ich hätte da mal ein kleines Problem mit einem FreeS/Wan-Server und einem Win-XP-Clienten.
Und komme einfach nicht wirklich weiter.
Eigentlich wollte ich nur mein WLAN sicherer machen udn es mit Zertifikaten verschlüsseln.
Ich habe folge Testumgebung im LAN:
Einen Debian Woody FreeS/Wan-2.04 Server, mit gepatchtem 2.4.26 Kernel.
-> IP 192.168.23.254
-> Subnetmask 255.255.255.0
Und einen WIN-XP Clienten mit dem Tool von http://vpn.ebootis.de/
-> IP 192.168.23.5
-> Subnetmask 255.255.255.0
Ich wollte Testweise nur für diese Verbindung einen VPN-Tunnel bauen um im Erfolgsfall jeglichen
Datentransfer der Wireless-Funker zu verschlüsseln.
Tja also habe ich den Kernel gepatched mit Freeswan, Zertifikate erstellt
->RootCA = rootcert
->eines für Debian (Server) = lxcert
->und eines für den WinXp = bagnbcert
die ipsec.secrets Datei angepassed und schlussendlich die ipsec.conf editiert -> siehe Anhang.
Soweit so gut! "ipsec barf" bringt beim starten von ipsec auch keine Fehler. Das Zertifikat ist auch auf Windows übertragen.
Wenn ich nun aber von WinXP einen Tunnel starten möchte, d.h. das VPN mit dem Tool von Marcus Müller an mache
und den Server (192.168.23.254) anpinge. Kommt auf Windows Seite IP-sicherheit wird verhandelt, eigentlich sollte
dies ja weggehen nach einer Weile tut es aber nicht.
Ein NetworkSniffer zeigt regen Verkehr mit ISAKMP Protokollen.
Auf der Linux Seite gibt ipsec abrf nun folgendes aus:
Code: Alles auswählen
packet from 192.168.23.5:500: received Vendor ID Payload; ASCII hash:
\036+Qi\005\031\034}|\026|?5\007da
"wlan" #1: responding to Main Mode
"wlan" #1: Peer ID is ID_DER_ASN1_DN: 'C=DE, ST=Berlin, L=Berlin, O=GNET,
CN=bagnbcert, E=bagnb@lx.org'
"wlan" #1: sent MR3, ISAKMP SA established
"wlan" #1: cannot respond to IPsec SA request because no connection is known for
192.168.23.254[C=DE, ST=Berlin, L=Berlin, O=GNET, CN=lxcert, E=lx@lx.org]...
192.168.23.5[C=DE, ST=Berlin, L=Berlin, O=GNET, CN=bagnbcert, E=bagnb@lx.org]
"wlan" #1: no Phase1 state for Quick mode notification
"wlan" #1: Quick Mode I1 message is unacceptable because it uses a previously used
Message ID 0x60aeca84 (perhaps this is a duplicated packet)
"wlan" #1: sending encrypted notification INVALID_MESSAGE_ID to 192.168.23.5:500
Und ipsec auto status zeigt folgendes:
Code: Alles auswählen
interface ipsec0/eth0 192.168.23.254
%myid = (none)
debug none
"wlan": 255.255.255.0/24===192.168.23.254[C=DE, ST=Berlin, L=Berlin, O=GNET, CN=lxcert, E=lx@lx.org]...192.168.23.5[C=DE, ST=Berlin, L=Berlin, O=GNET, CN=bagnbcert, E=bagnb@lx.org]===255.255.255.0/24; unrouted; eroute owner: #0
"wlan": CAs: 'C=DE, ST=Berlin, L=Berlin, O=GNET, CN=rootcert, E=root@lx.org'...'C=DE, ST=Berlin, L=Berlin, O=GNET, CN=rootcert, E=root@lx.org'
"wlan": ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 1
"wlan": policy: RSASIG+ENCRYPT+COMPRESS+TUNNEL+PFS; prio: 24,24; interface: eth0;
"wlan": newest ISAKMP SA: #1; newest IPsec SA: #0;
"wlan": IKE algorithms wanted: 5_000-1-5, 5_000-2-5, 5_000-1-2, 5_000-2-2, flags=-strict
"wlan": IKE algorithms found: 5_192-1_128-5, 5_192-2_160-5, 5_192-1_128-2, 5_192-2_160-2,
"wlan": IKE algorithm newest: 3DES_CBC_192-SHA-MODP1024
"wlan": ESP algorithms wanted: 3_000-1, 3_000-2, flags=-strict
"wlan": ESP algorithms loaded: 3_168-1_128, 3_168-2_160,
#1: "wlan" STATE_MAIN_R3 (sent MR3, ISAKMP SA established); EVENT_SA_REPLACE in 3196s; newest ISAKMP
Danke im vorraus für eure Mühe! THX
Anhang:
ipsec.conf -> auf dem Debian FreeS/Wan2.04 Server
config setup
interfaces="ipsec0=eth0"
uniqueids=yes
conn %default
keyingtries=1
compress=yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
pfs=yes
conn wlan
right=192.168.23.5
rightsubnet=255.255.255.0/24
rightid="C=DE, ST=Berlin, L=Berlin, O=GNET, CN=bagnbcert, E=bagnb@.org"
rightcert=bagnb.pem
left=192.168.23.254
leftsubnet=255.255.255.0/24
leftcert=lxcert.pem
leftid="C=DE, ST=Berlin, L=Berlin, O=GNET, CN=lxcert, E=lx@lx.org"
auto=add
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignore
ipsec.conf -> auf dem WinXP-Client
conn wlan
left=192.168.23.5
right=192.168.23.254
rightca="C=DE, S=Berlin, L=Berlin, O=GNET, CN=rootcert, E=root@lx.org"
network=auto
auto=start
pfs=yes