PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : VPN will mag nicht!


Diabolo
24.06.02, 10:54
Hi

Ich befasse mich in meinem Praktikum seit kurzem mit dem Thema VPN, und soll folgendes umsetzen.

1x Gateway zu Gateway (Linux)

und

1x Host zu Gateway (W2k, Linux)

Jetzt habe ich erst mal eine Testverbindung in der Firma aufgebaut.

Client -------Gateway--------Websever

x.x.8.126 ------- x.x.8.150------x.x.8.3

Client ist ein Windows XP Rechner mit dem Tool ipsec von Marcus Müller.

der Server ist ein Debian 3 Linux system mit Freeswan v1.97 und dem patch für x.509.

Zertifikate sind erstellt worden und auf beiden Rechnern vorhanden.

Mein Problem is jetzt, dass ich dennoch keine Verbindung zustande bekomme. Windows sagt die mir di ganze Zeit:

IP- Sicherheit wird verhandelt.

Und in der Log von dem Linux Gateway steht dies:

Jun 21 19:00:42 vpn Pluto[1896]: shutting down
Jun 21 19:00:42 vpn Pluto[1896]: forgetting secrets
Jun 21 19:00:42 vpn Pluto[1896]: "roadwarrior": deleting connection
Jun 21 19:00:42 vpn Pluto[1896]: "roadworrior-net": deleting connection
Jun 21 19:00:42 vpn Pluto[1896]: shutting down interface ipsec0/eth0 192.168.8.150
Jun 21 19:00:44 vpn ipsec__plutorun: Starting Pluto subsystem...
Jun 21 19:00:44 vpn Pluto[2096]: Starting Pluto (FreeS/WAN Version 1.97)
Jun 21 19:00:44 vpn Pluto[2096]: including X.509 patch (Version 0.9.12)
Jun 21 19:00:44 vpn Pluto[2096]: Changing to directory '/etc/ipsec.d/cacerts'
Jun 21 19:00:44 vpn Pluto[2096]: loaded cacert file 'RootCA.der' (967 bytes)
Jun 21 19:00:44 vpn Pluto[2096]: Changing to directory '/etc/ipsec.d/crls'
Jun 21 19:00:44 vpn Pluto[2096]: loaded crl file 'crl.pem' (601 bytes)
Jun 21 19:00:44 vpn Pluto[2096]: loaded my default X.509 cert file '/etc/x509cert.der' (1239 bytes)
Jun 21 19:00:44 vpn Pluto[2096]: loaded host cert file '/etc/ipsec.d/gatewayCert.pem' (1220 bytes)
Jun 21 19:00:44 vpn Pluto[2096]: added connection description "roadworrior-net"
Jun 21 19:00:44 vpn Pluto[2096]: loaded host cert file '/etc/ipsec.d/gatewayCert.pem' (1220 bytes)
Jun 21 19:00:44 vpn Pluto[2096]: added connection description "roadwarrior"
Jun 21 19:00:44 vpn Pluto[2096]: listening for IKE messages
Jun 21 19:00:44 vpn Pluto[2096]: adding interface ipsec0/eth0 192.168.8.150
Jun 21 19:00:44 vpn Pluto[2096]: loading secrets from "/etc/ipsec.secrets"

>------------------- Alles OK -------- bis jetzt! -----------------------------------<

>--------- Jetzt kommen die Fehler beim Connectversuch von Windows -------<

Jun 21 19:02:59 vpn Pluto[2096]: packet from 192.168.8.126:500: ignoring Vendor ID payload
Jun 21 19:02:59 vpn Pluto[2096]: "roadworrior-net" 192.168.8.126 #1: responding to Main Mode from unknown peer 192.168.8.126
Jun 21 19:02:59 vpn Pluto[2096]: "roadworrior-net" 192.168.8.126 #1: encrypted Informational Exchange message is invalid because it is for incomplete ISAKMP SA
Jun 21 19:04:09 vpn Pluto[2096]: "roadworrior-net" 192.168.8.126 #1: max number of retransmissions (2) reached STATE_MAIN_R2
Jun 21 19:04:09 vpn Pluto[2096]: "roadworrior-net" 192.168.8.126: deleting connection "roadworrior-net" instance with peer 192.168.8.126
Jun 21 19:04:18 vpn Pluto[2096]: packet from 192.168.8.126:500: ignoring Vendor ID payload
Jun 21 19:04:18 vpn Pluto[2096]: "roadworrior-net" 192.168.8.126 #2: responding to Main Mode from unknown peer 192.168.8.126
Jun 21 19:04:18 vpn Pluto[2096]: "roadworrior-net" 192.168.8.126 #2: encrypted Informational Exchange message is invalid because it is for incomplete ISAKMP SA
Jun 21 19:05:10 vpn Pluto[2096]: packet from 192.168.8.126:500: Informational Exchange is for an unknown (expired?) SA
Jun 21 19:05:28 vpn Pluto[2096]: "roadworrior-net" 192.168.8.126 #2: max number of retransmissions (2) reached STATE_MAIN_R2
Jun 21 19:05:28 vpn Pluto[2096]: "roadworrior-net" 192.168.8.126: deleting connection "roadworrior-net" instance with peer 192.168.8.126

Ich habe jetzt schon drei mal andere Zertifikate erstellt also die solten in Ordnung sein.

Kann mir einer Helfen das Problem zu lösen und hat einen Tipp für mich?

Danke Euch schon mal

cu

Diabolo
joey.brunner
24.06.02, 12:05
Hallo,

ich hatte einmal ein ähnliches Programm mit Checkpoint und Alacatel. Im Endeffekt ergab ein Anruf bei beiden Herstellern, dass die Protokolle und Dienste untereinander nicht kompatibel sind, das heißt, alle alcatel raus und nur checkpoint rein.

bei freeswan sollte dieses problem eigentlich nicht bestehen, obwohl ihc nicht weiß, wie freeee die winversion ist?
Also versuch es mal mit zwei absolut gleichen versionen.

joey
Webdude
24.06.02, 12:10
Freeswan ist kompatibel mit der IPSec Implentation von Windows 2000 und XP.
joey.brunner
24.06.02, 12:13
dann weiß ich auch nicht weiter sorry ;)
Diabolo
26.06.02, 16:21
Hi

Nachdem ich den Win Client nicht überreden konnte direckt auf den Gateway zu zugreifen habe ich einen zweiten Gateway aufgesetzt und somit eine

Client --- Gateway1 ---inet--- Gateway2--- Sever

Netz aufgebaut.

Doch auf dem Gateway2 bekomme ich jetzt eine weiter komische Nachricht.

Jun 26 17:11:02 vpn Pluto[227]: "vpn-vpn2" #2: initiating Main Mode
Jun 26 17:11:02 vpn Pluto[227]: "vpn-vpn2" #2: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=HH, O=Intexx, CN=M.K, E=m.k@gsd.net'
Jun 26 17:11:02 vpn Pluto[227]: "vpn-vpn2" #2: Signature check (on C=DE, ST=HH, O=Intexx, CN=M.K, E=m.k@xyz.net) failed (wrong key?); tried *AwEAAdx/k
Jun 26 17:11:12 vpn Pluto[227]: "vpn-vpn2" #2: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=HH, O=Intexx, CN=M.K, E=m.k@xyz.net'
Jun 26 17:11:12 vpn Pluto[227]: "vpn-vpn2" #2: Signature check (on C=DE, ST=HH, O=Intexx, CN=M.K, E=m.k@xyz.net) failed (wrong key?); tried *AwEAAdx/k
Jun 26 17:11:32 vpn Pluto[227]: "vpn-vpn2" #2: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=HH, O=Intexx, CN=M.K, E=m.k@xyz.net'
Jun 26 17:11:32 vpn Pluto[227]: "vpn-vpn2" #2: Signature check (on C=DE, ST=HH, O=Intexx, CN=M.K, E=m.k@xyz.net) failed (wrong key?); tried *AwEAAdx/k


Auf dem Gateway eins schein alles in Ordnung zu sein. Wenn ich

ipsec whack --status

aufrufe bekomme ich folgende Nachricht:

000 #1: "vpn2-vpn" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 1611s
000 #3: "vpn2-vpn" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 2973s
000 #4: "vpn2-vpn" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 3043s
000 #8: "vpn2-vpn" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 3325s; newest ISAKMP
000 #7: "vpn2-vpn" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 3254s
000 #2: "vpn2-vpn" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 2903s
000 #5: "vpn2-vpn" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 3113s
000 #6: "vpn2-vpn" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 3184s

Im mom bekomme ich auch immer noch keine Verbindung mit dem Server vom Client aus zustande.

Kennt einer das Prob und hat ne Lösung oder eine Idee? Bin echt für jede Hilfe dankbar.

ThX

Diabolo