Ipsec und funzt nisch

[Coffi]

s-csm-04:/usr/share/ssl/misc # tail -f /var/log/warn
Jul 21 12:00:38 s-csm-04 pluto[6281]: Changing to directory '/etc/ipsec.d/cacerts'
Jul 21 12:00:38 s-csm-04 pluto[6281]: loaded cacert file 'RootCA.der' (1017 bytes)
Jul 21 12:00:38 s-csm-04 pluto[6281]: Changing to directory '/etc/ipsec.d/crls'
Jul 21 12:00:38 s-csm-04 pluto[6281]: loaded crl file 'crl.pem' (625 bytes)
Jul 21 12:00:38 s-csm-04 pluto[6281]: loaded my default X.509 cert file '/etc/x509cert.der' (1064 bytes)
Jul 21 12:00:39 s-csm-04 pluto[6281]: added connection description "client-int"
Jul 21 12:00:39 s-csm-04 pluto[6281]: added connection description "client-ext"
Jul 21 12:00:39 s-csm-04 pluto[6281]: listening for IKE messages
Jul 21 12:00:39 s-csm-04 pluto[6281]: adding interface ipsec0/eth1 192.168.0.97
Jul 21 12:00:39 s-csm-04 pluto[6281]: loading secrets from "/etc/ipsec.secrets"
Jul 21 12:01:53 s-csm-04 pluto[6281]: packet from 192.168.0.14:500: ignoring Vendor ID payload
Jul 21 12:01:53 s-csm-04 pluto[6281]: "client-int"[1] 192.168.0.14 #1: responding to Main Mode from unknown peer 192.168.0.14
Jul 21 12:01:53 s-csm-04 pluto[6281]: "client-int"[1] 192.168.0.14 #1: encrypted Informational Exchange message is invalid because it is for incomplete ISAKMP SA
Jul 21 12:03:03 s-csm-04 pluto[6281]: "client-int"[1] 192.168.0.14 #1: max number of retransmissions (2) reached STATE_MAIN_R2
Jul 21 12:03:03 s-csm-04 pluto[6281]: "client-int"[1] 192.168.0.14: deleting connection "client-int" instance with peer 192.168.0.14
Jul 21 12:03:23 s-csm-04 pluto[6281]: packet from 192.168.0.14:500: Informational Exchange is for an unknown (expired?) SA

Was könnt ihr mir dazu sagen? Woran kann mein fehler liegen?

[Coffi]

Hat irgendjehmand ein funzendes VPN?

[CUbE]

Wichtig: Benutze immer die Managementkonsole um die Zertifikate zu importieren.
Ein einfaches Doppelklicken auf die Zertifikate funktioniert nicht richtig!!!!!

Nachdem Du die Zertifikate importiert hast, erhältst Du das DSN (Name /C=_ /ST=_ /O=_ .) in der Managementkonsole
für die ROOT CA. Diese Identifikation benötigst Du für Deine W2k ipsec.conf, sie ist anders als bei Linux bei der Erstellung angezeigt wird.

[Coffi]

Woran liegt den jetzt genau der fehler?
Sind es jetzt die Zertifikate, die das mit inkompleate ISAKMP SA machen?
Was genau besagt den meine fehlermeldung?

[CUbE]

ja, soweit ich es weiss sind das die Zertifikate.
Überprüfe mal was bei dir in der .conf unter rightca=
und ob das gleiche bei dem ROOT CA in der Managementkonsole steht.

[Coffi]

Kannst du denn jetzt direkt aus dem LAN das VPN-Gateway anpingen?

[DarkObserver]

Hi

Für mich sieht das nicht wie ein Certificate Problem aus, in solchen Fällen lauten die Fehlermeldungen gewöhnlich anders. Sieht mehr wie ein Problem in der ersten Verhandlungsphase für ISAKMP aus. Deutet evtl. auf eine Diskrepanz in den von Client und Server benutzten Protokoll-Parametern hin. Diagnose schwierig...

Gruß
D. O.

[Coffi]

aber was ist denn jetzt dieses ISAKMP genau?
Mit google finde ich nichts passendes, als das ich damit arbeiten könnte um meinen fehler zu identifizieren.

[Coffi]

und was hate es genau mit dieser meldung auf sich? Wenn man die in google eingibt findet man viele fragen doch keine antworten:

ignoring Vendor ID payload

Irgend eine Idee?

[DarkObserver]

Oje, ich kann Dir jetzt nicht die ganzen Abläufe der Protokollverhandlungen erläutern, aber guck doch mal hier:

http://www.freeswan.org/freeswan_tre...l#ipsec.detail

Bei Deinem Problem helfen wird das erstmal nicht, nur den Horizont erweitern ;-)
Ansonsten könntest Du einen alternativen VPN-Client wie SSH-Sentinel ausprobieren.

[Coffi]

Horizont erweitern,
Das ist ja auch nicht schlecht!
Aber vieleicht kann mir ja in der zeit einer doch etwas zum Problem sagen?

[Coffi]

Ist doch mit bei meinem Problem:

Phase one IKE (main mode exchange)
sets up a keying channel (ISAKMP SA) between the two gateways


Ich habe gar keine zwei gateways, wenn der Client mit dem Marcus Müller- tool nicht auch als ein solcher bezeichnet wird.

Mein aufbau soll ja so aussehen:

XP-Client------Internet------VPN-Gateway=>LAN

oder werden die MMClients auch als gateway bezeichnet?