Moin zusammen!

Ich hänge seit nun einer Woche an dem Problem fest und verzweifle allmählich.


Folgende Aufgabe: Ich habe hier im Praktikum die Aufgabe bekommen einen Linux Server (Redhat 7.2) im Rechenzentrum mit meiner Win2000 Workstation SP3 über ein VPN zu verbinden.

Zuerst habe ich es versucht mit der Anleitung von der aktuellen CT Ausgabe (bzw. den Verweisen auf deren x509 Zertifikatsskript Sammlung). Das hat aber nicht so geklappt... Die Zertifikate waren gültig und wurden auch unter Win2000 angenommen, die Verbindung kam dennoch nicht zustande (mit dem vpn.ebootis.de Tool, und überprüft mit dem ipsecmon).

Die nächste Idee war einfach mal, ein VPN Tunnel mit IPSec und Preshared Keys zu starten.

Dabei habe ich es jetzt endlich soweit hinbekommen das ich einen VPN Tunnel von mir zu der Linux Kiste aufbauen kann. Die IP Sicherheit wird ausgehandelt, der Ping bekommt aber immer nur ein Timeout nach dem der Tunnel steht. Ich habe dann in der Statistik des ipsecmon gesehen das auch nur Daten gesendet, aber nichts empfangen wird.

Die Config vom Server reiche ich gleich nach, ich habe gerade wieder das Problem, das nachdem ich den oben beschriebenen Tunnel aufgebaut habe, ich den abbaue auf der w2k maschine mit ipsec -off. Danach ist der Linux server aber nicht mehr anpingbar :( Muss also erst ins RZ mal eben den Service beenden.

ipsec.conf auf dem w2k rechner:



conn w2k-road-warriors
left=192.168.226.31
leftsubnet=192.168.226.0/24
leftnexthop=192.168.226.1
right=192.168.253.4
rightnexthop=192.168.253.1
rightsubnet=192.168.253.0/24
presharedkey=0xc4db439c_0474dec6_24033a4b_0bd47884
network=auto
auto=start
pfs=yes

# conn w2k-road-warriors-net
# left=192.168.226.31
# right=192.168.253.4
# rightsubnet=192.168.253.0/24
# rightnexthop=192.168.253.1
# presharedkey=0xc4db439c_0474dec6_24033a4b_0bd47884
# network=auto
# auto=start
# pfs=yes


das sieht ungefähr mit dem Netz so aus:

freeswan-vpn --- router-rz --- router-mein-netz --- win2000ws
192.168.253.4 192.168.253.1 192.168.226.1 192.168.226.31

das subnet des freeswan-vpn ist 192.168.253.0/24
das subnet von meiner w2kws ist 192.168.226.0/24


Ich verstehe das echt nicht. ich hab schon die einfachste Variante mit den Preshared Keys ja genommen :(

das was da oben in # steht ist auskommentiert. das war der versuch einen zweiten Tunnel zurück zu starten, bzw. für das netz hinter dem freeswan-vpn oder dem vpn gateway halt.


Hoffe es hat da einer ne Lösung :)

ok, hier also die ipsec.conf der linux maschine



# /etc/ipsec.conf - FreeS/WAN IPsec configuration file

# More elaborate and more varied sample configurations can be found
# in FreeS/WAN's doc/examples file, and in the HTML documentation.



# basic configuration
config setup
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple cases.
interfaces="ipsec0=eth2"
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
plutoload=%search
plutostart=%search
# Close down old connection when new one using same ID shows up.
uniqueids=yes

# defaults for subsequent connection descriptions
# (these defaults will soon go away)
conn %default
authby=secret
left=192.168.253.4
leftsubnet=192.168.253.0/24
leftnexthop=192.168.253.1
leftupdown=/usr/local/lib/ipsec/_updown

#conn w2k-road-warriors-net
# leftsubnet=192.168.253.0/24
# also=w2k-road-warriors

conn w2k-road-warriors
right=192.168.226.31
rightnexthop=192.168.226.1
rightsubnet=192.168.226.0/24
pfs=yes
auto=add



Also wie gesagt, ich hab keine Ahnung. Das der Key da oben drin steht ist ja nicht weiter schlimm, weil der ja eh schnell geändert werden kann und keiner von aussen an den Server dran kann ausser hier im netz ;)

Hat denn keiner noch ne Idee oder so was man machen könnte?

Ich häng jetzt noch mal nen Barf von IPSec dran... Da stehen auch Fehlermeldungen drin, aber die Suche bei Google bringt keine Lösung:


May 19 10:30:05 FreeSwan-VPN pluto[28678]: INTERNAL ERROR: /proc/net/ipsec_eroute line 1 SA ID field malformed: SA specifier lacks valid protocol prefix
May 19 10:35:09 FreeSwan-VPN pluto[28678]: "w2k-road-warriors" #1: ignoring Delete SA payload
May 19 10:35:09 FreeSwan-VPN pluto[28678]: "w2k-road-warriors" #1: received and ignored informational message
May 19 10:35:09 FreeSwan-VPN pluto[28678]: packet from 192.168.226.31:500: ignoring Vendor ID payload
May 19 10:35:09 FreeSwan-VPN pluto[28678]: "w2k-road-warriors" #3: responding to Main Mode
May 19 10:35:09 FreeSwan-VPN pluto[28678]: "w2k-road-warriors" #3: Peer ID is ID_IPV4_ADDR: '192.168.226.31'
May 19 10:35:09 FreeSwan-VPN pluto[28678]: "w2k-road-warriors" #3: sent MR3, ISAKMP SA established
May 19 10:35:09 FreeSwan-VPN pluto[28678]: "w2k-road-warriors" #4: responding to Quick Mode
May 19 10:35:09 FreeSwan-VPN pluto[28678]: "w2k-road-warriors" #4: IPsec SA established
May 19 10:36:05 FreeSwan-VPN pluto[28678]: INTERNAL ERROR: /proc/net/ipsec_eroute line 1 SA ID field malformed: SA specifier lacks valid protocol prefix

Hi,

da ist bei all den Ergebnissen nichts dabei?? Schwer zu glauben .... ;)

(alles in einer Zeile!!!)
www.google.de/search?q=%22%2Fproc%2Fnet%
2Fipsec_eroute+line+1+SA+ID+field+malformed%
3A+SA+specifier+lacks+valid+protocol+prefix%22&ie=UTF-8&oe=UTF-
8&hl=de&meta=

Sorry, nutze in der Art kein FreeS/WAN.

Gruß

Hi,

danke das mal einer geantwortet hat ;)

Nein, also den Suchbegriff von dir hab ich auch schon mal verwendet gehabt, und ich lande auch immer wieder bei den gleichen Posts in der Mailing Liste von freeswan.

Meistens steht dort keine Antwort auf das Problem, oder die Antwort betrifft nen ganz anderen Fall als wie ich den brauche :(


Das ist wirklich zum kotzen, ich verstehe das nicht warum selbst die einfachste Verbindung nicht richtig läuft... oder ich hab irgendwo noch Verständnissprobleme

Ha, ich hatte doch alles richtig eingestellt...

der Admin der Firewalls, dem ich schon die ganze Zeit mal gesagt habe er solle doch mal testweise any/any für die beiden Rechner einstellen soll, hat heute nachgegeben :D

Also ich kann den Tunnel aufbauen, ping dadurch schicken inkl. Antwort. SSH durch den Tunnel geht auch. das einzige Problem das ich jetz tnoch habe besteht wenn ich den Tunnel auf der Windows maschine mit ipsec -off abschalte. Ich kann dann den linux rechner nicht mehr anpingen und bekomme time outs. der erwartet also scheinbar immer noch nen Tunnel als Verbindung.


danach kann ich aber wieder mit ipsec nen Tunnel aufbauen...

Nächstes Thema das ich erarbeiten wollte ist Authentifizierung mit username und passwort... hat da jemand ne idee?

Also das Keysharing is eigentlich das einfachste daran. Gibst in der Konsole mal ipsec showhostkey --left bzw. ipsec showhostkey --right ein und schreibst den Key per Redirection in eine Textdatei. Die kannst entweder mit SCP zum Server rüberschicken und dann den Server Key zu deinen Win2K Rechner oder natürlich selber abholen/bringen :) .

In der ipsec.conf musst du dann die Zeile:

leftrsasigkey=0sAQOnwiBPt... für den Lokalen Rechner

und

rightrsasigkey=0sAQOqH55O... Für den Remote Rechner.

Ich hab zur Zeit das selbe Problem, hoffe das ich aus deiner Config etwas schlauer aus der Sache werde. Werd mal am Montag die Config mit Fehler Posten wenn ich es nicht hinbekomme.

MFG
Lord Pinhead

Hi!

Also die Einstellungen da oben sind soweit richtig, Preshared Key macht keine Probleme :)

Nächste Idee wäre jetzt gewesen Authentifizieren mittles Username/Passwort, das ist aber nicht bei Freeswan möglich. Weil es sich ja nicht um eine Einwahl handelt sondern um einfach ein Protokoll das einfach im Hintergrund läuft.

Momentan arbeite ich an Authentifizierung mittels x509 und Zertifikaten. Ich sehe aus den Logs das die Rechner sich auch miteinander unterhalten, aber die Authentifizierung klappt einfach noch nicht *seufz*

Na am Montag bin ich wieder in der Firma dann kann ich da mal was aus den Logs posten.

Ähm...sehe ich es richtig, dass da 2 Router zwischen den VPN-Geräten sitzen?
Kann's vielleicht sein, dass da mindestens 1 Router masqueradet? Also ich kann die Fehlermeldungen jetzt zwar auch nicht näher deuten, aber ich weiß, dass das Masqueraden im Konflikt mit IPsec stehen kann. IPsec soll ja unter Anderem garantieren, dass die Pakete auf beiden Seiten identisch sind - ein Router, der masqueradet verändert die Pakete aber!

Im IPsec-HowTo (auf www.freeswan.org) steht was darüber und wie man dieses Problem lösen kann...

Gruß,
Thorsten

...und das ist auch gut so. swan sorgt für die verschlüsselung und z.b. das os für die authentifizierung. ich arbeiete in der firma gerade an dem selben problem wie du.
aber jetzt ist erstmal wochenende.
bis bald

Hey hier ist ja endlich richtig was los :)

ja da sitzen 2 Router zwischen, aber die sind ja richtig eingestellt, ohne NAT und ohne Masquerading. Sonst hätte ich ja gar nicht den Tunnel mit Preshared Keys machen können.

Hatte heute übrigens nen Newsletter bekommen das MS nen Update für IPSec bereitgestellt hat, wenn man NAT Verwendet. Das erweitert dann wohl die MS Lösung so, das IPSec damit umgehen kann.


L2TP/IPSec NAT-T Update für Windows XP und Windows 2000

Mit diesem Update für IPSec (Internet Protocol Security Clients) und L2TP/IPSec funktioniert IPSec über NAT-Grenzen (Network Address
Translation) hinweg. http://www.winhelpline.info/news/index.php?show=singlenews&id=7681#7681

Cool, werd das am Montag mal ausprobieren. Wäre cool wenn das liefe. Im grunde genommen ist es eigentlich ein Tunnel im Internen LAN mit Statischen IP´s zwischen beiden Rechnern. Is nur zur veranschaulichung und übung wie IPSec arbeitet, aber es müsste auch in einen Lan laufen.

MFG
Lord Pinhead

Ja so ist das ja bei mir auch gedacht gewesen, also es ist ohne weiteres Möglich.

Der fall wäre dann Subnet to Subnet, da müssen also in den Firewalls Regeln so eingestellt werden, das die den Verkehr auf Port 500 UDP in beide Richtungen erlauben. Dann geht das zumindest mit PreSharedKeys einfach.

Also ich habs mal wieder versucht, aber keine Chance.
Irgendwie authentifiziert sich mein Windows REchner nicht richtig beim Linux Rechner :(

Siehe angehängte x509.txt

Servus,

sagt mal, habt ihr euch den Patch von MS runterldaen können? Ich finde den nicht über das Windowsupdate....

Wäre cool wenn mir einer das teil schicken könnte..

Das ist übers Windows Update nur zu ziehen? hm, das ist schlecht :(
Dachte das gäbs so als normalen Download.

Naja, solange das noch nciht dringend notwendig ist für meine Sache hier brauch ich das ja auch nicht ;)

Ich bin immer noch nicht weitergekommen mit dem Authentifzieren :(
Meine Suche bei Google ergab, die Fehlermeldung würde eignetlichnur dann vorkommen wenn bereits nen Tunnel steht, sich aber die IP eines Partners ändern würde und der dann von der neuen IP aus versucht sich zu verbinden. Das Blockt Freeswan einfach ab.

Aber hier sind ja nur statische IP Adressen :(
ich verstehe das gar nicht, habe mich doch genau an die Anleitung von Nate Carlson oder von der ct gehalten :(