SmiGo
31.05.04, 13:30
Hallo.
Ich habe Probleme beim Einrichten meines VPNs unter Linux 2.6.6
Ich möchte mein WLAN absichern. Dazu habe ich einen extra Rechner
genommen, der als VPN Gateway dient. Dieser soll alle Verbindungen
die nicht über ESP kommen verbieten. Der Access Point ist an diesem
Rechner an einer Netzwerkkarte angeschlossen. Die Zweite NIC geht ins
Netzwerk.
Ich möchte zuerst mal versuchen, die Schlüssel manuell zu setzen.(zu
Übungszwecken, ich werde das ganze danach mit racoon versuchen, und
dann auf x509 Zertifikate umsteigen. Es geht mir erst mal nur um das
allgemeine Verständnis).
IP's:
Client: 192.168.116.2
VPN-Gateway: 192.168.116.1 (Zum WLAN) und 192.168.115.253(zum
internen Netzwerk)
Ich benutze folgendes Skript auf dem Client(WLAN Rechner):
#!/usr/local/sbin/setkey -f
flush;
spdflush;
add 192.168.116.1 192.168.116.2 esp 0x200 -m tunnel -E 3des-cbc
0x78bab1a6380fa764e4be09da2e13d65076d503cf3089ea82 -A hmac-md5
0xbf9a08
1e7ebdd4fa824c822ed94f5226;
add 192.168.116.2 192.168.116.1 esp 0x200 -m tunnel -E 3des-cbc
0x78bab1a6380fa764e4be09da2e13d65076d503cf3089ea82 -A hmac-md5
0xbf9a08
1e7ebdd4fa824c822ed94f5226;
spdadd 192.168.116.2 192.168.116.1 any -P out ipsec
esp/tunnel/192.168.116.2-192.168.116.1/require;
spdadd 192.168.116.1 192.168.116.2 any -P in ipsec
esp/tunnel/192.168.116.1-192.168.116.2/require;
spdadd 192.168.115.0/24 192.168.116.2 any -P in ipsec
esp/tunnel/192.168.116.1-192.168.116.2/require;
spdadd 192.168.116.2 192.168.115.0/24 any -P out ipsec
esp/tunnel/192.168.116.2-192.168.116.1/require;
Auf dem VPN-Gateway nehme ich das gleiche Skript, nur habe ich "in"
und "out" vertauscht.
Danach starte ich dieses Skript, und schaue mir die Verbindung mit
ethereal an.
Wenn ich jetzt vom Client zum VPN-Gateway pinge, dann schickt der den
echo-request verschlüsselt. Das echo-reply kommt jedoch weiterhin
unverschlüsselt über das Netz.
Das kann ja nicht Sinn der Übung sein. Wenn ich dann die Filterregeln
auf dem Gateway setze, so das nur ESP Pakete erlaubt sind, dann kommt
das echo-reply auch nicht mehr zurück. Also läuft die Verschlüsselung
nur unidirektional.
Könnte mir mal jemand sagen was ich da falsch mache, oder habe ich da
ein grundlegendes Verständnissproblem?
Vielen Dank im vorraus.
mfg Felix Bueltmann
Ich habe Probleme beim Einrichten meines VPNs unter Linux 2.6.6
Ich möchte mein WLAN absichern. Dazu habe ich einen extra Rechner
genommen, der als VPN Gateway dient. Dieser soll alle Verbindungen
die nicht über ESP kommen verbieten. Der Access Point ist an diesem
Rechner an einer Netzwerkkarte angeschlossen. Die Zweite NIC geht ins
Netzwerk.
Ich möchte zuerst mal versuchen, die Schlüssel manuell zu setzen.(zu
Übungszwecken, ich werde das ganze danach mit racoon versuchen, und
dann auf x509 Zertifikate umsteigen. Es geht mir erst mal nur um das
allgemeine Verständnis).
IP's:
Client: 192.168.116.2
VPN-Gateway: 192.168.116.1 (Zum WLAN) und 192.168.115.253(zum
internen Netzwerk)
Ich benutze folgendes Skript auf dem Client(WLAN Rechner):
#!/usr/local/sbin/setkey -f
flush;
spdflush;
add 192.168.116.1 192.168.116.2 esp 0x200 -m tunnel -E 3des-cbc
0x78bab1a6380fa764e4be09da2e13d65076d503cf3089ea82 -A hmac-md5
0xbf9a08
1e7ebdd4fa824c822ed94f5226;
add 192.168.116.2 192.168.116.1 esp 0x200 -m tunnel -E 3des-cbc
0x78bab1a6380fa764e4be09da2e13d65076d503cf3089ea82 -A hmac-md5
0xbf9a08
1e7ebdd4fa824c822ed94f5226;
spdadd 192.168.116.2 192.168.116.1 any -P out ipsec
esp/tunnel/192.168.116.2-192.168.116.1/require;
spdadd 192.168.116.1 192.168.116.2 any -P in ipsec
esp/tunnel/192.168.116.1-192.168.116.2/require;
spdadd 192.168.115.0/24 192.168.116.2 any -P in ipsec
esp/tunnel/192.168.116.1-192.168.116.2/require;
spdadd 192.168.116.2 192.168.115.0/24 any -P out ipsec
esp/tunnel/192.168.116.2-192.168.116.1/require;
Auf dem VPN-Gateway nehme ich das gleiche Skript, nur habe ich "in"
und "out" vertauscht.
Danach starte ich dieses Skript, und schaue mir die Verbindung mit
ethereal an.
Wenn ich jetzt vom Client zum VPN-Gateway pinge, dann schickt der den
echo-request verschlüsselt. Das echo-reply kommt jedoch weiterhin
unverschlüsselt über das Netz.
Das kann ja nicht Sinn der Übung sein. Wenn ich dann die Filterregeln
auf dem Gateway setze, so das nur ESP Pakete erlaubt sind, dann kommt
das echo-reply auch nicht mehr zurück. Also läuft die Verschlüsselung
nur unidirektional.
Könnte mir mal jemand sagen was ich da falsch mache, oder habe ich da
ein grundlegendes Verständnissproblem?
Vielen Dank im vorraus.
mfg Felix Bueltmann