daemonb
11.04.05, 23:11
Hi Leute,
habe ein problem. Wollte mittels l2tp und ipsec (kernel based) mein WLAN absichern.
Irgendwie scheint er sich verbinden zu wollen, aber irgendwann schmeisst er ein timeout raus. Im Log steht nix aussagekräftiges ausser das er immer wieder das rekeying probiert....
Meine configs:
# racoon.conf
log debug;
path pre_shared_key "/etc/racoon/psk.txt";
listen {
isakmp 192.168.3.1 [500];
}
padding {
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
remote anonymous {
exchange_mode aggressive,main;
doi ipsec_doi;
situation identity_only;
generate_policy on;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
}
sainfo anonymous {
lifetime time 28800 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
# psk.txt
# IPv4/v6 addresses
192.168.3.2 test
# ipsec.conf
#!/usr/bin/setkey -f
flush;
spdflush;
spdadd 192.168.3.1[1701] 0.0.0.0/0[0] any -P out ipsec esp/transport//require;
spdadd 0.0.0.0/0[0] 192.168.3.1[1701] any -P in ipsec esp/transport//require;
# l2tpd.conf
[global]
port = 1701
[lns default]
ip range = 192.168.3.2 - 192.168.3.14
local ip = 192.168.3.1
require chap = yes
refuse pap = yes
require authentication = yes
hostname = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd
length bit = yes
# Secrets for authentication using CHAP
# client server secret IP addresses
test * "test" 192.168.3.0/24
* test "test" 192.168.3.0/24
# options.l2tpd
ipcp-accept-local
ipcp-accept-remote
ms-dns 192.168.3.1
ms-wins 192.168.3.1
auth
crtscts
idle 1800
mtu 1400
mru 1400
nodefaultroute
nodetach
debug
lock
#proxyarp
connect-delay 5000
Das ergebnis dieser Konfiguration sieht im Log so aus:
firewall racoon: DEBUG: resend phase1 packet
Das kommt fortlaufend und irgendwann gibt es einen timeout. Hatte für l2tp auch schon andere ip's eingestellt, denke aber das er schon beim ipsec hängt.
Hoffe mir kann da jemand weiterhelfen.
bis denne
DaemonB
habe ein problem. Wollte mittels l2tp und ipsec (kernel based) mein WLAN absichern.
Irgendwie scheint er sich verbinden zu wollen, aber irgendwann schmeisst er ein timeout raus. Im Log steht nix aussagekräftiges ausser das er immer wieder das rekeying probiert....
Meine configs:
# racoon.conf
log debug;
path pre_shared_key "/etc/racoon/psk.txt";
listen {
isakmp 192.168.3.1 [500];
}
padding {
maximum_length 20; # maximum padding length.
randomize off; # enable randomize length.
strict_check off; # enable strict check.
exclusive_tail off; # extract last one octet.
}
remote anonymous {
exchange_mode aggressive,main;
doi ipsec_doi;
situation identity_only;
generate_policy on;
proposal_check obey;
proposal {
encryption_algorithm 3des;
hash_algorithm sha1;
authentication_method pre_shared_key;
dh_group modp1024;
}
}
sainfo anonymous {
lifetime time 28800 sec;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
# psk.txt
# IPv4/v6 addresses
192.168.3.2 test
# ipsec.conf
#!/usr/bin/setkey -f
flush;
spdflush;
spdadd 192.168.3.1[1701] 0.0.0.0/0[0] any -P out ipsec esp/transport//require;
spdadd 0.0.0.0/0[0] 192.168.3.1[1701] any -P in ipsec esp/transport//require;
# l2tpd.conf
[global]
port = 1701
[lns default]
ip range = 192.168.3.2 - 192.168.3.14
local ip = 192.168.3.1
require chap = yes
refuse pap = yes
require authentication = yes
hostname = LinuxVPNserver
ppp debug = yes
pppoptfile = /etc/ppp/options.l2tpd
length bit = yes
# Secrets for authentication using CHAP
# client server secret IP addresses
test * "test" 192.168.3.0/24
* test "test" 192.168.3.0/24
# options.l2tpd
ipcp-accept-local
ipcp-accept-remote
ms-dns 192.168.3.1
ms-wins 192.168.3.1
auth
crtscts
idle 1800
mtu 1400
mru 1400
nodefaultroute
nodetach
debug
lock
#proxyarp
connect-delay 5000
Das ergebnis dieser Konfiguration sieht im Log so aus:
firewall racoon: DEBUG: resend phase1 packet
Das kommt fortlaufend und irgendwann gibt es einen timeout. Hatte für l2tp auch schon andere ip's eingestellt, denke aber das er schon beim ipsec hängt.
Hoffe mir kann da jemand weiterhelfen.
bis denne
DaemonB