kurzschluss
24.05.07, 09:18
Ich benutze hier einen 3COM OfficeConnect SecureRouter mit der
Bezeichnung 3CR860-95. Ich versuche ein VPN mit diesem Router
aufzubauen, indem sich ein außenstehender Linux debian Server mit dem Router über IPsec verbindet. Als VPN Programm nutze ich OpenSWAN auf einer Debian etch Distribution. Mein Problem sieht wie folgt aus:
Ich versuche mich mit OpenSWAN auf den 3com Router zu verbinden und
dies geschieht auch bis zu dem Punkt, andem der 3com Router ein
Zertifikat erwartet. Dieses quittiert der 3com Router mit folgender
Log ausgabe:
"CERTIFICATE_UNAVAILABLE"
Ich habe gelesen, dass es bei OpenSWAN 3 Einstellungsmöglichkeiten gibt
bei der Zertifikatsendung. Entweder dass er sie nie sendet, dass er sie
auf Anfrage sendet oder immer. Alle drei Einstellungsmöglichkeiten
enden im selben Fehler. Da es sich hierbei um ein selbsterstelltes
X.509 Zertifikat handelt (wurde bei der Installation von OpenSwan automatisch miterstellt) habe ich die Vermutung und Befürchtung, dass es nicht mit dem 3com Router funktioniert.
Hier der Log:
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- MainMode --
responder received message1 from [(dest_ip)], port 500->500.
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- Proposal 1 --
protocol PROTO_ISAKMP, with 1 transforms
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- Transform 1 --
KEY_IKE, index = 0
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- LifeType -- SECONDS
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- LifeDuration -- 3600
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- Encryption --
TRIPLEDES_CBC
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- Hash -- SHA_HASH
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- Authentication
-- RSA_SIGNATURE
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- GroupDescription
-- MODP_1024
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- Peer supports NAT-T,
on draft 3
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- Peer supports NAT-T,
on draft 2
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE --PHASE1_STARTED_BY_PEER
-- peer [(dest_ip)]
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- MainMode --
responder sent out response message1 to [(dest_ip)], port 500->500.
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- MainMode --
responder received message2 from [(dest_ip)], port 500->500.
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- We are behind NAT.
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- Peer IP seen:
[(dest_ip)]
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- Local IP: 192.168.1.2
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- MainMode --
responder sent out response message2 to [(dest_ip)], port 500->500.
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- MainMode --
responder received message3 from [(dest_ip)], port 4500->4500.
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- RemoteGateway ID
in payload: FQDN--xxxxx.xxxxx.de
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- RemoteGateway
ID: FQDN--xxxxx.xxxxx.de PresharedKey:63835efa63xxxxxxxxxxxxxxx
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- My ID:
USER_FQDN--@router.localhome.de
May 23 22:21:14 192.168.0.1 kernel: IKE: IKE
--CERTIFICATE_UNAVAILABLE (0x1C) -- peer [(dest_ip)]
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE --Sending Notification
CERTIFICATE_UNAVAILABLE (0x1C) to peer [(dest_ip)]
Kann mir jemand sagen, wie man das ans Laufen bekommt?
Bezeichnung 3CR860-95. Ich versuche ein VPN mit diesem Router
aufzubauen, indem sich ein außenstehender Linux debian Server mit dem Router über IPsec verbindet. Als VPN Programm nutze ich OpenSWAN auf einer Debian etch Distribution. Mein Problem sieht wie folgt aus:
Ich versuche mich mit OpenSWAN auf den 3com Router zu verbinden und
dies geschieht auch bis zu dem Punkt, andem der 3com Router ein
Zertifikat erwartet. Dieses quittiert der 3com Router mit folgender
Log ausgabe:
"CERTIFICATE_UNAVAILABLE"
Ich habe gelesen, dass es bei OpenSWAN 3 Einstellungsmöglichkeiten gibt
bei der Zertifikatsendung. Entweder dass er sie nie sendet, dass er sie
auf Anfrage sendet oder immer. Alle drei Einstellungsmöglichkeiten
enden im selben Fehler. Da es sich hierbei um ein selbsterstelltes
X.509 Zertifikat handelt (wurde bei der Installation von OpenSwan automatisch miterstellt) habe ich die Vermutung und Befürchtung, dass es nicht mit dem 3com Router funktioniert.
Hier der Log:
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- MainMode --
responder received message1 from [(dest_ip)], port 500->500.
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- Proposal 1 --
protocol PROTO_ISAKMP, with 1 transforms
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- Transform 1 --
KEY_IKE, index = 0
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- LifeType -- SECONDS
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- LifeDuration -- 3600
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- Encryption --
TRIPLEDES_CBC
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- Hash -- SHA_HASH
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- Authentication
-- RSA_SIGNATURE
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- GroupDescription
-- MODP_1024
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- Peer supports NAT-T,
on draft 3
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- Peer supports NAT-T,
on draft 2
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE --PHASE1_STARTED_BY_PEER
-- peer [(dest_ip)]
May 23 16:21:12 192.168.0.1 kernel: IKE: IKE -- MainMode --
responder sent out response message1 to [(dest_ip)], port 500->500.
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- MainMode --
responder received message2 from [(dest_ip)], port 500->500.
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- We are behind NAT.
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- Peer IP seen:
[(dest_ip)]
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- Local IP: 192.168.1.2
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- MainMode --
responder sent out response message2 to [(dest_ip)], port 500->500.
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- MainMode --
responder received message3 from [(dest_ip)], port 4500->4500.
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- RemoteGateway ID
in payload: FQDN--xxxxx.xxxxx.de
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- RemoteGateway
ID: FQDN--xxxxx.xxxxx.de PresharedKey:63835efa63xxxxxxxxxxxxxxx
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE -- My ID:
USER_FQDN--@router.localhome.de
May 23 22:21:14 192.168.0.1 kernel: IKE: IKE
--CERTIFICATE_UNAVAILABLE (0x1C) -- peer [(dest_ip)]
May 23 16:21:14 192.168.0.1 kernel: IKE: IKE --Sending Notification
CERTIFICATE_UNAVAILABLE (0x1C) to peer [(dest_ip)]
Kann mir jemand sagen, wie man das ans Laufen bekommt?