Archiv verlassen und diese Seite im Standarddesign anzeigen : ipsec und jetzt läuft gar nichts mehr
hi leute ich hab mir erfolgreich ipsec installiert und eingerichtet (hoffe ich zumindest)
aber jetzt komme ich nciht mehr auf meinen samba und apache drauf liegen beide auch auf dem vpn server
habe das tool von markus müller benutzt
gibt es da irgenteine einstellung die ich machen muss um andere zu sehen?
# /etc/ipsec.conf - FreeS/WAN IPsec configuration file
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
keyingtries = 1
compress = yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
# leftsubnet=192.168.6.0/16
# leftid "C=DE, ST=Germany, L=Bielefeld, O=Flynet,
#Email=philosophenmaster@yahoo.de"
conn roadwarrior
left=192.168.6.2
right=%any
leftcert=gatewaycert.pem
type=tunnel
rightid = "C=DE, ST=Germany, O=Flynet, OU=Server-Admin, CN=Christian Spreng, E=philosophenmaster@yahoo.de"
pfs=yes
auto=add
die des servers
conn flynet
left=%any
right=server
rightsubnet=192.168.6.0/24
rightca="C=DE, S=Germany, O=Flynet, OU=Server-Admin, CN=Flynet, E=philosophenmaster@yahoo.de"
auto=start
pfs=yes
und die des cliend
Deine Config schaut gut aus! Was sagten den die Befehle
tail -f /var/log/varn & ipsec verify
schuelsche
18.07.03, 10:03
Original geschrieben von Overfly
# /etc/ipsec.conf - FreeS/WAN IPsec configuration file
conn roadwarrior
left=192.168.6.2
right=%any
leftcert=gatewaycert.pem
type=tunnel
rightid = "C=DE, ST=Germany, O=Flynet, OU=Server-Admin, CN=Christian Spreng, E=philosophenmaster@yahoo.de"
pfs=yes
auto=add
die des servers
conn flynet
left=%any
right=server
rightsubnet=192.168.6.0/24
rightca="C=DE, S=Germany, O=Flynet, OU=Server-Admin, CN=Flynet, E=philosophenmaster@yahoo.de"
auto=start
pfs=yes
und die des cliend
Wieso heisst die conn auf den beiden Rechnern anders?
Auf dem Server heisst sie conn roadwarrior und auf dem client conn flynet?! Das kann doch irgenwie nicht sein... Soweit ich das weiss müssen die schon gleich heissen, weil sie sich sonst nicht finden können.
Grüsse
schuelsche
ich habe 3 recher
1 router FLI4L ip=192.168.6.1
1 Server SuSE Linux 8.0 (freeswan 1.95, samba apache ssh) ip=192.168.6.2
1 client Windows XP Prof. ip=192.168.6.3
alle sind über einen switch miteinander verbunden.
ich komme ins i-net und icq funkt auch wenn ich das ipsec tool angeschaltet habe
genau wie e-mail also muss ich ja über den router rüberkommen
aber ich kann ihn nicht mehr ansprechen
der apache der drauf ist reagiert nur wenn ipsec aus ist genau wie beim server
und da ist jetzt mein problem
ich komme an keinen anderen rechner ran
der Client
conn flynet
left=%any
right=server
rightsubnet=192.168.6.0/24
rightca="C=DE, S=Germany, O=Flynet, OU=Server-Admin, CN=Flynet, E=philosophenmaster@yahoo.de"
auto=start
pfs=yes
der Server
# /etc/ipsec.conf - FreeS/WAN IPsec configuration file
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
keyingtries = 1
compress = yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
# leftsubnet=192.168.6.0/16
# leftid "C=DE, ST=Germany, L=Bielefeld, O=Flynet,
#Email=philosophenmaster@yahoo.de"
conn flynet
left=server
leftsubnet=192.168.6.0/24
right=%any
leftcert=gatewaycert.pem
type=tunnel
rightid = "C=DE, ST=Germany, O=Flynet, OU=Server-Admin, CN=Christian Spreng, E=philosophenmaster@yahoo.de"
pfs=yes
auto=add
vielen dank für eure hilfe
Ích glaube dein ipsec-modul ist nicht richtig eingebunden. Poaste doch mal die ausgabe aus "tail -f /var/log/warn"!
bitte ich hoffe du kannst was damit anfangen
Jul 18 13:39:45 Server Pluto[1202]: packet from 192.168.6.3:500: ignoring Vendor ID payload
Jul 18 13:39:45 Server Pluto[1202]: "flynet" 192.168.6.3 #6: responding to Main Mode from unknown peer 192.168.6.3
Jul 18 13:39:45 Server Pluto[1202]: "flynet" 192.168.6.3 #6: encrypted Informational Exchange message is invalid because it is for incomplete ISAKMP SA
Jul 18 13:39:54 Server Pluto[1202]: "flynet" 192.168.6.3 #6: encrypted Informational Exchange message is invalid because it is for incomplete ISAKMP SA
Jul 18 13:39:55 Server Pluto[1202]: "flynet" 192.168.6.3 #6: ignoring informational payload, type INVALID_COOKIE
Jul 18 13:39:55 Server Pluto[1202]: "flynet" 192.168.6.3 #6: received and ignored informational message
Jul 18 13:40:15 Server Pluto[1202]: "flynet" 192.168.6.3 #6: ignoring informational payload, type INVALID_COOKIE
Jul 18 13:40:15 Server Pluto[1202]: "flynet" 192.168.6.3 #6: received and ignored informational message
Jul 18 13:40:55 Server Pluto[1202]: "flynet" 192.168.6.3 #6: max number of retransmissions (2) reached STATE_MAIN_R2
Jul 18 13:40:55 Server Pluto[1202]: "flynet" 192.168.6.3: deleting connection "flynet" instance with peer 192.168.6.3
encrypted Informational Exchange message is invalid because it is for incomplete ISAKMP SA
das ist der Fehler! wegen SA gehe ich davon aus, dass es was mit den Zertifikaten zu tun hat!
und was gibt ipsec verify?
Sage mir, machst du die verbindung über das Internet, oder über den switch?
Versuche den switch in deiner config mal als rightnexthob=19..... anzugeben und dann schau dir mal die ausgabe mit tail an, änder die auto=start in auto=add. und dann ein ping!
hi das war das problemm hab auto auf add gestellt und jetzt läuft es hab aber auch die zertifikate zugewisen
die verwendet werden sollen
also leftcert und rightcert
bei dem windwos aber das .p12
herzlichsten dank
hier noch mal die config vom client
conn flynet
left=%any
leftcert=flynet.p12
right=server
rightsubnet=192.168.6.0/24
rightca="C=DE, S=Germany, O=Flynet, OU=Server-Admin, CN=Flynet, E=philosophenmaster@yahoo.de"
auto=add
pfs=yes
und der server
# /etc/ipsec.conf - FreeS/WAN IPsec configuration file
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
keyingtries = 1
compress = yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
# leftsubnet=192.168.6.0/16
# leftid "C=DE, ST=Germany, L=Bielefeld, O=Flynet,
#Email=philosophenmaster@yahoo.de"
conn flynet
left=server
leftsubnet=192.168.6.0/24
right=%any
rightcert=%any
type=tunnel
rightid = "C=DE, ST=Germany, O=Flynet, OU=Server-Admin, CN=Christian Spreng, E=philosophenmaster@yahoo.de"
pfs=yes
auto=add
zu früh gefreut!!!!!!!!!:mad: :mad: :mad:
funk doch nicht es hat geklapt weil beide darauf gewartet haben das sich jemand einlogt also muss ich noch ein wenig weiter rum basteln
ham mir mal die massages angesehen
ich glaube ich kann da einen ping den ich abgesetzt hab identifizieren....
nur dann steht immer dabei wurde abgewisen da keine verbindung autorisiert wurde
kannst du damit was anfangen?
Hast du jetzt mal versucht einen der hinter dem gateway liegenden Rechner zu pingen?
Wenn ja, wie sieht deine ausgabe aus.
Wenn dann noch immer die Fehlermeldung besteht, wie hast du die Zertifikate auf dem XP-Client eingebunden?
hi Leute Hab es Geschafft
hier die Server Konfig
# /etc/ipsec.conf - FreeS/WAN IPsec configuration file
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
authby=rsasig
leftcert=gatewaycert.pem
leftrsasigkey=%cert
rightrsasigkey=%cert
left=192.168.6.2
# leftsubnet=192.168.6.0/24
conn flynet
keyexchange=ike
right=192.168.6.3
auto=add
leftid="C=DE,ST=Germany,O=XXX,OU=XXX,CN=XXX,E=XXX@XX.de"
leftcert=gatewayCert.pem
rightcert=clientcert.pem
pfs=yes
conn %default
keyingtries=0
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
rightsubnet=192.168.6.0/24
conn flynet
keyexchange=ike
right=server
rightid="C=DE,S=Germany,L=XXX,O=XXX,OU=XXX,CN=XXX,Email=XXX @XX.de"
left=%any
auto=start
network=lan
hoffe es hilft euch
s-csm-04:~ # tail -f /var/log/warn
Jul 22 13:23:33 s-csm-04 pluto[2784]: loaded cacert file 'RootCA.der' (1017 bytes)
Jul 22 13:23:33 s-csm-04 pluto[2784]: Changing to directory '/etc/ipsec.d/crls'
Jul 22 13:23:33 s-csm-04 pluto[2784]: loaded crl file 'crl.pem' (625 bytes)
Jul 22 13:23:33 s-csm-04 pluto[2784]: loaded my default X.509 cert file '/etc/x509cert.der' (1064 bytes)
Jul 22 13:23:34 s-csm-04 ipsec__plutorun: ipsec_auto: fatal error in "client-int": (/etc/ipsec.conf, line 40) unknown parameter name "rightcertcert"
Jul 22 13:23:34 s-csm-04 ipsec__plutorun: ...could not add conn "client-int"
Jul 22 13:23:34 s-csm-04 pluto[2784]: added connection description "client-ext"
Jul 22 13:23:34 s-csm-04 pluto[2784]: listening for IKE messages
Jul 22 13:23:34 s-csm-04 pluto[2784]: adding interface ipsec0/eth1 192.168.0.97
Jul 22 13:23:34 s-csm-04 pluto[2784]: loading secrets from "/etc/ipsec.secrets"
Jul 22 13:32:02 s-csm-04 pluto[2784]: packet from 192.168.0.14:500: ignoring Vendor ID payload
Jul 22 13:32:02 s-csm-04 pluto[2784]: packet from 192.168.0.14:500: initial Main Mode message received on 192.168.0.97:500 but no connection has been authorized
Jul 22 13:32:03 s-csm-04 pluto[2784]: packet from 192.168.0.14:500: ignoring Vendor ID payload
Jul 22 13:32:03 s-csm-04 pluto[2784]: packet from 192.168.0.14:500: initial Main Mode message received on 192.168.0.97:500 but no connection has been authorized
Jul 22 13:32:05 s-csm-04 pluto[2784]: packet from 192.168.0.14:500: ignoring Vendor ID payload
Jul 22 13:32:05 s-csm-04 pluto[2784]: packet from 192.168.0.14:500: initial Main Mode message received on 192.168.0.97:500 but no connection has been authorized
Jul 22 13:32:09 s-csm-04 pluto[2784]: packet from 192.168.0.14:500: ignoring Vendor ID payload
Jul 22 13:32:09 s-csm-04 pluto[2784]: packet from 192.168.0.14:500: initial Main Mode message received on 192.168.0.97:500 but no connection has been authorized
Jul 22 13:32:17 s-csm-04 pluto[2784]: packet from 192.168.0.14:500: ignoring Vendor ID payload
Jul 22 13:32:17 s-csm-04 pluto[2784]: packet from 192.168.0.14:500: initial Main Mode message received on 192.168.0.97:500 but no connection has been authorized
Jul 22 13:32:33 s-csm-04 pluto[2784]: packet from 192.168.0.14:500: ignoring Vendor ID payload
Jul 22 13:32:33 s-csm-04 pluto[2784]: packet from 192.168.0.14:500: initial Main Mode message received on 192.168.0.97:500 but no connection has been authorized
Jul 22 13:32:56 s-csm-04 pluto[2784]: packet from 192.168.0.14:500: ignoring Delete SA payload
Jul 22 13:32:56 s-csm-04 pluto[2784]: packet from 192.168.0.14:500: received and ignored informational message
Das gibt er nach einem ping von mir aus!
was steht denn bei dir in der /etc/ipsec.conf in der line 40?
rightcertcert, aber daran lag es nicht!
doch daran lag es
er kennt kein rightcertcert
änder es mal nach --> rightcert=(dein windowszertifikat)
Ich hatte es geändert, doch jetzt komme ich wieder auf:
s-csm-04:~ # tail -f /var/log/warn
Jul 22 14:26:10 s-csm-04 pluto[6231]: loaded cacert file 'RootCA.der' (1017 bytes)
Jul 22 14:26:10 s-csm-04 pluto[6231]: Changing to directory '/etc/ipsec.d/crls'
Jul 22 14:26:10 s-csm-04 pluto[6231]: loaded crl file 'crl.pem' (625 bytes)
Jul 22 14:26:10 s-csm-04 pluto[6231]: loaded my default X.509 cert file '/etc/x509cert.der' (1064 bytes)
Jul 22 14:26:11 s-csm-04 pluto[6231]: loaded host cert file '/etc/ipsec.d/gatecert.pem' (4719 bytes)
Jul 22 14:26:11 s-csm-04 pluto[6231]: added connection description "client-int"
Jul 22 14:26:11 s-csm-04 pluto[6231]: added connection description "client-ext"
Jul 22 14:26:11 s-csm-04 pluto[6231]: listening for IKE messages
Jul 22 14:26:11 s-csm-04 pluto[6231]: adding interface ipsec0/eth1 192.168.0.97
Jul 22 14:26:11 s-csm-04 pluto[6231]: loading secrets from "/etc/ipsec.secrets"
Jul 22 14:26:30 s-csm-04 pluto[6231]: packet from 192.168.0.14:500: ignoring Vendor ID payload
Jul 22 14:26:30 s-csm-04 pluto[6231]: "client-int"[1] 192.168.0.14 #1: responding to Main Mode from unknown peer 192.168.0.14
Jul 22 14:26:30 s-csm-04 pluto[6231]: "client-int"[1] 192.168.0.14 #1: encrypted Informational Exchange message is invalid because it is for incomplete ISAKMP SA
Wenn du noch etwas damit anfangen kannst!
schreib bei der verbinduing die du benutzen willst das zertigikat der gegenstellerein
also wenn es blacert.pem heist right=blacert.pem
So schaut meine Fehlermeldung aus:
s-csm-04:~ # tail -f /var/log/warn
Jul 23 08:37:19 s-csm-04 pluto[20122]: Changing to directory '/etc/ipsec.d/crls'
Jul 23 08:37:19 s-csm-04 pluto[20122]: loaded crl file 'crl.pem' (625 bytes)
Jul 23 08:37:19 s-csm-04 pluto[20122]: loaded my default X.509 cert file '/etc/x509cert.der' (1064 bytes)
Jul 23 08:37:20 s-csm-04 pluto[20122]: loaded host cert file '/etc/ipsec.d/gatecert.pem' (4719 bytes)
Jul 23 08:37:20 s-csm-04 pluto[20122]: loaded host cert file '/etc/ipsec.d/xpcert.pem' (4732 bytes)
Jul 23 08:37:20 s-csm-04 pluto[20122]: added connection description "client-int"
Jul 23 08:37:20 s-csm-04 pluto[20122]: added connection description "client-ext"
Jul 23 08:37:20 s-csm-04 pluto[20122]: listening for IKE messages
Jul 23 08:37:20 s-csm-04 pluto[20122]: adding interface ipsec0/eth1 192.168.0.97
Jul 23 08:37:20 s-csm-04 pluto[20122]: loading secrets from "/etc/ipsec.secrets"
Jul 23 08:42:19 s-csm-04 pluto[20122]: packet from 192.168.0.14:500: ignoring Vendor ID payload
Jul 23 08:42:19 s-csm-04 pluto[20122]: "client-int" #1: responding to Main Mode
Jul 23 08:42:19 s-csm-04 pluto[20122]: "client-int" #1: encrypted Informational Exchange message is invalid because it is for incomplete ISAKMP SA
Jul 23 08:43:29 s-csm-04 pluto[20122]: "client-int" #1: max number of retransmissions (2) reached STATE_MAIN_R2
Jul 23 08:44:03 s-csm-04 pluto[20122]: packet from 192.168.0.14:500: Informational Exchange is for an unknown (expired?) SA
So meine Ipsec.conf VPN-Server:
config setup
# THIS SETTING MUST BE CORRECT or almost nothing will work;
# %defaultroute is okay for most simple cases.
interfaces=ipsec0=eth1
# Debug-logging controls: "none" for (almost) none, "all" for lots.
klipsdebug=none
plutodebug=none
# Use auto= parameters in conn descriptions to control startup actions.
plutoload=%search
plutostart=%search
# Close down old connection when new one using same ID shows up.
uniqueids=yes
# defaults for subsequent connection descriptions
# (these defaults will soon go away)
conn %default
keyingtries=1
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
conn client-int
# Left security gateway, subnet behind it, next hop toward right.
left=192.168.0.97
#leftsubnet=192.168.0.0/24
leftcert=gatecert.pem
rightcert=xpcert.pem
rightid="meine daten"
# Right security gateway, subnet behind it, next hop toward left.
right=192.168.0.14
# To authorize this connection, but not actually start it, at startup,
# uncomment this.
auto=add
pfs=yes
conn client-ext
left=dyndns-adresse
leftsubnet=192.168.0.0/24
right=%any
auto=add
und die des XP- Clients:
conn client-int
left=%any
right=192.168.0.97
rightca="meine CA daten"
network=lan
auto=start
pfs=yes
Könnt ihr meinen Fehler entdecken?
die Daten des client bei rightca bekommst du mit
openssl x509 -in (dein rootCert) -noout -subject
und die rightid beim server bekommst du mit
openssl x509 -in gatecert.pem -noout -subject
ist aus der anleitung von shinewelt.de
so jetzt kann ich euch auch sagen welche parameter in die einzelnen verbindungen rein müssen
das sind
leftcert=gatecert.pem
rightcet=usercert.pem
right=%any (oder feste ip)
Overfly:
Lerne mal deinen Posteingang zu lehren! Wie viele hast du da immer drin?
hab dir eine e-mail geschrieben deine mail box ist nämlich auch voll
nach meinem Ping zeigt mir die warn folgendes an:
"client-int"[1] 192.168.0.14 #1: responding to Main Mode from unknown peer 192.168.0.14
Jul 25 13:13:06 server pluto[4410]: "client-int"[1] 192.168.0.14 #1: encrypted Informational Exchange message is invalid because it is for incomplete ISAKMP SA
Jul 25 13:14:16 server pluto[4410]: "client-int"[1] 192.168.0.14 #1: max number of retransmissions (2) reached STATE_MAIN_R2
Jul 25 13:14:16 server pluto[4410]: "client-int"[1] 192.168.0.14: deleting connection "client-int" instance with peer 192.168.0.14
Jul 25 13:15:20 server pluto[4410]: packet from 192.168.0.14:500: Informational Exchange is for an unknown (expired?) SA
Woran kann mein fehler bei einer solchen beschreibung alles liegen?
Kann mir denn keiner sagen, was ich noch machen muß? Solch ein Fehler ist doch wohl nicht unbekannt! Meine Firewall ist aus, ich komme auf den rechner mit einem ping, doch die Authentifizierung klappt nicht. Das entnehme ich zu mindest hieraus:
:~ # tail -f /var/log/warn
Jul 28 10:48:48 s-csm-04 pluto[2426]: loaded cacert file 'RootCA.der' (1010 bytes)
Jul 28 10:48:48 s-csm-04 pluto[2426]: Changing to directory '/etc/ipsec.d/crls'
Jul 28 10:48:48 s-csm-04 pluto[2426]: loaded crl file 'crl.pem' (621 bytes)
Jul 28 10:48:48 s-csm-04 pluto[2426]: loaded my default X.509 cert file '/etc/x509cert.der' (1062 bytes)
Jul 28 10:48:48 s-csm-04 pluto[2426]: loaded host cert file '/etc/ipsec.d/gatecert.pem' (4695 bytes)
Jul 28 10:48:48 s-csm-04 pluto[2426]: added connection description "client-int"
Jul 28 10:48:49 s-csm-04 pluto[2426]: listening for IKE messages
Jul 28 10:48:49 s-csm-04 pluto[2426]: adding interface ipsec0/eth0 192.168.0.96
Jul 28 10:48:49 s-csm-04 pluto[2426]: loading secrets from "/etc/ipsec.secrets"
Jul 28 10:48:49 s-csm-04 pluto[2426]: loaded private key file '/etc/ipsec.d/private/gatekey.key' (1743 bytes)
Jul 28 10:49:58 s-csm-04 pluto[2426]: packet from 192.168.0.14:500: ignoring Vendor ID payload
Jul 28 10:49:58 s-csm-04 pluto[2426]: "client-int"[1] 192.168.0.14 #1: responding to Main Mode from unknown peer 192.168.0.14
Jul 28 10:49:58 s-csm-04 pluto[2426]: "client-int"[1] 192.168.0.14 #1: encrypted Informational Exchange message is invalid because it is for incomplete ISAKMP SA
Jul 28 10:51:08 s-csm-04 pluto[2426]: "client-int"[1] 192.168.0.14 #1: max number of retransmissions (2) reached STATE_MAIN_R2
Jul 28 10:51:08 s-csm-04 pluto[2426]: "client-int"[1] 192.168.0.14: deleting connection "client-int" instance with peer 192.168.0.14
Jul 28 10:51:42 s-csm-04 pluto[2426]: packet from 192.168.0.14:500: Informational Exchange is for an unknown (expired?) SA
Meine Zertifikate habe ich erneuert und es will immer noch nicht. Die angaben der rightid auf dem Server stimmt. Erklärung für diese annahme ist: Die rightid der server ipsec.conf bezieht sich nicht auf den client, sondern auf den Server und muß wie in shinewelt beschrieben die gatecert.pem angaben entsprechen.
Bei der des Clients mit der rightca ist der Kontakt des servers gesucht und muß daher der Root-CA entsprechen. Ist auch so von mir gemacht worden. Dennoch komme ich nicht weiter. Die Zertifikate sind doch gültig!
Was mache ich bloß falsch? HILFE!
schuelsche
28.07.03, 11:17
Solange Du den Gateway, auf dem FreeS/WAN läuft, noch anpingen kannst, geht es eh nicht... Im Normalfall lässt dieser sich dann nämlich nicht mehr anpingen.
Hattest Du schonmal versucht, eine VPN-Verbindung nur über secrets herzustellen? Also ohne die Verwendung von Zertifikaten, sondern nur mit dem reinen klaren Passwort?
Irgendwo ist bei Dir der Wurm drin... Ich dachte, Du hättest alles komplett neu installiert auf dem Server? Klappte den die km_freeswan-Einbindung letztendlich?
Rätselnde Grüsse
schuelsche
Vergesst es, es leuft!!! :D
Ich kann es noch gar nicht fassen!
Nun, da es entlich funzt, wie kann ich es abstellen, das ipsec die verbindung nach 5 min abschaltet?
oder habe nur ich dieses Prob?
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.