Zur Info, damit alle was davon haben. Bei Martin klappt's jetzt.
-----Forwarded Message-----
From: Markus Wernig <markus at wernig.net>
To: Daemen Martin <daemen.martin at bergersysteme.com>
Subject: Re: AW: [linux-support] Newbie sucht hilfe zu ipsec und freeswan
Date: 08 Aug 2002 15:11:07 +0200
On Thu, 2002-08-08 at 14:47, Daemen Martin wrote:
> Aus der ipsec.secrets port (verbindungsaufbauende) :
> # with "ipsec showhostkey".
> : RSA port....key "xxxxxx"
Die obige Zeile braucht er nicht, sollte raus (wuerde bedeuten: "Wenn du
dich bei port authentisieren willst, verwende folgenden key"
> . RSA mail....key "xxxx"
Obige Zeile sollte mit Doppelpunkt anfangen. Warum gibst Du ihm nicht
direkt den Filenamen an? : RSA mail "/path/to/private/key" "passphrase"
> : RSA {
> # RSA 2192 bits port Mon Aug 5 20:48:39 2002
Brauchst Du zusaetzlich noch einen Private key? Obiger Eintrag
konfiguriert einen zweiten PrivKey als Default.
>
> Aus der ipsec.secrets mail :
> # with "ipsec showhostkey".
> : RSA mail....key "xxxx"
obiges ist ueberfluessig
> : RSA port....key "xxxx"
s.o.
>
> : RSA {
> # RSA 2192 bits mail Tue Jul 30 10:45:27 2002
s.o.
>
> Anhand dieser informationen sollten sie sich doch beide kennen oder ??
mehr als nur
>
> Forwarding ist ein
gut
>
[...]
> Aug 8 14:14:33 port pluto[16616]: loaded my default X.509 cert file
> '/etc/x509cert.der' (1219 bytes)
/etc/x509.der wird als default Zertifikat verwendet, wenn sonst keines
gefunden wird. Hast Du andere, die Du verwenden willst, lass das File
weg.
> Aug 8 14:14:33 port pluto[16616]: loaded host cert file
> '/etc/ipsec.d/gw.bergertest.de.pem' (5049 bytes)
> Aug 8 14:14:33 port pluto[16616]: loaded host cert file
> '/etc/ipsec.d/port.bergertest.de.pem' (5047 bytes)
freeswan laedt automatisch alle Zertifikate, die es in /etc/ipsec.d
findet.
[...]
> Aug 8 14:14:34 port pluto[16616]: "vpn" #1: multiple ipsec.secrets
> entries with distinct secrets match endpoints: first secret
Aha! Wie oben gesagt, hast Du mehrere Private keys.
> Aug 8 14:14:34 port pluto[16616]: "vpn" #1: Peer ID is ID_DER_ASN1_DN:
> 'C=DE, ST=Deutschland, L=Solingen, O=Bergertest, CN=ber
> Aug 8 14:14:34 port pluto[16616]: "vpn" #1: ISAKMP SA established
> Aug 8 14:14:34 port pluto[16616]: "vpn" #2: initiating Quick Mode
> RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS
> Aug 8 14:14:34 port pluto[16616]: "vpn" #2: sent QI2, IPsec SA
> established
> Aug 8 14:16:20 port pluto[16616]: "vpn" #3: initiating Quick Mode
> RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS
> Aug 8 14:16:20 port pluto[16616]: "vpn" #3: sent QI2, IPsec SA
> established
Was willst Du denn, der Tunnel steht ja wunderbar!
> Ipsec auto --up vpn auf port:
>
> port.berger.de:/etc/ipsec.d # ipsec auto --up vpn
> 112 "vpn" #4: STATE_QUICK_I1: initiate
> 004 "vpn" #4: STATE_QUICK_I2: sent QI2, IPsec SA established
passt doch!
>
> Doch kein ping auf 192.168.100.1 funktioniert. Es kommt auch kein
> "Destination unreachable", sondern der ping bleibt einfach stehen :-(
Vom Gateway aus geht das auch nicht. Du musst wirklich von 192.168.200.x
nach 192.168.100.x Pakete schicken, damit die verschluesselt werden. Die
Gateways selber sind explizit nicht Teil der Encryption Domain.
Was wo durchgeht, zeigt dir tcpdump -i [eth1|ipsec0] auf port.
Vorschlag:
/etc/init.d/ipsec stop auf beiden
Meine Aenderungen einbauen.
/etc/init.d/ipsec start auf beiden
ipsec auto --up vpn auf port
Tunnel testen von 192.168.200.x nach 192.168.100.x
[...]
This is a digitally signed message part