hallo

ich muss zuerst sagen, das ist mein erster versuch eine vpn-verbindung aufzubauen. ( sorry wenn ich falsche begriffe verwende! )

mein system:
suse 8.1 als vpn-gateway
win2k bzw. winXP als client ( roadwarrior )

zum testen will ich eine vpn-verbing im internen netz aufbauen.

ich habe unter suse freeswan installiert und gestartet.

unter windows habe ich ipseccmd ( winXP ) bzw. ipsecpol ( win2k ) installiert.

wenn ich unter win den tunnel starte und eine verbindung aufbaue kommt folgede fehlermeldung:
windos: ping testrechner
IP-Sicherheit wird verhandelt ( auch beim 2., 3. ... Versuch )

in den log-dateien steht folgendes:
Sep 12 11:49:07 linux pluto[7300]: packet from 192.168.16.62:500: ignoring Vendor ID payload
Sep 12 11:49:07 linux pluto[7300]: packet from 192.168.16.62:500: initial Main Mode message received on 192.168.16.234:500 but no connection has been authorized


ich habe auf dem forum nach dem fehler gesucht, doch leider ohne erfolg .....


meine conf-dateien:
suse:
config setup
interfaces="ipsec0=eth0"
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes

conn %default
keyingtries=1
compress=yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert


conn roadwarrior
right=%any
left=192.168.16.62
leftcert=gatecert.pem
rightid="C=DE, ST=, L=weingarten, O=Internet Widgits Pty Ltd, CN=alpha, Email=test@test.de"
auto=add
pfs=yes

windows:
conn roadwarrior
left=%any
right=192.168.16.234
rightsubnet=192.168.16.0/24
rightca="C=DE, S=BW, L=weingarten, O=Internet Widgits Pty Ltd,CN=alpha , EMAIL=test@test.de"
network=lan
authmode=sha
auto=start
pfs=yes


DANKE für jeden TIP!!

Gruss Steffi

Ueberpruefe mal, ob dein Zertifikat unter Windows richtig installiert ist!

Gruss,

Anubis

Hallo

danke für deine Antwort.
bitte kann ich überprüfen, ob der schlüssel richtig installiert worden ist?

DANKE

Wir haben das Thema auch grad durchgeackert ;)

Also... Wenn du die eigenwchanften der Schlüssel anschauen willst, kannst du das in der mmc ( Start/Ausführen/mmc - dann nen bissel in dne Zertifikaten wühlen .. wichtig sind Eigene Zertifikate und Vertrauenswürdige Zertifikate)

Wenn du die Zertifikate importierst, achte darauf, das sie automatisch an dne richtigen Ort geschoben werden ( kann man beim importierne auswählen ) Dann sollte das Zertifikat der CA unter Vertrauenswürdige Zertifikate liegen, und das andere unter Eigene Zertifikate. Sind die Zertifikate am richtigen Ort, kannst du unter dne Eigenschaften die Werte Kontrollieren.

Das ist ansich aber relativ einfach. Schwieriger war für uns die richtige Konfiguration von IPSec selber. Wir haben dabei folgende Erfahrungen gemacht ( wir haben 2 Wochen damit rumgetestet ):

- ob auf dem einen rechner links und auf dme anderne rechner rechts bzw auf beiden gleich ist egal ( war bei uns so )

- beide Config müssen gleich sein !! Das heisst alles was du in der einen drin hast mus in der anderne auch drin sein, aber halt mit den jeweils passenden werten
( das heisst insbesondere, das wenn du auf der einen seite nen subnet drin hast das auf der anderne seite auch da sein muss )

- die Zertifikatsdaten die du unter Windows in den Roadwarrior angibst müssen die Daten für die Root CA sein ( rightca )

- Auf dem Gateway werden die Daten des Gateway Zertifikats unter der leftid eingegeben


Wie gesagt, das sind alles die Erfahrungen die wir beim experimentierne gesammelt haben - muss net alles richtig sein, wenn jemand nen Fehler findet, her damit - dann können wir unsere Config verbessern ;)

gruss Andre


was ich noch vergessen hab .. änder mal die rightid unter linux in der ipsec.conf auf leftid

@muell200

wie haste denn die zertifikate genau installiert?

ich habe freeswan 2.02 installiert und neu gestartet (debian 2.4.21)

dann (laut linux--magazin) soll man
/usr/share/ssl/misc/CA -newca ausführen > es geht zertifikat wird erstellt
dann
/usr/share/ssl/misc/CA -newreq > funzt auch
dann
/usr/share/ssl/misc/CA -sign > funzt auch noch

dann soll man die dateien nach /etc/ipsec.d/cacerts & ipsec.d/private & ipsec.d/certs kopieren. sollen die dateien nacher in den genannten verzeichnissen oder mit den genannten namen in ipsec.d sein?

und zu guter letzt soll in der datei /etc/ipsec.secrets folgendes drinnstehen: :RSA vpngateway_key.pem "Passphase"

steht da aber nicht: steht nur :RSA und dann der schlüssel!

was mache ich falsch?

thanks

Schau dir diese Howtos mal an, da wird es genau erklaert:

http://omnibus.uni-freiburg.de/~s8heschw/linuxecke/FreeswanHOWTO.htm
http://vpn.ebootis.de/cert.htm [kann ich empfehlen]

Gruss,

Anubis

@Dellerium

wie meinst du das mit dem importieren von den ZWEI certifikaten. ich erstelle doch nur eines und wandele es unter linux in ein windows-lesbares format pkcs12 um, oder?

thanks

Wir haben als wir das bei uns implementiert haben 3 Zertifikate erstellt:

einmal die Root CA - mit der Zertifizierst du ja die eigentlichen Zertifikate

Dann eins für das Gateway, und eines für den RoadWarrior.
In die IPSec Conf unter Windows haben wir die Werte der RootCA eingetragen, und in der Conn Section uf dem Gateway haben wir die Werte für das Gateway Zertifikat eingetragen. Dann haben wir das RoadWarrior Zertifikat in die Windows Form umgewandelt ( *.p12 ) und unter Windows importiert. Die Pem Files für den roadwarrior, gateway etc haben wir an die passenden Verzeichnisse auf dme Gateway verschoben...

Wenn ich dir ne gute Seite empfehlen darf ( Ich bin an dne andenre auch ständig verzweifelt :)

http://www.natecarlson.com/linux/ipsec-x509.php

gruss Andre