweise deine Zertifikate rein ....

Wenn du in deinen Logfile ( z.B. /var/log/message oder /var/log/eveything/current ) per tail -f messages schaust, während du ipsec neu startest kannst du sehen, ob er die Zertifikate gefunden hat ...

Die Zertifikate werden ja gefunden (siehe weiter unten), aber es kommt keine Verbindung zu stande.

Messages Pluto:

Mar 1 18:36:34 pluto[12723]: "e-complete" #1: initiating Main Mode
Mar 1 18:36:34 pluto[12723]: "e-complete" #1: Peer ID is ID_DER_ASN1_DN: 'C=AT, ST=Oberoesterreich, L=Hoehnhart, O=E-Complete, CN=vpngw.e-complete.at, E=tech-role@e-complete.at'
Mar 1 18:36:34 pluto[12723]: "e-complete" #1: Issuer CA certificate not found
Mar 1 18:36:34 pluto[12723]: "e-complete" #1: X.509 certificate rejected
Mar 1 18:36:34 pluto[12723]: "e-complete" #1: we require peer to have ID '192.168.54.1', but peer declares 'C=AT, ST=Oberoesterreich, L=Hoehnhart, O=E-Complete, CN=vpngw.e-complete.at, E=tech-role@e-complete.at'
Mar 1 18:36:34 pluto[12723]: "e-complete" #1: sending notification INVALID_ID_INFORMATION to 192.168.54.1:500


# ipsec auto --listall
000
000 List of Public Keys:
000
000 Mar 01 18:31:24 2004, 2048 RSA Key AwEAAdRhE, until Feb 12 16:16:04 2006 ok
000 ID_DER_ASN1_DN 'C=AT, ST=Oberoesterreich, L=Treubach, CN=Baier,21007-00'
000 Issuer 'C=AT, ST=Oberoesterreich, L=Ho..., O=E-Co...., CN=op...., E=t....@e-....
000
000 List of User/Host Certificates:
000
000 Mar 01 18:31:24 2004, count: 1
000 subject: 'C=AT, ST=Oberoesterreich, L=Tr....., CN=B......
000 issuer: 'C=AT, ST=Oberoesterreich, L=H....., O=E-C....., CN=o......, E=tech-role@e.........at'
000 pubkey: 2048 RSA Key AwEAAdRhE, has private key
000 validity: not before Feb 13 16:16:04 2004 ok
000 not after Feb 12 16:16:04 2006 ok
000
000 List of CA Certificates:
000
000 Mar 01 18:31:24 2004, count: 1
000 subject: 'C=AT, ST=Oberoesterreich, L=Tr....., CN=B......
000 issuer: 'C=AT, ST=Oberoesterreich, L=H....., O=E-C....., CN=o......, E=tech-role@e.........at'CN=openca.e-complete.at, E=tech-role@e-complete.at'
000 pubkey: 2048 RSA Key AwEAAdRhE, has private key
000 validity: not before Feb 13 16:16:04 2004 ok
000 not after Feb 12 16:16:04 2006 ok
000
000 List of CRLs:
000

Vielleicht hat jemand eine Ahnung was hier Falsch sein könnte ?????

öhm... ich hab bis jetzt nur mit preshared Keys gearbeitet.. und nur am Rande mit Zertifikaten .. aber ...

Er meckert, wenn ich das richtig sehe ( kann mich auch täuschen ) das der das Zertifikat der CA also der Certifikation Authority nicht findet ...

sry das ich dir da nicht weiter helfen kann... nimm mal Teile der Fehlermeldung und schau, ob du damit bei Google was findest, falls sich hier keine Meldet ...

Gruss Andre

Hallo,

ich sehe zwei Probleme:

Mar 1 18:36:34 pluto[12723]: "e-complete" #1: Issuer CA certificate not found
Das bedeutet, dass das Zertifikat der CA, die das Zertifikat ausgestellt hat, nicht gefunden wird. Dieses Zertifikat muss in /etc/ipsec.d/cacerts liegen.

Mar 1 18:36:34 pluto[12723]: "e-complete" #1: we require peer to have ID '192.168.54.1', but peer declares 'C=AT, ST=Oberoesterreich, L=Hoehnhart, O=E-Complete, CN=vpngw.e-complete.at, E=tech-role@e-complete.at'
Du scheinst den Parameter (left|right)id für den Client auf eine IP-Adresse getsetzt zu haben.
Dort muss stehen: C=AT, ST=..... (siehe fehlermeldung)

Gruß,

Ralf

Hi @all!

Das CA-Cert sollte in der *.p12 Datei enthalten sein. Ich weiß allerdings nicht, wie man die wieder extrahiert. (ich erstell sie immer nur ;) )

@spenneb
... wollte ich immer schon mal sagen:
Schön so kompetente Leute (fast schon Prominenz) hier zu haben ;)

Grüße

Manx

@DaReini

Versuch mal:
openssl pkcs12 -cacerts -nokeys -in DEIN_WIN_P12.p12 -out cacert.pem

Manx

Hallo

Glaube zumindest eine Verbindung zu haben, aber kein I-Net.
Sollte ich nicht normalerweise an ipsec0 eine offizielle IP bekommen?? (unter win ist es so!)
'ipsec0' hat die gleiche IP wie 'eth1'

Habe folgendes Gemacht:
RSA Private Key Extrahiert
openssl pkcs12 .nodes .nocerts .in cert.p12 -out /etc/ipsec.d/private/myKey.pem

ipsec.secrets angepasst:
: RSA myKey.pem

Root CA Zertifikats Extrahiert
openssl pkcs12 -nokeys -cacerts -in cert.p12 /etc/ipsec.d/cacerts/cacert.pem

Host Zertifikat Extrahiert
openssl pkcs12 -nokeys -clcerts -in cert.p12 /etc/ipsec.d/myKey.pem
Hier bin ich mir nicht sicher ob das der richtige Ordner ist, was gehört eigentlich in „crls“


Ipsec.conf angepasst:
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes

conn %default
keyingtries=0
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert

conn e-complete
left=%defaultroute
leftid="/C=AT/ST=Oberoesterreich/L=Treubach/CN=Baier,21007-00"
leftcert=myKey.pem
right=192.168.54.1
rightid="/C=AT/ST=Oberoesterreich/L=Hoehnhart/O=E-Complete/CN=vpngw.e-complete.at/emailAddress=tech-role@e-complete.at"
auto=start



Mar 4 18:43:04 berta pluto[6306]: added connection description "e-complete"
Mar 4 18:43:04 berta pluto[6306]: listening for IKE messages
Mar 4 18:43:04 berta pluto[6306]: adding interface ipsec0/eth1 192.168.54.248
Mar 4 18:43:04 berta pluto[6306]: adding interface ipsec0/eth1 fe80::2a0:d2ff:fea5:cb20
Mar 4 18:43:04 berta pluto[6306]: loading secrets from "/etc/ipsec.secrets"
Mar 4 18:43:04 berta pluto[6306]: loaded private key file '/etc/ipsec.d/private/myKey.pem' (1803 bytes)
Mar 4 18:43:04 berta pluto[6306]: "e-complete" #1: initiating Main Mode
Mar 4 18:43:05 berta pluto[6306]: "e-complete" #1: Peer ID is ID_DER_ASN1_DN: 'C=AT, ST=Oberoesterreich, L=Hoehnhart, O=E-Complete, CN=vpngw.e-complete.at, E=tech-role@e-complete.at'
Mar 4 18:43:05 berta pluto[6306]: "e-complete" #1: Issuer CRL not found
Mar 4 18:43:05 berta pluto[6306]: "e-complete" #1: Issuer CRL not found
Mar 4 18:43:05 berta pluto[6306]: "e-complete" #1: ISAKMP SA established
Mar 4 18:43:05 berta pluto[6306]: "e-complete" #2: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+PFS
Mar 4 18:43:05 berta pluto[6306]: "e-complete" #2: sent QI2, IPsec SA established
Mar 4 18:43:05 berta ipsec__plutorun: 104 "e-complete" #1: STATE_MAIN_I1: initiate
Mar 4 18:43:05 berta ipsec__plutorun: 106 "e-complete" #1: STATE_MAIN_I2: sent MI2, expecting MR2
Mar 4 18:43:05 berta ipsec__plutorun: 108 "e-complete" #1: STATE_MAIN_I3: sent MI3, expecting MR3
Mar 4 18:43:05 berta ipsec__plutorun: 004 "e-complete" #1: STATE_MAIN_I4: ISAKMP SA established
Mar 4 18:43:05 berta ipsec__plutorun: 112 "e-complete" #2: STATE_QUICK_I1: initiate
Mar 4 18:43:05 berta ipsec__plutorun: 004 "e-complete" #2: STATE_QUICK_I2: sent QI2, IPsec SA established


Frage: kann es mit der Meldung "Issuer CRL not found" zusammenhängen

Im voraus Danke

Frage: kann es mit der Meldung "Issuer CRL not found" zusammenhängen

Nein, die Meldung kommt von Deinem FreeS/WAN, der kein CRL findet.
CRL = Certificate Revocation List = zurückgezogene Zertifikate

Was für einen ipsec Client verwendest Du unter Windows?
Brauchst Du "dhcp über ipsec"?
Welche DNS-Adressen hast Du vom Provider bekommen?

Grüße

Manx

Hallo

Was für einen ipsec Client verwendest Du unter Windows?
Ich verwende Windows XP und dessen Ipsec Unterstützung. (kein Drittanbieter)

Brauchst Du "dhcp über ipsec"?
denke doch, IP Adressen werden automatiscg vergeben ->dhcp.

Welche DNS-Adressen hast Du vom Provider bekommen?
DNS-Server : 217.74.4.3,217.74.4.8

Habe irgendwo in der schnelle gelesen freeswan kann standartmassig nicht DHCP ????

Hi!

Wie hast Du's eigentlich in Windows eingerichtet (die ipsec geschichte ist klar).
Ich meine Konfig der NIC (DHCP usw.) bzw. wie kann ich mir dieses W-LAN Internet vorstellen.

Grüße

Manx

Hallo

Also ich habe eine pcmcia W-Lan Netzwerkkarte (an der ist eine Yagi-Richtfunkantenne angeschlossen) die in einem Ethernet Konverter steckt (wegen Antennenkabel Länge).

An der Netzwerkkarte bekomme ich über DHCP eine Private IP (192.168.54.0/32)
Dann brauche ich nur noch eine VPN-Verbindung zum VPN-Gateway(192.168.54.1) aufzubauen und bekomme an dieser Verbindung eine Offizielle IP (unter WinXP)

http://www.oedata.net/webs/jvp/treubach/ipconfig.jpg

o.k irgendwie fehlt jetzt bei dir unter Linux natürlich noch das ppp Interface.
Das bekommst Du mit FreeS/WAN allein ja nicht. FreeS/WAN baut dir nur ein ipsec0 über eth0 auf.
Das könnte ich mir ähnlich vorstellen wie bei ADSL mit PPPoE.
Hast Du da noch weitere Zugangsdaten (Benutzerkennung bzw. Pass) oder hast Du nur die Keys?
Ich würd mich mal mit dem Provider auseinandersetzen, denn wenn die einen Key für Linux anbieten, sollten sie auch wissen wie's geht.

Grüße

Manx