ip-sicherheit wird verhandelt, mehr kommt beim anpingen des ipsec-gateway nicht

[schrippe]

ich meine ich habe einen tunnel von windows nach linux aufgebaut und will jetzt das tunnelende auf linuxseite anpingen. das sollte ja nicht funktionieren. wenn ich jetzt das netz hinter dem gate anpingen will, kommt nur "ip-sicherheit wird verhandelt". die sollten sich doch nach ein paar pings geeinigt haben, oder?

ipsec.conf Linux


version 2

# basic configuration

config setup
interfaces="ipsec0=eth1" ##ist das ankommende interface
#interfaces=%defaultroute
klipsdebug=none
plutodebug=none
uniqueids=no

conn %default
keyingtries=1
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
compress=yes

conn roadwarrior
plutoload=%search
plutostart=%search
leftsubnet=192.168.121.0/255.255.255.0
right=%any
#left=%defaultroute
left=62.96.19.xxx
#rightid="/C=de/ST=nrw/L=duesseldorf/O=klaus/OU=unix/CN=gatekey/Email=w@w.de"
auto=start
leftcert=vpn-server.pem
rightcert=windows.pem
pfs=yes


Windows IPsec.conf

# basic configuration

conn roadwarrior
left=%any
right=62.96.19.156
rightsubnet=192.168.121.0/255.255.255.0
rightca="C=de, S=nrw, L=duesseldorf, O=klausine, OU=unix, CN=newca, Email=w@q.de"
network=auto
auto=start
pfs=yes



Wo Liegt denn der Fehler. WIe leite ich denn die anfragen vom äußeren (eth1) tunnelende ins innere lan (eth0) um?

danke euch schonma

[[WCM]Manx]

Hi!

Das mit "IP Sicherheit wird verhandelt" sollte sich mit dem zweiten Ping langsam legen.
Scheinbar ist FreeS/WAN momentan wieder sehr angesagt

Die erste Überprüfung am besten mit "ipsec barf |less" machen.
Am Ende des Files den Plutostart und das Laden der Zertifikate überprüfen.
Die Config schaut bei mir mal so aus (auf Dich umgelegt)
FreeS/WAN 2.02

/etc/ipsec.conf

Code:

config setup
        interfaces="ipsec0=eth1
        klipsdebug=none
        plutodebug=none

conn roadwarrior   ## man kann ja später eine %default machen
        left=DEINE EXT_IP
        leftnexthop=IP_des_nächsten_ROUTER # wenn vorhanden
        leftrsasigkey=%cert
        leftcert=vpn-server.pem
        leftid="C=DE, O=... usw" ## Subject des vpn-server.pem
        right=%any
        rightrsasigkey=%cert
        rightcert=windowsCert.pem
        rightid="C=DE, O=... usw"
        auto=add

# Keine OE

conn block
        auto=ignore
conn private
        auto=ignore
conn private-or-clear
        auto=ignore
conn clear-or-private
        auto=ignore
conn clear
        auto=ignore
conn packetdefault
        auto=ignore

Windows ipsec.conf

Code:

conn roadwarrior
        left=%any
        right=IP_des_VPN_Server
        rightca="C=DE... usw" ## Common Name der CA!!!
        network=lan
        auto=start
        pfs=yes

Manx

[schrippe]

dies ist das ende der ausgabe ipsec barf:


+ egrep -i 'ipsec|klips|pluto'
+ cat
Oct 10 09:40:20 vpn-server ipsec_setup: Starting FreeS/WAN IPsec 2.02...
Oct 10 09:40:20 vpn-server ipsec_setup: Using /lib/modules/2.4.22/kernel/net/ipsec/ipsec.o
Oct 10 09:40:20 vpn-server kernel: klips_info:ipsec_init: KLIPS startup, FreeS/WAN IPSec version: 2.02
Oct 10 09:40:20 vpn-server ipsec_setup: KLIPS debug `none'
Oct 10 09:40:20 vpn-server ipsec_setup: KLIPS ipsec0 on eth1 62.96.19.156/255.255.255.224 broadcast 62.96.19.159
Oct 10 09:40:21 vpn-server ipsec_setup: ...FreeS/WAN IPsec started
Oct 10 09:40:21 vpn-server ipsec__plutorun: ipsec_auto: fatal error in "roadwarrior": (/etc/ipsec.conf, line 25) unknown parameter name "plutoload"
Oct 10 09:40:21 vpn-server ipsec__plutorun: ...could not add conn "roadwarrior"
Oct 10 09:40:21 vpn-server ipsec__plutorun: 021 no connection named "roadwarrior"
Oct 10 09:40:21 vpn-server ipsec__plutorun: ...could not route conn "roadwarrior"

Oct 10 09:40:21 vpn-server ipsec__plutorun: 021 no connection named "roadwarrior"
Oct 10 09:40:21 vpn-server ipsec__plutorun: ...could not start conn "roadwarrior"
+ _________________________ plog
+ sed -n '2827,$p' /var/log/auth.log
+ egrep -i pluto
+ cat
Oct 10 09:40:21 vpn-server ipsec__plutorun: Starting Pluto subsystem...
Oct 10 09:40:21 vpn-server pluto[4208]: Starting Pluto (FreeS/WAN Version 2.02 X.509-1.4.6 PLUTO_USES_KEYRR)
Oct 10 09:40:21 vpn-server pluto[4208]: Changing to directory '/etc/ipsec.d/cacerts'
Oct 10 09:40:21 vpn-server pluto[4208]: loaded cacert file 'cacert.pem' (1533 bytes)
Oct 10 09:40:21 vpn-server pluto[4208]: Changing to directory '/etc/ipsec.d/crls'
Oct 10 09:40:21 vpn-server pluto[4208]: loaded crl file 'crl.pem' (658 bytes)
Oct 10 09:40:21 vpn-server pluto[4208]: listening for IKE messages
Oct 10 09:40:21 vpn-server pluto[4208]: adding interface ipsec0/eth1 62.96.19.156
Oct 10 09:40:21 vpn-server pluto[4208]: loading secrets from "/etc/ipsec.secrets"
Oct 10 09:40:21 vpn-server pluto[4208]: loaded private key file '/etc/ipsec.d/private/vpn-server.key' (1751 bytes)



komisch zuerst kann er pluto nicht starten und dann doch?

[[WCM]Manx]

.. versuch mal meine config bzw nimm das "plutoload" raus.

Im Logfile sollte schon stehen:
...
added connection description "roadwarrior"
...

Grüße

Manx

[schrippe]

das hat es gebracht. endlich mal ne KOMPETENTE antwort.

alles klappt jetzt.

[schrippe]

zu früh gefreut!!

wo kann ich sehen in welche richtung der tunnel aufgebaut ist? oder ist das egal.


der sinnd meines tunnels soll sein, daß ich mit einer gsm karte mich übers internet ins firmenlan "einwählen" kann.
dazu habe ich jetzt in beide config dateien das folgende eingetragen:

windows:
rightsubnet=192.168.121.0/255.255.255.0

linux: (vpn-gate)
leftsubnet=192.168.121.0/255.255.255.0

und schon gehts nicht mehr.

ich konnte vorher noch das gate anpingen (EXT_IP) dann wird kurz verhandelt und dann kommt ein response.
jetzt klappt das mit dem anpingen des gates noch, aber wenn ich jetzt eine ip hinter dem gate, also im leftsubnet anpinge kommt:

ip-sicherheit wird verhandelt und dann
zeitüberschreitung der anforderung usw.

was jetzt???

[[WCM]Manx]

Hi!

Nach dem das bei mir auch erstmal eine Testumgebung ist, kann ich's mit einem LAN hinter dem VPN-Gateway nicht testen (kommt erst )

Wieviele Interfaces/NICs hat das VPNGateway? - routing ist ein?
Welche IP im Firmenlan möchtest Du errreichen?
Hat das VPNGateway noch eine Funktion in der Firma (NAT Gateway o.ä)?

Grüße

Manx

PS: IMHO wartet der Gateway auf Verbindungen (auto=add), der Client initiiert den Aufbau (auto=start)

[schrippe]

das gate hat keine weitere funktion, ist nur erstmal zu testen aufgebaut.
es hat 2 nic's: 192.168.121.91 und 62.96.19.156

ich möchte das 192.168.121.0 netz erreichen. alle weiteren ip's dahinter.
ist es möglich ein weiteres netz einzubinden?

sollte ich da bei beiden auto=start eintragen?

[[WCM]Manx]

Original geschrieben von schrippe
sollte ich da bei beiden auto=start eintragen?

Nein, ich glaub "add" am Gateway und "start" am Client ist o.k
Ist Routing eingeschaltet?
cat /proc/sys/net/ipv4/ip_forward sollte 1 ergeben, wenn 0 =>
echo "1" > /proc/sys/net/ipv4/ip_forward

Manx

[schrippe]

ja steht schon drin.

[anubis01]

Vielleicht liegt es an deinem Certificate?

Hast du das Certificate "richtig" importiert, sprich "automatisch" hinzufuegen lassen? Das war das Prob das ich hatte, ich hatte es manuell hinzugefuegt...

Gruss,

Anubis

[schrippe]

ja ich habe es in xp importier und automatisch angeklickt.

mittlerweile habe ich zweit sections draus gemacht. eine nur zum gate und eine zum gate und dann weiter zum subnetz. so bekomme ich wenigstens den tunnel zum gate hin. nur das netz dahinter funzt nicht.

[[WCM]Manx]

Hi!

poste nochmal deine jetzigen Configs.
Ich hab die freeswan faqs eher überflogen, aber ich glaube, dass man bei einer Subnetdeklaration den Gateway NICHT mehr pingen kann, nur mehr das Netz dahinter.

Grüße

Manx

[schrippe]

windows ipsec.conf:


version 2

# basic configuration

config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
uniqueids=yes

conn %default
keyingtries=1
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
compress=yes

conn roadwarrior
right=%any
left=62.96.19.156
leftid="/C=de/ST=nrw/L=duesseldorf/O=wapme/OU=unix/CN=gatekey/Email=w@w.de"
rightid="/C=de/ST=windows/L=duesseldorf/O=wapme/OU=unix/CN=newcert/Email=q@ww.de"
auto=add
leftcert=vpn-server.pem
rightcert=windows.pem
pfs=yes

conn roadwarrior-net
leftnexthop=%defaultroute
rightnexthop=%defaultroute
rightsubnet=192.168.0.0/24
right=%any
left=62.96.19.156
leftid="/C=de/ST=nrw/L=duesseldorf/O=wapme/OU=unix/CN=gatekey/Email=w@w.de"
rightid="/C=de/ST=windows/L=duesseldorf/O=wapme/OU=unix/CN=newcert/Email=q@ww.de"
auto=add
leftcert=vpn-server.pem
rightcert=windows.pem
pfs=yes


/etc/ipsec.conf

# basic configuration^M
^M
^M
conn roadwarrior^M
keyingtries=0^M
left=%any^M
right=62.96.19.156^M
rightca="C=de,S=nrw,L=duesseldorf,O=wapme,OU=unix, CN=newca,Email=w@q.de"^M
network=auto^M
auto=start^M
pfs=yes^M
^M
conn roadwarrior-net^M
left=%any^M
leftnexthop=%defaultroute^M
right=62.96.19.156^M
rightsubnet=192.168.121.0/255.255.255.0^M
rightca="C=de,S=nrw,L=duesseldorf,O=wapme,OU=unix, CN=newca,Email=w@q.de"^M
network=auto^M
auto=start^M
pfs=yes

denk dir die ^M weg, die kommen von dem transport von win nach linux.

so wie oben bekomme ich den tunnel zum gate aufgebaut, aber ich kann nicht ins netz dahinter pingen. da kommt dann
ip-sicherheit wird verhandelt ....

hier noch die letzten zeilen von ipsec barf:

Oct 10 13:29:58 vpn-server pluto[12772]: "roadwarrior-net"[1] 62.96.19.157 #1: Peer ID is ID_DER_ASN1_DN: 'C=de, ST=windows, L=duesseldorf, O=wapme, OU=unix, CN=newcert, E=q@ww.de'
Oct 10 13:29:58 vpn-server pluto[12772]: "roadwarrior-net"[1] 62.96.19.157 #1: sent MR3, ISAKMP SA established
Oct 10 13:29:58 vpn-server pluto[12772]: "roadwarrior"[1] 62.96.19.157 #2: responding to Quick Mode
Oct 10 13:29:59 vpn-server pluto[12772]: "roadwarrior"[1] 62.96.19.157 #2: IPsec SA established
+ _________________________ date
+ date
Fri Oct 10 13:30:04 CEST 2003

[[WCM]Manx]

Hi!

auf die schnelle würd ich sagen fehlt am Gateway im "roadwarrior-net" eine "leftsubnet" Deklaration.

Manx