Archiv verlassen und diese Seite im Standarddesign anzeigen : noch immer FreeSwan unter Debian
Hi@all,
das mit meinem VPN-Gateway unter Debian-3.0 scheint eine schwierige Geburt zu sein ... aber naja.
Nachdem das mit den selbstgebauten Kernels und dem compilieren von FreeSwan nicht geklappt hat habe ich zunächst wieder folgende Voraussetzungen geschaffen:
Orginal-Kernelsourcen (2.4.18) neu installiert und enpackt (zuvor .config gesichert)
Konfiguration des laufenden Kernels in die Kernelsourcen übertragen (make oldconfig)
Die beiden Pakete:
apt-get install kernel-patch-freeswan
apt-get install freeswan
installiert. So wie gehts jetzt weiter? Nach der Installation des Kernel-Patches finde ich unter:
/usr/src/kernel-patches/all/
kleiner Nachtrag:
In der Debian-FAQ habe ich folgenden Hinweis gefunden:
apt-get install kernel-patch-freeswan
cd /usr/src/kernel-source-<version>
make-kpkg clean
export PATCH_THE_KERNEL=YES
make-kpkg --added-patches=freeswan --revision=revision.1 kernel_image
Wenn ich jedoch ins Verzeichnis meiner Kernel-Sourcen wechsle und
make-kpkg clean
eingebe erhalte ich lediglich:
bash: make-kpkg: command not found
ein Verzeichnis Names 'freeswan' das wird wohl das Kernel-Patch sein. Darin befinden sich die Dateien/Verzeichnisse:
drwxr-xr-x 6 root root 4096 Sep 1 13:27 .
drwxr-xr-x 5 root root 4096 Sep 1 13:27 ..
-rw-r--r-- 1 root root 15257 Nov 30 2002 Makefile
-rw-r--r-- 1 root root 5419 Nov 30 2002 Makefile.inc
-rw-r--r-- 1 root root 137 Nov 30 2002 Makefile.ver
drwxr-xr-x 9 root root 4096 Sep 1 13:27 klips
drwxr-xr-x 2 root root 4096 Sep 1 13:27 lib
drwxr-xr-x 3 root root 4096 Sep 1 13:27 libdes
-rwxr-xr-x 1 root root 4138 Nov 30 2002 patcher
drwxr-xr-x 2 root root 4096 Sep 1 13:27 zlib
Wie muß ich nun vorgehen? um das Patch einzuspielen bzw FreeSwan einzurichten?
Nach der Installation von FreeSwan wurde die Konfiguration gestartet welche bereits durchlief.
Gruß Pixel
Hallo,
schau dir mal diese Howtos an:
- http://www.natecarlson.com/linux/ipsec-x509.php
- http://omnibus.uni-freiburg.de/~s8heschw/linuxecke/FreeswanHOWTO.htm *
Beide haben mir bei der Installation/Koniguration meines VPN-Servers sehr geholfen! Das zweite Howto (*) erklaert auch wie man FreeS/Wan mit dem x509 Patch patcht.
Gruss,
- Anubis
Danke,
den 2. Link habe ich bereits im Internet gefunden. Die Installation von FreeSwan incl. x509 habe ich auch schon hinbekommen. Die CA und die Zertifikate habe ich erstellt und ins richtige Verzeichnis kopiert. Allerdings erhalte ih beim Start von FreeSwan folgende ausgabe im Syslog:
klips_info:ipsec_init: KLIPS startup, FreeS/WAN IPSec version: 2.01
ipsec_setup: KLIPS debug `none'
ipsec_setup: KLIPS ipsec0 on ppp0 80.131.186.245/255.255.255.255 pointopoint ipsec_setup: ...FreeS/WAN IPsec started
ipsec__plutorun: ipsec_auto: fatal error in "packetdefault": %defaultroute requested but not known
ipsec__plutorun: ipsec_auto: fatal error in "block": %defaultroute requested but not known
ipsec__plutorun: ipsec_auto: fatal error in "clear-or-private": %defaultroute requested but not known
ipsec__plutorun: ipsec_auto: fatal error in "clear": %defaultroute requested but not known
ipsec__plutorun: ipsec_auto: fatal error in "private-or-clear": %defaultroute requested but not known
ipsec__plutorun: ipsec_auto: fatal error in "private": %defaultroute requested but not known
ipsec__plutorun: 021 no connection named "packetdefault"
ipsec__plutorun: ...could not route conn "packetdefault"
ipsec__plutorun: 021 no connection named "block"
ipsec__plutorun: ...could not route conn "block"
ipsec__plutorun: 021 no connection named "clear-or-private"
ipsec__plutorun: ...could not route conn "clear-or-private"
ipsec__plutorun: 021 no connection named "clear"
ipsec__plutorun: ...could not route conn "clear"
ipsec__plutorun: 021 no connection named "private-or-clear"
ipsec__plutorun: ...could not route conn "private-or-clear"
ipsec__plutorun: 021 no connection named "private"
ipsec__plutorun: ...could not route conn "private"
Gruß Pixel
Ich denke da sind ein paar Sachen falsch in deiner ipsec.conf...
Poste diese doch bitte einmal und ausserdem, was sagt "ipsec barf"?
Gruss,
- Anubis
Hi@all,
bevor ich mein config poste sollte ich noch ein paar Worte zu der von mirgewünschten Konfiguration loswerden. Ich habe an zwei Orten einen Debian-Router hinter welchen jeweils ein ganzes Netz liegt. Auf beiden Seiten ist DSL-Flat vorhanden (Telekom) was zu der bekannten 24-Stunden-Zwangstrennung führt.
Auf beiden Routern erfolgt bei der Einwahl die IP-Übergabe an dyndns, die natürlich für jedes der Netze unterschielich sind (netz1.dyndns.org & netz2.dyndns.org). An beiden Routern ist eth0 mit dem LAN verbunden und eth1 (ppp0) mit dem DSL-Modem. Freeswan habe ich in der Version 2.01 installiert. Auf beiden Routern ist der Kernel 2-4-22 (von Kernel.org + FreeSwan-Patch) installiert.
Hier die ipsec.con von Netz1:
version 2.0
# basic configuration
config setup
interfaces="ipsec0=ppp0"
klipsdebug=none
plutodebug=none
conn sws-dream
left=netz1.dyndns.org
leftsubnet=192.168.x.0/24 (anstatt x steht der benutze Bereich)
leftnexthop=%defaultroute
leftrsasigkey=%cert
leftcert=hostname.lokale_domain.pem
leftid=/C=DE/ST=Baden-W\xFCrttemberg/L=Mannheim/O=Softwareschmiede/CN=sphinx.komet.net/Email=gehr@kometmetall.de
right=%any
rightrsasigkey=%cert
auto=add
Bei der Option 'interface' habe ich ppp0 angegeben. Ist das richtig?
Was fehlt in dieser config noch bzw. was ist falsch?
Gruß Pixel
Hi@all,
also ich konnte das Problem nun schon mal eingrenzen. Es waren eher zwei Probleme. Zum einen war IPSec im Kernel als Modul aktiviert. Wenn ich dann 'ipsec verify' aufgerufen habe bekam ich immer die Meldung KLIPS-Unterstützung wäre im Kernel nicht vorhanden. Nun habe ich es fest eingebunden, den Kernel neu übersetzt und installiert und der gleiche Aufruf führt nun zu einem [ok]. Hier der komplete output:
Checking your system to see if IPsec got installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running whack: Pluto is not running (no "/var/run/pluto.ctl")
[FAILED]
DNS checks.
/usr/local/libexec/ipsec/verify: host: command not found
Looking for TXT in forward map: sphinx /usr/local/libexec/ipsec/verify:
host: command not found [MISSING]
Does the machine have at least one non-private address [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADING
Bei Start von Freeswan stand jedoch im syslog nochimmer die gleiche Fehlermeldung wie oben gepostet. Nun habe ich in /etc/ipsec.conf den Eintrag:
interfaces="ipsec0=ppp0"
auf:
interfaces=%defaultroute
geändert. Nun startet zwar Freeswan ohne eine Fehlermeldung, jedoch ist das ganze Netz dann offline d.h. die Clients hinter dem Router können keine Verbindung ins Internet mehr herstellen.
Kann mir jemand sagen an was das liegt bzw. wie ich FreeSwan konfigurieren muß das die Clients aus dem LAN noch ins Internet kommen und der Router von extern als VPN-Gateway nutzbar ist?
Gruß Pixel
hi habe das gleich problem wie du mit dem PLUTO wenn der nicht läuft kann keine verbindung aufgenommen werden. Es ist schon komisch ich habe zuerst den freeswan-2.03-x509 mit debian3.01 2.4.22 kompiliert dort zeigte mir ipsec verify pluto ok aber rsa (ipsec.secrets) faild, habe ständig versucht das hinzubekommen aber es ging nicht, erst als ich eingegeben habe:
ps -ef | grep pluto sollte folgendes ergeben
root 490 1 0 20:43 ? 00:00:00 /usr/local/lib/ipsec/pluto -deb
und bei mir sah das so aus
root 1091 1 0 18:24 tty1 00:00:00 /bin/sh
/usr/local/lib/ipsec/_plutorun --debug --uniqueids
es --nocrsend --strictcrlpolicy --crlcheckinterval
--dump --opts --stderrlog --wait no --pre --post --log
daemon.error --pid /var/run/pluto.pid
> root 1092 1 0 18:24 tty1 00:00:00 logger -s -p
daemon.error -t ipsec__plutorun
> root 1095 1091 0 18:24 tty1 00:00:00 /bin/sh
/usr/local/lib/ipsec/_plutorun --debug --uniqueids
es --nocrsend --strictcrlpolicy --crlcheckinterval
--dump --opts --stderrlog --wait no --pre --post --log
daemon.error --pid /var/run/pluto.pid
> root 1096 1091 0 18:24 tty1 00:00:00 /bin/sh
/usr/local/lib/ipsec/_plutoload --wait no --post
> root 1097 1095 0 18:24 tty1 00:00:00
/usr/local/libexec/ipsec/pluto --nofork --secretsfile
/etc/ipsec.secrets --policygroupsdir /etc/ipsec.d/policies --uniqueids
> root 1100 1097 0 18:24 tty1 00:00:00 _pluto_adns
> root 1209 267 0 18:35 tty1 00:00:00 grep pluto
Dann habe ich mich entschieden freeswan-1.99 zu nehmen und er erzeugte mit den rsa key und pluto ging auch bis ich die ipsec.conf auf meine wünsche geändert habe und er zeigt die gleich meldung wie bei dir :mad:
PLZ HELP ME, TOO
Ich installiere auch grad einen Freeswan-Gate auf Debian Woody und habe auch Probleme. Mache jetzt erstmal Mittag und poste dann nochmal. Zusammen bekommen wir das zu 100 % hin...
cane
So, hier bin ich wieder...
Ich finde um es uns einfacher zu machen sollten wir alle die gleiche Version von Freeswan benutzen...
Wenn jeder seine Schritte dokumentiert wäre der Fehler leichter zu finden und außerdem würde ich mich bereit erklären ein HowTo für den Linuxforenbereich zu schreiben. Darin würde dann eine gate to gate Installation über DynDNS (wie bei Pixel) und eine VPN to Client Installation über WLAN drin vorkommen.
Ich habe mir um komplett zu dokumentieren das Debian System neuinstalliert und zwar minimal um die nötigen Paete per apt-get nachzuinstallieren
Also was meint ihr?
Oder habt ihr keine Zeit / Lust dazu?
mfg
cane
Hi@all,
was soll ich noch posten, ich habe alle Schritte die ich durchgeführt habe unter:
http://www.linuxforen.de/forums/showthread.php?s=&threadid=98330
gepostet. So richtig helfen konnte mir jedoch niemand.
Gruß Pixel
Ja es ist zermürbend...
Ich bin mittlerweile der Meinung dass jede Version eine andere Macke bei ir zeigt...
Naja...
Wenns klappt poste ich die Komplettlösung:)
cane
Powered by vBulletin® Version 4.2.5 Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.