PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : noch immer FreeSwan unter Debian



pixel
01.09.03, 13:15
Hi@all,

das mit meinem VPN-Gateway unter Debian-3.0 scheint eine schwierige Geburt zu sein ... aber naja.

Nachdem das mit den selbstgebauten Kernels und dem compilieren von FreeSwan nicht geklappt hat habe ich zunächst wieder folgende Voraussetzungen geschaffen:

Orginal-Kernelsourcen (2.4.18) neu installiert und enpackt (zuvor .config gesichert)
Konfiguration des laufenden Kernels in die Kernelsourcen übertragen (make oldconfig)

Die beiden Pakete:

apt-get install kernel-patch-freeswan
apt-get install freeswan

installiert. So wie gehts jetzt weiter? Nach der Installation des Kernel-Patches finde ich unter:

/usr/src/kernel-patches/all/

kleiner Nachtrag:

In der Debian-FAQ habe ich folgenden Hinweis gefunden:

apt-get install kernel-patch-freeswan
cd /usr/src/kernel-source-<version>
make-kpkg clean
export PATCH_THE_KERNEL=YES
make-kpkg --added-patches=freeswan --revision=revision.1 kernel_image

Wenn ich jedoch ins Verzeichnis meiner Kernel-Sourcen wechsle und

make-kpkg clean

eingebe erhalte ich lediglich:

bash: make-kpkg: command not found
ein Verzeichnis Names 'freeswan' das wird wohl das Kernel-Patch sein. Darin befinden sich die Dateien/Verzeichnisse:

drwxr-xr-x 6 root root 4096 Sep 1 13:27 .
drwxr-xr-x 5 root root 4096 Sep 1 13:27 ..
-rw-r--r-- 1 root root 15257 Nov 30 2002 Makefile
-rw-r--r-- 1 root root 5419 Nov 30 2002 Makefile.inc
-rw-r--r-- 1 root root 137 Nov 30 2002 Makefile.ver
drwxr-xr-x 9 root root 4096 Sep 1 13:27 klips
drwxr-xr-x 2 root root 4096 Sep 1 13:27 lib
drwxr-xr-x 3 root root 4096 Sep 1 13:27 libdes
-rwxr-xr-x 1 root root 4138 Nov 30 2002 patcher
drwxr-xr-x 2 root root 4096 Sep 1 13:27 zlib

Wie muß ich nun vorgehen? um das Patch einzuspielen bzw FreeSwan einzurichten?

Nach der Installation von FreeSwan wurde die Konfiguration gestartet welche bereits durchlief.

Gruß Pixel

anubis01
06.09.03, 12:46
Hallo,

schau dir mal diese Howtos an:

- http://www.natecarlson.com/linux/ipsec-x509.php
- http://omnibus.uni-freiburg.de/~s8heschw/linuxecke/FreeswanHOWTO.htm *

Beide haben mir bei der Installation/Koniguration meines VPN-Servers sehr geholfen! Das zweite Howto (*) erklaert auch wie man FreeS/Wan mit dem x509 Patch patcht.

Gruss,

- Anubis

pixel
06.09.03, 20:15
Danke,

den 2. Link habe ich bereits im Internet gefunden. Die Installation von FreeSwan incl. x509 habe ich auch schon hinbekommen. Die CA und die Zertifikate habe ich erstellt und ins richtige Verzeichnis kopiert. Allerdings erhalte ih beim Start von FreeSwan folgende ausgabe im Syslog:

klips_info:ipsec_init: KLIPS startup, FreeS/WAN IPSec version: 2.01
ipsec_setup: KLIPS debug `none'
ipsec_setup: KLIPS ipsec0 on ppp0 80.131.186.245/255.255.255.255 pointopoint ipsec_setup: ...FreeS/WAN IPsec started
ipsec__plutorun: ipsec_auto: fatal error in "packetdefault": %defaultroute requested but not known
ipsec__plutorun: ipsec_auto: fatal error in "block": %defaultroute requested but not known
ipsec__plutorun: ipsec_auto: fatal error in "clear-or-private": %defaultroute requested but not known
ipsec__plutorun: ipsec_auto: fatal error in "clear": %defaultroute requested but not known
ipsec__plutorun: ipsec_auto: fatal error in "private-or-clear": %defaultroute requested but not known
ipsec__plutorun: ipsec_auto: fatal error in "private": %defaultroute requested but not known
ipsec__plutorun: 021 no connection named "packetdefault"
ipsec__plutorun: ...could not route conn "packetdefault"
ipsec__plutorun: 021 no connection named "block"
ipsec__plutorun: ...could not route conn "block"
ipsec__plutorun: 021 no connection named "clear-or-private"
ipsec__plutorun: ...could not route conn "clear-or-private"
ipsec__plutorun: 021 no connection named "clear"
ipsec__plutorun: ...could not route conn "clear"
ipsec__plutorun: 021 no connection named "private-or-clear"
ipsec__plutorun: ...could not route conn "private-or-clear"
ipsec__plutorun: 021 no connection named "private"
ipsec__plutorun: ...could not route conn "private"

Gruß Pixel

anubis01
07.09.03, 10:11
Ich denke da sind ein paar Sachen falsch in deiner ipsec.conf...

Poste diese doch bitte einmal und ausserdem, was sagt "ipsec barf"?

Gruss,

- Anubis

pixel
08.09.03, 14:30
Hi@all,

bevor ich mein config poste sollte ich noch ein paar Worte zu der von mirgewünschten Konfiguration loswerden. Ich habe an zwei Orten einen Debian-Router hinter welchen jeweils ein ganzes Netz liegt. Auf beiden Seiten ist DSL-Flat vorhanden (Telekom) was zu der bekannten 24-Stunden-Zwangstrennung führt.

Auf beiden Routern erfolgt bei der Einwahl die IP-Übergabe an dyndns, die natürlich für jedes der Netze unterschielich sind (netz1.dyndns.org & netz2.dyndns.org). An beiden Routern ist eth0 mit dem LAN verbunden und eth1 (ppp0) mit dem DSL-Modem. Freeswan habe ich in der Version 2.01 installiert. Auf beiden Routern ist der Kernel 2-4-22 (von Kernel.org + FreeSwan-Patch) installiert.

Hier die ipsec.con von Netz1:

version 2.0

# basic configuration
config setup
interfaces="ipsec0=ppp0"
klipsdebug=none
plutodebug=none

conn sws-dream
left=netz1.dyndns.org
leftsubnet=192.168.x.0/24 (anstatt x steht der benutze Bereich)
leftnexthop=%defaultroute
leftrsasigkey=%cert
leftcert=hostname.lokale_domain.pem
leftid=/C=DE/ST=Baden-W\xFCrttemberg/L=Mannheim/O=Softwareschmiede/CN=sphinx.komet.net/Email=gehr@kometmetall.de
right=%any
rightrsasigkey=%cert
auto=add

Bei der Option 'interface' habe ich ppp0 angegeben. Ist das richtig?

Was fehlt in dieser config noch bzw. was ist falsch?

Gruß Pixel

pixel
09.09.03, 12:26
Hi@all,

also ich konnte das Problem nun schon mal eingrenzen. Es waren eher zwei Probleme. Zum einen war IPSec im Kernel als Modul aktiviert. Wenn ich dann 'ipsec verify' aufgerufen habe bekam ich immer die Meldung KLIPS-Unterstützung wäre im Kernel nicht vorhanden. Nun habe ich es fest eingebunden, den Kernel neu übersetzt und installiert und der gleiche Aufruf führt nun zu einem [ok]. Hier der komplete output:

Checking your system to see if IPsec got installed and started correctly
Version check and ipsec on-path [OK]
Checking for KLIPS support in kernel [OK]
Checking for RSA private key (/etc/ipsec.secrets) [OK]
Checking that pluto is running whack: Pluto is not running (no "/var/run/pluto.ctl")
[FAILED]
DNS checks.
/usr/local/libexec/ipsec/verify: host: command not found
Looking for TXT in forward map: sphinx /usr/local/libexec/ipsec/verify:
host: command not found [MISSING]
Does the machine have at least one non-private address [OK]
Two or more interfaces found, checking IP forwarding [OK]
Checking NAT and MASQUERADING

Bei Start von Freeswan stand jedoch im syslog nochimmer die gleiche Fehlermeldung wie oben gepostet. Nun habe ich in /etc/ipsec.conf den Eintrag:

interfaces="ipsec0=ppp0"

auf:

interfaces=%defaultroute

geändert. Nun startet zwar Freeswan ohne eine Fehlermeldung, jedoch ist das ganze Netz dann offline d.h. die Clients hinter dem Router können keine Verbindung ins Internet mehr herstellen.

Kann mir jemand sagen an was das liegt bzw. wie ich FreeSwan konfigurieren muß das die Clients aus dem LAN noch ins Internet kommen und der Router von extern als VPN-Gateway nutzbar ist?

Gruß Pixel

PATE
12.11.03, 12:02
hi habe das gleich problem wie du mit dem PLUTO wenn der nicht läuft kann keine verbindung aufgenommen werden. Es ist schon komisch ich habe zuerst den freeswan-2.03-x509 mit debian3.01 2.4.22 kompiliert dort zeigte mir ipsec verify pluto ok aber rsa (ipsec.secrets) faild, habe ständig versucht das hinzubekommen aber es ging nicht, erst als ich eingegeben habe:
ps -ef | grep pluto sollte folgendes ergeben

root 490 1 0 20:43 ? 00:00:00 /usr/local/lib/ipsec/pluto -deb

und bei mir sah das so aus

root 1091 1 0 18:24 tty1 00:00:00 /bin/sh

/usr/local/lib/ipsec/_plutorun --debug --uniqueids
es --nocrsend --strictcrlpolicy --crlcheckinterval
--dump --opts --stderrlog --wait no --pre --post --log
daemon.error --pid /var/run/pluto.pid

> root 1092 1 0 18:24 tty1 00:00:00 logger -s -p

daemon.error -t ipsec__plutorun

> root 1095 1091 0 18:24 tty1 00:00:00 /bin/sh

/usr/local/lib/ipsec/_plutorun --debug --uniqueids
es --nocrsend --strictcrlpolicy --crlcheckinterval
--dump --opts --stderrlog --wait no --pre --post --log
daemon.error --pid /var/run/pluto.pid

> root 1096 1091 0 18:24 tty1 00:00:00 /bin/sh

/usr/local/lib/ipsec/_plutoload --wait no --post

> root 1097 1095 0 18:24 tty1 00:00:00

/usr/local/libexec/ipsec/pluto --nofork --secretsfile
/etc/ipsec.secrets --policygroupsdir /etc/ipsec.d/policies --uniqueids

> root 1100 1097 0 18:24 tty1 00:00:00 _pluto_adns
> root 1209 267 0 18:35 tty1 00:00:00 grep pluto

Dann habe ich mich entschieden freeswan-1.99 zu nehmen und er erzeugte mit den rsa key und pluto ging auch bis ich die ipsec.conf auf meine wünsche geändert habe und er zeigt die gleich meldung wie bei dir :mad:

PLZ HELP ME, TOO

cane
12.11.03, 12:31
Ich installiere auch grad einen Freeswan-Gate auf Debian Woody und habe auch Probleme. Mache jetzt erstmal Mittag und poste dann nochmal. Zusammen bekommen wir das zu 100 % hin...

cane

cane
12.11.03, 14:17
So, hier bin ich wieder...
Ich finde um es uns einfacher zu machen sollten wir alle die gleiche Version von Freeswan benutzen...
Wenn jeder seine Schritte dokumentiert wäre der Fehler leichter zu finden und außerdem würde ich mich bereit erklären ein HowTo für den Linuxforenbereich zu schreiben. Darin würde dann eine gate to gate Installation über DynDNS (wie bei Pixel) und eine VPN to Client Installation über WLAN drin vorkommen.

Ich habe mir um komplett zu dokumentieren das Debian System neuinstalliert und zwar minimal um die nötigen Paete per apt-get nachzuinstallieren

Also was meint ihr?
Oder habt ihr keine Zeit / Lust dazu?

mfg
cane

pixel
13.11.03, 12:19
Hi@all,

was soll ich noch posten, ich habe alle Schritte die ich durchgeführt habe unter:

http://www.linuxforen.de/forums/showthread.php?s=&threadid=98330

gepostet. So richtig helfen konnte mir jedoch niemand.

Gruß Pixel

cane
14.11.03, 08:39
Ja es ist zermürbend...
Ich bin mittlerweile der Meinung dass jede Version eine andere Macke bei ir zeigt...
Naja...

Wenns klappt poste ich die Komplettlösung:)

cane