Hi @ll

Ich versuche zwei DSL Flatrates über eine VPN zu verbinden.
Die authentifizierung funktioniert noch:

#1: initiating Main Mode
#1: ISAKMP SA established
#2: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK
#1: STATE_MAIN_I1: initiate
#1: STATE_MAIN_I2: sent MI2, expecting MR2
#1: STATE_MAIN_I3: sent MI3, expecting MR3
#1: STATE_MAIN_I4: ISAKMP SA established
#2: STATE_QUICK_I1: initiate
#2: STATE_QUICK_I2: sent QI2, IPsec SA established

Die zwei routing Einträge erstellt er mir auch nur wenn ich z.B. einen Ping an das andere Netz abschicke bekomm ich keine Antwort. Ein ifconfig ipsec0 liefert mir folgende Meldung:

ipsec0 Link encap:Point-to-Point Protocol
inet addr:XXX.XXX.XXX.XXX Mask:255.255.255.255
UP RUNNING NOARP MTU:16260 Metric:1
RX packets:0 errors:0 dropped:0 overruns:0 frame:0
TX packets:0 errors:0 dropped:3789 overruns:0 carrier:0
collisions:0 txqueuelen:10
RX bytes:0 (0.0 b) TX bytes:0 (0.0 b)

Kann mir einer erklären, wieso er alle Pakete die ich verschicke verwirfft?
Meine Firewall + Masquerading hab ich auch schon mal ausgeschaltet und das Forwarding komplett auf ACCEPT gestellt, weil ich gedacht habe, dass es daran liegen könnte, doch leider wars das nicht.

Danke schon mal

Hoschi

Welche Rechner versuchst du von wo aus zu pingen ??


die Router können direkt nicht miteinander kommunizieren (per default), nur die Lans hinter den Routern. Um die Router zum Kommunizieren zu bringen musst du irgendwas ändern (habs in der ct gelesen weiss aber nimmer genau Sorry ! ich schau mal ob ich die Zeitung noch da hab, oder hat den Artikel noch jemand anderes gelesen ??

:D

Hallo,

die beiden VPN-Server können schon direkt miteinander über den VPN-Tunnel kommunizieren, wenn die beiden Server dafür konfiguriert sind.

Welche Meldungen in der /var/log/messages bekommst Du beim Tunnelpartner?
Wie schaut der Konfigurationsabschnitt für diese VPN-Verbindung aus? (ok - die RSA-Signature Keys kannst Du dabei weglassen).

Harry

ich glaub, ich hab genau das geschrieben :confused:

Original geschrieben von masterblaster
ich glaub, ich hab genau das geschrieben :confused:

Ja - hast Du :D

Harry

Hi @ll

Hier meine ipsec.conf:

================================================== ===
# /etc/ipsec.conf - FreeS/WAN IPsec configuration file

config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=meinevpn
plutostart=meinevpn
uniqueids=yes

conn meinevpn
auto=start
authby=rsasig
compress=yes
left=%defaultroute
leftid=@vpn2.dyndns.org
leftsubnet=192.168.32.0/24
leftrsasigkey=
right=vpn1.dyndns.org
rightid=@vpn1.dyndns.org
rightsubnet=192.168.10.0/24
rightrsasigkey=

================================================

Gateway1= 192.168.10.11
Gateway2= 192.168.32.1

Wenn ich nun von dem Computer mit der IP 192.168.10.11 aus auf den Computer mit der IP 192.168.32.2 pinge kommt nix an.

/var/log/messages von dem anderen Computer

initial Main Mode message received on XXX.XXX.XXX.XXX:500 but no connection has been authorized


Hoschi

Hallo,

könntest Du die ipsec.conf vom anderen Rechner bitte auch noch posten?

Harry

Hi @ll


Und hier die von dem anderen Rechner

================================================== ===

# /etc/ipsec.conf - FreeS/WAN IPsec configuration file

config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=meinevpn
plutostart=meinevpn
uniqueids=yes

conn meinevpn
auto=start
authby=rsasig
compress=yes
left=vpn2.dyndns.org
leftid=@vpn2.dyndns.org
leftsubnet=192.168.32.0/24
leftrsasigkey=
right=%defaultroute
rightid=@vpn1.dyndns.org
rightsubnet=192.168.10.0/24
rightrsasigkey=

================================================== =

Hallo,

Du solltest bei einem der beiden VPN-Partner den Parameter "auto=add" setzen. Das solltest Du bei dem Rechner machen, der quasi als Server agiert, also bereits online ist, wenn der Client seinen Connect durchführt.

Darüber hinaus solltest Du auf diesem Server noch die Option "keyingtries=0" setzen.

Wenn's dann immer noch nicht funzt, poste dann nochmal die Logausgaben :)

Harry

Hi Harry

Jetzt bekomm ich folgende Meldungen:

==========================================
#1: STATE_MAIN_I1: initiate
#1: STATE_MAIN_I2: sent MI2, expecting MR2
#1: STATE_MAIN_I3: sent MI3, expecting MR3
#1: STATE_MAIN_I4: ISAKMP SA established
#2: STATE_QUICK_I1: initiate
#2: STATE_QUICK_I2: sent QI2, IPsec SA established
==========================================
Ist geblieben wie vorher.


Und das ist vom zweiten Rechner, bei dem ich die Einträge hinzugefügt habe:
======================================
#1: responding to Main Mode
#1: sent MR3, ISAKMP SA established
#2: responding to Quick Mode
#2: IPsec SA established
======================================

Allerdings bring ich immer noch keinen ping über die Leitung, obwohl keine Firewall und kein Masquerading läuft. ( siehe unten )

===========================================
Rechner1:

Hoschi's Firewall V1.3 for Kernel 2.2.x and Kernel 2.4.x
Found Kernel 2.4.x
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

Rechner2:

Hoschi's Firewall V1.3 for Kernel 2.2.x and Kernel 2.4.x
Found Kernel 2.4.x
Chain INPUT (policy ACCEPT)
target prot opt source destination

Chain FORWARD (policy ACCEPT)
target prot opt source destination

Chain OUTPUT (policy ACCEPT)
target prot opt source destination

================================================

Hoschi

Hallo,

naja die Session scheint nun aufgebaut zu sein.
Weiter fällt mir da jetzt auch nichts mehr zu ein.

Harry

Hi Harry

Ok, Danke schon mal.

Dann tu ich mal weiter probieren.

Hoschi

doch noch was ein:

Soweit ich weiß, benötigt FreeSWAN in der aktuellen Version zwingend die Definition von leftnexthop und rightnexthop, damit FreeSWAN das VPN-Routing richtig auf die Beine bekommt.

Füge in beiden Konfigurationsdateien diese beiden Parameter hinzu und trage dort die IP-Adresse des jeweils nächsten Routers ein.

Harry

Hi Harry

Das heisst dann, dass ich den von der Telekom da Eintragen muss, aber der ändert sich doch jedesmal.

Hoschi

Ja, Du mußt die Router Deines ISP dort eintragen.

Harry

Hi Harry

Hab ich gerade ausprobiert, wenn ich das mache bringt er auf beiden seiten den fehler 021 no connection

lass ich den eintrag jedoch leer drin, dann macht er es. ABer ping geht immer noch nicht.

Ich probiers jetzt erstmal mit einer vpn von host zu host
vieleicht kann ich da zumindest pingen.


Hoschi