[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
WG: [linux-support] Newbie sucht hilfe zu ipsec und freeswan
-----Ursprüngliche Nachricht-----
Von: Daemen Martin
Gesendet: Donnerstag, 8. August 2002 14:47
An: 'Markus Wernig'
Betreff: AW: [linux-support] Newbie sucht hilfe zu ipsec und freeswan
Hallo Markus, erst mal danke für die prompte antwort. Die aenderung im
syslog ist schon eine erherbliche erleichterung *G*
-----Ursprüngliche Nachricht-----
Von: Markus Wernig [markus at wernig.net]
Gesendet: Donnerstag, 8. August 2002 12:58
An: Daemen Martin
Cc: linux-support at lugbe.ch
Betreff: Re: [linux-support] Newbie sucht hilfe zu ipsec und freeswan
> Auf dem rechner mail habe ich den RootCA erstellt und mir ein Cert für
> mail und port ausgestellt. Die entsprechenden Dateien habe ich von
> mail nach port übertragen.
... und in /etc/ipsec.d/* gespeichert, in /etc/ipsec.secrets darauf
verwiesen? Hast Du Private key und Public key (=Zertifikat) ausgetauscht
sowie das CA-Zertifikat?
Diese 4 Dateien habe ich so auf den port rechner kopiert
Port...com.key /etc/ipsec.d/private
Port...com.pem /etc/ipsec.d
Mail...com.pem /etc/ipsec.d
crl.pem /etc/ipsec.d/crls
rootca.der /etc/ipsec.d/cacerts/RootCA.der
Aus der ipsec.secrets port (verbindungsaufbauende) :
# with "ipsec showhostkey".
: RSA port....key "xxxxxx"
. RSA mail....key "xxxx"
: RSA {
# RSA 2192 bits port Mon Aug 5 20:48:39 2002
Aus der ipsec.secrets mail :
# with "ipsec showhostkey".
: RSA mail....key "xxxx"
: RSA port....key "xxxx"
: RSA {
# RSA 2192 bits mail Tue Jul 30 10:45:27 2002
Anhand dieser informationen sollten sie sich doch beide kennen oder ??
>
> conn vpn
[...]
> auto=add
[...]
> Nach einen ipsec restart auf beiden maschinen ergibt ipsec eroute :
> Mail :0 192.168.100.0/24 -> 192.168.200.0/24 =>
> tun0x1002 at 212.xxx.xxx.xx7
> Port: 0 192.168.200.0/24 -> 192.168.100.0/24 =>
> tun0x1002 at 212.xx.xxx.xx8
>
> Was nach meinem empfinden auch richtig ist. Das einzige was mich
> stutzig macht, ist dieses tun0x1002 at ... Wo kommt das her. Ich hab
> nirgens diese namen vergeben ??
Das ist ein von freeswan intern verwendeter Name. Sieht immer so aus.
M.E. ist Dein Setup korrekt. So wie Du das beschreibst, musst Du auf dem
Host, der die Verbindung aufbauen soll, noch "ipsec auto --up vpn"
ausfuehren (gesetzt, "vpn" ist der Verbindungsname), sodann muss auf
beiden Hosts ip_forward auf 1 sein. Das Routing zwischen den beiden
Netzen hinter den Gateways muss funktionieren.
Forwarding ist ein
Ich hoffe die logs sind nicht zu riesig :
PORT (ipsec restart) :
Aug 8 14:14:33 port ipsec__plutorun: Starting Pluto subsystem...
Aug 8 14:14:33 port pluto[16616]: Starting Pluto (FreeS/WAN Version
1.98b)
Aug 8 14:14:33 port pluto[16616]: including X.509 patch (Version
0.9.14)
Aug 8 14:14:33 port pluto[16616]: Changing to directory
'/etc/ipsec.d/cacerts'
Aug 8 14:14:33 port pluto[16616]: loaded cacert file 'RootCA.der'
(1176 bytes)
Aug 8 14:14:33 port pluto[16616]: Changing to directory
'/etc/ipsec.d/crls'
Aug 8 14:14:33 port pluto[16616]: loaded crl file 'crl.pem' (694
bytes)
Aug 8 14:14:33 port pluto[16616]: loaded my default X.509 cert file
'/etc/x509cert.der' (1219 bytes)
Aug 8 14:14:33 port pluto[16616]: loaded host cert file
'/etc/ipsec.d/gw.bergertest.de.pem' (5049 bytes)
Aug 8 14:14:33 port pluto[16616]: loaded host cert file
'/etc/ipsec.d/port.bergertest.de.pem' (5047 bytes)
Aug 8 14:14:33 port pluto[16616]: added connection description "vpn"
Aug 8 14:14:34 port pluto[16616]: listening for IKE messages
Aug 8 14:14:34 port pluto[16616]: adding interface ipsec0/eth1
212.xxx.xxx.xx7
Aug 8 14:14:34 port pluto[16616]: loading secrets from
"/etc/ipsec.secrets"
Aug 8 14:14:34 port pluto[16616]: loaded private key file
'/etc/ipsec.d/private/port.bergertest.de.key' (1751 bytes)
Aug 8 14:14:34 port pluto[16616]: loaded private key file
'/etc/ipsec.d/private/gw.bergertest.de.key' (1743 bytes)
Aug 8 14:14:34 port pluto[16616]: "vpn" #1: initiating Main Mode
Aug 8 14:14:34 port pluto[16616]: "vpn" #1: multiple ipsec.secrets
entries with distinct secrets match endpoints: first secret
Aug 8 14:14:34 port pluto[16616]: "vpn" #1: Peer ID is ID_DER_ASN1_DN:
'C=DE, ST=Deutschland, L=Solingen, O=Bergertest, CN=ber
Aug 8 14:14:34 port pluto[16616]: "vpn" #1: ISAKMP SA established
Aug 8 14:14:34 port pluto[16616]: "vpn" #2: initiating Quick Mode
RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS
Aug 8 14:14:34 port pluto[16616]: "vpn" #2: sent QI2, IPsec SA
established
Aug 8 14:16:20 port pluto[16616]: "vpn" #3: initiating Quick Mode
RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS
Aug 8 14:16:20 port pluto[16616]: "vpn" #3: sent QI2, IPsec SA
established
Ipsec look auf port:
port Thu Aug 8 14:26:18 CEST 2002
192.168.200.0/24 -> 192.168.100.0/24 => tun0x1006 at 212.xx.xx.8
comp0x5667 at 212.xxxx.8 esp0xd5fbe7f5 at 212.xxxx.8 (0
ipsec0->eth1 mtu=16260(1500)->1500
comp0x5665 at 212.xx.xx.xx8 COMP_DEFLATE: dir=out src=212.xx.xx.xx7
life(c,s,h)=addtime(705,0,0)
comp0x5666 at 212.xx.xx.xx8 COMP_DEFLATE: dir=out src=212.xx.xx.xx7
life(c,s,h)=addtime(599,0,0)
comp0x5667 at 212.xx.xx.xx8 COMP_DEFLATE: dir=out src=212.xx.xx.xx7
life(c,s,h)=addtime(466,0,0)
comp0xe875 at 212.xx.xx.xx7 COMP_DEFLATE: dir=in
src=212.xx.xx.xxlife(c,s,h)=addtime(705,0,0)
comp0xe876 at 212.xx.xx.xx7 COMP_DEFLATE: dir=in src=212.xx.xx.xx8
life(c,s,h)=addtime(599,0,0)
comp0xe877 at 212.xx.xx.xx7 COMP_DEFLATE: dir=in src=212.xx.xx.xx8
life(c,s,h)=addtime(466,0,0)
esp0xd5fbe7f3 at 212.xx.xx.xx8 ESP_3DES_HMAC_MD5: dir=out src=212.xx.xx.xx7
iv_bits=64bits iv=0x6b09986061a0bb75 ooowin=64 alen=
esp0xd5fbe7f4 at 212.xx.xx.xx8 ESP_3DES_HMAC_MD5: dir=out src=212.xx.xx.xx7
iv_bits=64bits iv=0xafc5b02234264af5 ooowin=64 alen=
esp0xd5fbe7f5 at 212.xx.xx.xx8 ESP_3DES_HMAC_MD5: dir=out src=212.xx.xx.xx7
iv_bits=64bits iv=0x34b8aaca40e2152c ooowin=64 alen=
esp0xf554d212 at 212.xx.xx.xx7 ESP_3DES_HMAC_MD5: dir=in src=212.xx.xx.xx8
iv_bits=64bits iv=0x1bc2810bbdceb1f9 ooowin=64 alen=
esp0xf554d213 at 212.xx.xx.xx7 ESP_3DES_HMAC_MD5: dir=in src=212.xx.xx.xx8
iv_bits=64bits iv=0x146f00d6d214d898 ooowin=64 alen=
esp0xf554d214 at 212.xx.xx.xx7 ESP_3DES_HMAC_MD5: dir=in src=212.xx.xx.xx8
iv_bits=64bits iv=0xbd59cef9571dbfa3 ooowin=64 alen=
tun0x1001 at 212.xx.xx.xx7 IPIP: dir=in src=212.xx.xx.xx8
policy=192.168.100.0/24->192.168.200.0/24 flags=0x8<> life(c,s,h)=add
tun0x1002 at 212.xx.xx.xx8 IPIP: dir=out src=212.xx.xx.xx7
life(c,s,h)=addtime(705,0,0)
tun0x1003 at 212.xx.xx.xx7 IPIP: dir=in src=212.xx.xx.xx8
policy=192.168.100.0/24->192.168.200.0/24 flags=0x8<> life(c,s,h)=add
tun0x1004 at 212.xx.xx.xx8 IPIP: dir=out src=212.xx.xx.xx7
life(c,s,h)=addtime(599,0,0)
tun0x1005 at 212.xx.xx.xx7 IPIP: dir=in src=212.xx.xx.xx8
policy=192.168.100.0/24->192.168.200.0/24 flags=0x8<> life(c,s,h)=add
tun0x1006 at 212.xx.xx.xx8 IPIP: dir=out src=212.xx.xx.xx7
life(c,s,h)=addtime(466,0,0)
Destination Gateway Genmask Flags MSS Window irtt
Iface
0.0.0.0 212.xxx.xxx.193 0.0.0.0 UG 40 0
0 eth1
192.168.100.0 212.xxx.xxx.198 255.255.255.0 UG 40 0
0 ipsec0
212.xxx.xxx.192 0.0.0.0 255.255.255.248 U 40 0
0 eth1
212.xxx.xxx.192 0.0.0.0 255.255.255.248 U 40 0
0 eth1
212.xxx.xxx.192 0.0.0.0 255.255.255.248 U 40 0
0 ipsec0
Ipsec auto --up vpn auf port:
port.berger.de:/etc/ipsec.d # ipsec auto --up vpn
112 "vpn" #4: STATE_QUICK_I1: initiate
004 "vpn" #4: STATE_QUICK_I2: sent QI2, IPsec SA established
Doch kein ping auf 192.168.100.1 funktioniert. Es kommt auch kein
"Destination unreachable", sondern der ping bleibt einfach stehen :-(
Ipsec restart auf mail :
Aug 8 14:32:07 mail ipsec__plutorun: Starting Pluto subsystem...
Aug 8 14:32:07 mail pluto[18752]: Starting Pluto (FreeS/WAN Version
1.98b)
Aug 8 14:32:07 mail pluto[18752]: including X.509 patch (Version
0.9.14)
Aug 8 14:32:07 mail pluto[18752]: Changing to directory
'/etc/ipsec.d/cacerts'
Aug 8 14:32:07 mail pluto[18752]: loaded cacert file 'RootCA.der'
(1176 bytes)
Aug 8 14:32:07 mail pluto[18752]: Changing to directory
'/etc/ipsec.d/crls'
Aug 8 14:32:07 mail pluto[18752]: loaded crl file 'crl.pem' (694
bytes)
Aug 8 14:32:07 mail pluto[18752]: loaded my default X.509 cert file
'/etc/x509cert.der' (1221 bytes)
Aug 8 14:32:07 mail pluto[18752]: loaded host cert file
'/etc/ipsec.d/gw.bergertest.de.pem' (5049 bytes)
Aug 8 14:32:07 mail pluto[18752]: loaded host cert file
'/etc/ipsec.d/port.bergertest.de.pem' (5047 bytes)
Aug 8 14:32:07 mail pluto[18752]: added connection description "vpn"
Aug 8 14:32:07 mail pluto[18752]: listening for IKE messages
Aug 8 14:32:07 mail pluto[18752]: adding interface ipsec0/eth1
212.xxx.xxx.xx8
Aug 8 14:32:07 mail pluto[18752]: loading secrets from
"/etc/ipsec.secrets"
Aug 8 14:32:07 mail pluto[18752]: loaded private key file
'/etc/ipsec.d/private/mail.bergertest.de.key' (1743 bytes)
Aug 8 14:32:07 mail pluto[18752]: loaded private key file
'/etc/ipsec.d/private/port.bergertest.de.key' (1751 bytes)
Aug 8 14:34:05 mail pluto[18752]: packet from 212.xx.xxx.xx7:500: Quick
Mode message is for a non-existent (expired?) ISAKMP SA
Aug 8 14:35:15 mail last message repeated 3 times
mail.xxxx.de:/etc/ipsec.d # ipsec auto --status
000 interface ipsec0/eth1 212.xxx.xxx.8
000
000 "vpn": 192.168.100.0/24===212.xxx.xxx.198[C=DE, ST=Deutschland,
L=Solingen, O=Bergertest, CN=bergertestGW,
E=daemen.martin at bergersysteme.com]...212.xxx.xxx.197[C=DE,
ST=Deutschland, L=Solingen, O=Bergertest, CN=bergerPORT,
E=daemen.martin at bergersysteme.com]===192.168.200.0/24
000 "vpn": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s;
rekey_fuzz: 100%; keyingtries: 0
000 "vpn": policy: RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS; interface:
eth1; unrouted
000 "vpn": newest ISAKMP SA: #0; newest IPsec SA: #0; eroute owner: #0
000
000
mail.xxxxxx.de:/etc/ipsec.d # ipsec look
mail Thu Aug 8 14:40:59 CEST 2002
ipsec0->eth1 mtu=16260(1500)->1500
Destination Gateway Genmask Flags MSS Window irtt
Iface
0.0.0.0 212.xxx.xxx.193 0.0.0.0 UG 40 0
0 eth1
212.xxx.xxx.192 0.0.0.0 255.255.255.248 U 40 0
0 eth1
212.xxx.xxx.192 0.0.0.0 255.255.255.248 U 40 0
0 ipsec0
Ich hoffe du gehst jetzt nicht in den logs unter;