PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : Freeswan und Suse 8.2


heduda
23.05.03, 16:45
Hallo,

bei den SuSE 8.2 Sourcen ist das freeswan 1.99 Paket mit dabei. Ist dieses schon für die x.509 Zertifikate gepacht oder muss man das noch machen.

Wenn ja, wie patche ich diese Version?

Ist der Kernel von SuSE 8.2 schon mit Freeswan oder muss ich dazu noch einen Kernel basteln?

Thx
RapidMax
24.05.03, 13:57
Der Patch ist bereits integriert. Ich nehme an das Module wird im Kernel sein, ein Versucht bringt Klarheit.

Gruss, Andy
DaGrrr
24.05.03, 20:28
Hallo,

ja, wie RapidMax bereits sagte, ist der Patch installiert.

Falls noch nicht getan, installiere FreeSwan und teste den Befehl in einer Konsole:

ipsec verify

Wird alles mit ok angegeben, dann ist auch alles ok ;)

Grüße
DaGrrr
heduda
25.05.03, 10:13
Merci für die Info´s,

hatte nochmal genauer gesucht, und bin auf die Paketbeschreibung bei suse.de gestossen.

Da stand folgendes:

freeswan
IPsec implementation which allows building VPNs
FreeS/WAN is an IPsec implementation which allows building Virtual
Private Networks (VPNs). A typical VPN setup consists of two trusted
networks, connected over an insecure network, typically the Internet.
FreeS/WAN allows you to create an encrypted tunnel through the
insecure area. Unlike CIPE, it is interoperable with other operating
systems or even routers IPsec implementations.
There is no longer support for the insecure DES algorithm. For
interoperability your partner also needs to understand 3DES encryption.
SuSE has added the X.509 support (http://www.strongsec.com/freeswan/)
for you.
It contains strong cryptographic routines. The US government does not
allow to (re)export this software out of the US, regardless of where it
has been written. Nowadays, you may register with the US authorities
and may get granted a license to export it though.
Some other countries (Russia, France, ...) may also have regulations
preventing the import, export or usage of this piece of software.

Das gilt aber nur für die Prof. Version von 8.2

@DaGrr

hab mal den Befehl ipsec verify eingegeben und folgenden Output bekommen:

Checking your system to see if IPsec was installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running [OK]
DNS checks.
Looking for forward key for server [FAILED]
Does the machine have at least one non-private address [FAILED]

Was haben denn die letzten beiden Failed genau zu bedeuten?

Thx for Help
DaGrrr
25.05.03, 10:28
Hallo,

schau mal hier:

http://www.freeswan.org/freeswan_trees/freeswan-1.99/doc/trouble.html#install.check

Dort wird beschrieben, was die Fehler bedeuten, obs wichtig ist und wie man es behebt.

Grüße
DaGrrr
heduda
25.05.03, 10:57
@DaGrr

super, danke für den Link.

Jetzt hab ich noch ne Verständnisfrage und hoffe jemand kann diese mir beantworten.

Folgender Plan:

VPN Gateway SuSE 8.2 mit IPTabels und x.509
VPN auf ppp0
Zugriff des VPN von ppp0 auf eth0

VPN Client Windows XP Prof.
Zugriff auf Internes Netz mit Freigaben und DB-Anbindung
Einwalverbindung über T-DSL

Folgende Frage:

Brauche ich das L2TP - Paket dazu? Oder reicht das aus, wenn ich den Client gemäß dem WIN200/XP Tool der Webseite http://vpn.ebootis.de/ konfiguriere?

Was ist denn der Unterschied zwischen den beiden Methoden? Welche besser welche schlechter?

Wäre super wenn mich da mal jemand aufklären könnte.

thx
heduda
26.05.03, 10:49
Hallo,

folgendes Problem tritt bei meiner IPSEC mit x.509 Verbindnung auf. Vielleicht hat hier jemand nen Tip.

Die Ipsec-Verbindung wird mit Freeswan und x.509 hergestellt.

Die Messeges gibt folgendes aus, und die Verbindung steht.

May 26 11:40:54 server pluto[9261]: "Roadwarrior"[2] 217.233.71.78 #20: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK to replace #19
May 26 11:42:04 server pluto[9261]: "Roadwarrior"[2] 217.233.71.78 #20: max number of retransmissions (2) reached STATE_QUICK_I1
May 26 11:42:04 server pluto[9261]: "Roadwarrior"[2] 217.233.71.78 #20: starting keying attempt 14 of an unlimited number
May 26 11:42:04 server pluto[9261]: "Roadwarrior"[2] 217.233.71.78 #21: initiating Quick Mode RSASIG+ENCRYPT+TUNNEL+PFS+DISABLEARRIVALCHECK to replace #20

Ressourcen wie FTP-Server oder Apache auf dem VPNGateway/FW können vom Roadwarrior-CLient genutzt werden.

Der Roadwarrior kann den Ressourcen-Server hinter dem VPN-Gateway/Firewall anpingen. Ein versenden einer NET SEND Message kommt auch beim Ressourcen-Server an. Nur kann kein Netzlaufwerk oder sonstige Freigaben verbunden werden. Hat hier jemand dazu einen Tip?

Die Regel der FW sieht wie folgt aus:

# IPSEC Zugriff von aussen
iptables -A INPUT -i ppp0 -p 50 -j ACCEPT
iptables -A INPUT -i ppp0 -p 51 -j ACCEPT
iptables -A INPUT -i ppp0 -m state --state NEW -p udp --dport 500 -j ACCEPT

# Ipsec-Zugriff auf lan
iptables -A INPUT -m state --state NEW -i ipsec0 -j ACCEPT

# LAN-Zugriff auf Internet
iptables -A INPUT -m state --state NEW -i eth1 -j ACCEPT

# Routing
echo 1 > /proc/sys/net/ipv4/ip_forward 2> /dev/null

# Masquerading
iptables -t nat -A POSTROUTING -o ppp0 -j MASQUERADE

Wie gesagt, pingen und das versenden von NET Messages funktioniert, nur keine sonstigen Ressourcen. Der Client ist eine XP Prof Maschine.
heduda
26.05.03, 14:45
Hallo,

hat hier keiner einen Tip? Ist echt dringend und mir fällt im Moment echt nichts mehr ein was es sein könnte.
heduda
26.05.03, 22:42
Also,

ich bin jetzt ein stück weiter. FTP und SSH und sonstige Protokolle funktionieren jetzt nur eben noch keine Dateifreigabe und ähnliches.

Ein TCP Dump brachte folgendes zum vorschein. Vielleicht kann mir jetzt jemand nen TIP geben:

tcpdump -i ipsec0

22:42:15.849506 217.233.68.234.univision > 192.168.10.2.microsoft-ds: S 3846554277:3846554277(0) win 16384 <mss 1440,nop,nop,sackOK> (DF)
22:42:15.849924 192.168.10.2.microsoft-ds > 217.233.68.234.univision: R 0:0(0) ack 3846554278 win 0
22:42:16.344774 217.233.68.234.univision > 192.168.10.2.microsoft-ds: S 3846554277:3846554277(0) win 16384 <mss 1440,nop,nop,sackOK> (DF)
22:42:16.345158 192.168.10.2.microsoft-ds > 217.233.68.234.univision: R 0:0(0) ack 1 win 0
22:42:16.806032 217.233.68.234 > 192.168.10.2: icmp: echo request
22:42:16.806431 192.168.10.2 > 217.233.68.234: icmp: echo reply
22:42:16.845488 217.233.68.234.univision > 192.168.10.2.microsoft-ds: S 3846554277:3846554277(0) win 16384 <mss 1440,nop,nop,sackOK> (DF)
22:42:16.845801 192.168.10.2.microsoft-ds > 217.233.68.234.univision: R 0:0(0) ack 1 win 0

23:22:42.677699 217.233.68.234.veritas-vis2 > 192.168.10.2.microsoft-ds: S 161819611:161819611(0) win 16384 <mss 1440,nop,nop,sackOK> (DF)
23:22:42.678085 192.168.10.2.microsoft-ds > 217.233.68.234.veritas-vis2: R 0:0(0) ack 161819612 win 0
23:22:43.209854 217.233.68.234.veritas-vis2 > 192.168.10.2.microsoft-ds: S 161819611:161819611(0) win 16384 <mss 1440,nop,nop,sackOK> (DF)
23:22:43.210208 192.168.10.2.microsoft-ds > 217.233.68.234.veritas-vis2: R 0:0(0) ack 1 win 0
23:22:43.711895 217.233.68.234.veritas-vis2 > 192.168.10.2.microsoft-ds: S 161819611:161819611(0) win 16384 <mss 1440,nop,nop,sackOK> (DF)
23:22:43.712278 192.168.10.2.microsoft-ds > 217.233.68.234.veritas-vis2: R 0:0(0) ack 1 win 0

thx