ReSeT
12.10.02, 12:16
Hallo zusammen!
Ich habe heute eine VPN Verbindung mit FreeS/WAN 198.b eingerichtet, die wie folgt konfiguriert wurde:
2 x Debian Router (3.0.-2.4.18 mit jew. 2x RTL8139)
Die Firewall (iptables 1.27) habe ich entsprechend angepasst, die VPN Verbindung kommt auch ordnungsgemäß zustande,+
wie mir 'ipsec whack --status' zeigt:
Gateway 1:
000 interface ipsec0/ppp0 80.133.11.32
000
000 "hrshop-reset": 10.0.0.0/24===80.133.11.30[@vpngate1.dnsalias.net]---217.5.98.47...195.14.220.1---195.14.222.100[@vpngate2.dnsalias.net]===10.0.1.0/24
000 "hrshop-reset": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 3
000 "hrshop-reset": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK; interface: ppp0; erouted
000 "hrshop-reset": newest ISAKMP SA: #8; newest IPsec SA: #9; eroute owner: #9
000
000 #9: "hrshop-reset" STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 27200s; newest IPSEC; eroute owner
000 #9: "hrshop-reset" esp.f1412b43@195.14.222.100 esp.3d35822c@80.133.11.30 tun.1008@195.14.222.100 tun.1007@80.133.11.30
000 #8: "hrshop-reset" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 2000s; newest ISAKMP
000
Gateway 2:
000 interface ipsec0/ppp0 195.14.222.102
000
000 "hrshop-reset": 10.0.1.0/24===195.14.222.100[@vpngate2.dnsalias.net]---195.14.220.1...217.5.98.47---80.133.11.30[@vpngate1.dnsalias.net]===10.0.0.0/24
000 "hrshop-reset": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz:
100%; keyingtries: 3
000 "hrshop-reset": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK; interface: ppp0; erouted
000 "hrshop-reset": newest ISAKMP SA: #7; newest IPsec SA: #8; eroute owner: #8
000
000 #8: "hrshop-reset" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 26882s; newest IPSEC; eroute owner
000 #8: "hrshop-reset" esp.3d35822c@80.133.11.30 esp.f1412b43@195.14.222.100 tun.1008@80.133.11.30 tun.1007@195.14.222.100
000 #7: "hrshop-reset" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 1512s; newest ISAKMP
000
Ich bin alle Hinweise in der FreeS/WAN Doku durchgegangen, alles scheint korrekt, die Firewall habe ich zu Testzwecken
komplett geöffnet.
Die Routen von Gate 1:
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
217.5.98.47 * 255.255.255.255 UH 0 0 0 ppp0
217.5.98.47 * 255.255.255.255 UH 0 0 0 ipsec0
10.0.0.0 * 255.255.255.0 U 0 0 0 eth0
10.0.1.0 217.5.98.47 255.255.255.0 UG 0 0 0 ipsec0
default 217.5.98.47 0.0.0.0 UG 0 0 0 ppp0
Und von Gate 2:
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
xdsl-195-14-220 * 255.255.255.255 UH 0 0 0 ppp0
xdsl-195-14-220 * 255.255.255.255 UH 0 0 0 ipsec0
localnet xdsl-195-14-220 255.255.255.0 UG 0 0 0 ipsec0
10.0.1.0 * 255.255.255.0 U 0 0 0 eth0
default xdsl-195-14-220 0.0.0.0 UG 0 0 0 ppp0
Die Syslogs zeigen sich auch so, wie in der Doku angegeben.
Ich habe allerdings mit tcpdump herausgefunden, daß zwar (bei Ping z.B) die Pakete fürs gegenüberliegende
Netz tatsächlich auf das Interface ipsec0 gehen, allerdings verlassen sie leider nicht das device ppp0, dementsprechend
kommt auf der anderen Seite nix an.
Ich weiss mir im Moment keinen Rat mehr, hat vielleicht jemand eine Idee woran das liegen könnte?
GreetZ
ein völlig ratloser
ReSeT
(IP-Adressen und Namen sind abgeändert)
Ich habe heute eine VPN Verbindung mit FreeS/WAN 198.b eingerichtet, die wie folgt konfiguriert wurde:
2 x Debian Router (3.0.-2.4.18 mit jew. 2x RTL8139)
Die Firewall (iptables 1.27) habe ich entsprechend angepasst, die VPN Verbindung kommt auch ordnungsgemäß zustande,+
wie mir 'ipsec whack --status' zeigt:
Gateway 1:
000 interface ipsec0/ppp0 80.133.11.32
000
000 "hrshop-reset": 10.0.0.0/24===80.133.11.30[@vpngate1.dnsalias.net]---217.5.98.47...195.14.220.1---195.14.222.100[@vpngate2.dnsalias.net]===10.0.1.0/24
000 "hrshop-reset": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 3
000 "hrshop-reset": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK; interface: ppp0; erouted
000 "hrshop-reset": newest ISAKMP SA: #8; newest IPsec SA: #9; eroute owner: #9
000
000 #9: "hrshop-reset" STATE_QUICK_R2 (IPsec SA established); EVENT_SA_REPLACE in 27200s; newest IPSEC; eroute owner
000 #9: "hrshop-reset" esp.f1412b43@195.14.222.100 esp.3d35822c@80.133.11.30 tun.1008@195.14.222.100 tun.1007@80.133.11.30
000 #8: "hrshop-reset" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 2000s; newest ISAKMP
000
Gateway 2:
000 interface ipsec0/ppp0 195.14.222.102
000
000 "hrshop-reset": 10.0.1.0/24===195.14.222.100[@vpngate2.dnsalias.net]---195.14.220.1...217.5.98.47---80.133.11.30[@vpngate1.dnsalias.net]===10.0.0.0/24
000 "hrshop-reset": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz:
100%; keyingtries: 3
000 "hrshop-reset": policy: RSASIG+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK; interface: ppp0; erouted
000 "hrshop-reset": newest ISAKMP SA: #7; newest IPsec SA: #8; eroute owner: #8
000
000 #8: "hrshop-reset" STATE_QUICK_I2 (sent QI2, IPsec SA established); EVENT_SA_REPLACE in 26882s; newest IPSEC; eroute owner
000 #8: "hrshop-reset" esp.3d35822c@80.133.11.30 esp.f1412b43@195.14.222.100 tun.1008@80.133.11.30 tun.1007@195.14.222.100
000 #7: "hrshop-reset" STATE_MAIN_I4 (ISAKMP SA established); EVENT_SA_REPLACE in 1512s; newest ISAKMP
000
Ich bin alle Hinweise in der FreeS/WAN Doku durchgegangen, alles scheint korrekt, die Firewall habe ich zu Testzwecken
komplett geöffnet.
Die Routen von Gate 1:
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
217.5.98.47 * 255.255.255.255 UH 0 0 0 ppp0
217.5.98.47 * 255.255.255.255 UH 0 0 0 ipsec0
10.0.0.0 * 255.255.255.0 U 0 0 0 eth0
10.0.1.0 217.5.98.47 255.255.255.0 UG 0 0 0 ipsec0
default 217.5.98.47 0.0.0.0 UG 0 0 0 ppp0
Und von Gate 2:
Kernel IP Routentabelle
Ziel Router Genmask Flags Metric Ref Use Iface
xdsl-195-14-220 * 255.255.255.255 UH 0 0 0 ppp0
xdsl-195-14-220 * 255.255.255.255 UH 0 0 0 ipsec0
localnet xdsl-195-14-220 255.255.255.0 UG 0 0 0 ipsec0
10.0.1.0 * 255.255.255.0 U 0 0 0 eth0
default xdsl-195-14-220 0.0.0.0 UG 0 0 0 ppp0
Die Syslogs zeigen sich auch so, wie in der Doku angegeben.
Ich habe allerdings mit tcpdump herausgefunden, daß zwar (bei Ping z.B) die Pakete fürs gegenüberliegende
Netz tatsächlich auf das Interface ipsec0 gehen, allerdings verlassen sie leider nicht das device ppp0, dementsprechend
kommt auf der anderen Seite nix an.
Ich weiss mir im Moment keinen Rat mehr, hat vielleicht jemand eine Idee woran das liegen könnte?
GreetZ
ein völlig ratloser
ReSeT
(IP-Adressen und Namen sind abgeändert)