jduck01
12.07.04, 09:48
Hi,
Ich habe hier bei uns in der Firma einen VPN-Server mit racoon (ipsec-tools 0.3.3) und Kernel 2.6.7 aufgebaut. Als Client (Roadwarrior) kommt WinXP mit dem IPSEC Tool von Markus Mueller in der Version 2.2.0.
Die Verbing wird über x.509 Zertifikaten abgehandelt. Der Verbindungsaufbau und der Datenfluss durch den Tunnel geht beim Ersten Connect vom Client ohne Probleme. Wird der Tunnel jedoch vom Client abgebaut, so ist keine Connection zum server mehr möglich. Lösche ich die IPsec-Einträge mit hilfe von "setkey", so kann ich wieder eine Ping absetzen und einen neuen Tunnel aufbauen bis dieser wieder manuell oder automatisch abgebaut wird.
Hier nun meine Frage, gibt es eine Möglichkeit, das racoon automatisch die Policy-Einträge entfernt für den jeweiligen Client, so dass nicht ständig manuell alle Policy-Einträge gelöscht werden müssen? Zumal ich nicht weiss, welche IP zum jeweiligen Roadwarrior gehört.
Hier meine racoon.conf vom Linux-Server:
path include "/usr/local/etc/racoon";
path certificate "/usr/local/etc/cert";
log debug2;
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
timer
{
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per a send.
phase1 30 sec;
phase2 60 sec;
}
remote anonymous
{
exchange_mode main;
generate_policy on;
passive on;
certificate_type x509 "server.crt" "server_uncrypt.key" ;
my_identifier asn1dn;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method rsasig;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
Hier meine ipsec.conf vom WinXP-Client
conn vpn
left=%any
right=172.16.1.7
rightsubnet=172.16.1.0/24
rightca=//Daten des x.509-Zertifikates
network=auto
authmode=MD5
rekey=1800S/30000K
auto=start
pfs=yes
Grüsse
Jduck001
Ich habe hier bei uns in der Firma einen VPN-Server mit racoon (ipsec-tools 0.3.3) und Kernel 2.6.7 aufgebaut. Als Client (Roadwarrior) kommt WinXP mit dem IPSEC Tool von Markus Mueller in der Version 2.2.0.
Die Verbing wird über x.509 Zertifikaten abgehandelt. Der Verbindungsaufbau und der Datenfluss durch den Tunnel geht beim Ersten Connect vom Client ohne Probleme. Wird der Tunnel jedoch vom Client abgebaut, so ist keine Connection zum server mehr möglich. Lösche ich die IPsec-Einträge mit hilfe von "setkey", so kann ich wieder eine Ping absetzen und einen neuen Tunnel aufbauen bis dieser wieder manuell oder automatisch abgebaut wird.
Hier nun meine Frage, gibt es eine Möglichkeit, das racoon automatisch die Policy-Einträge entfernt für den jeweiligen Client, so dass nicht ständig manuell alle Policy-Einträge gelöscht werden müssen? Zumal ich nicht weiss, welche IP zum jeweiligen Roadwarrior gehört.
Hier meine racoon.conf vom Linux-Server:
path include "/usr/local/etc/racoon";
path certificate "/usr/local/etc/cert";
log debug2;
padding
{
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
timer
{
counter 5; # maximum trying count to send.
interval 20 sec; # maximum interval to resend.
persend 1; # the number of packets per a send.
phase1 30 sec;
phase2 60 sec;
}
remote anonymous
{
exchange_mode main;
generate_policy on;
passive on;
certificate_type x509 "server.crt" "server_uncrypt.key" ;
my_identifier asn1dn;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method rsasig;
dh_group 2;
}
}
sainfo anonymous
{
pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
Hier meine ipsec.conf vom WinXP-Client
conn vpn
left=%any
right=172.16.1.7
rightsubnet=172.16.1.0/24
rightca=//Daten des x.509-Zertifikates
network=auto
authmode=MD5
rekey=1800S/30000K
auto=start
pfs=yes
Grüsse
Jduck001