openswan: Tunnel wird nicht aufgebaut

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
Antworten
Benutzeravatar
Madcat2000
Beiträge: 46
Registriert: 07.05.2004 18:17:12

openswan: Tunnel wird nicht aufgebaut

Beitrag von Madcat2000 » 29.08.2004 20:52:00

Hi,

ich möchte testweise mal einen VPN-Tunnel zwischen zwei Rechner realisieren (beide sollen feste IP's haben) und.habe hier im Forum schon den einen Beitrag dazu gelesen (http://www.debianforum.de/forum/viewtop ... t=openswan)

hier die ipsec.conf vom Gateway (IP: 192.168.100.1):

Code: Alles auswählen

version 2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        interfaces=%defaultroute
        nat_traversal=yes
        virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16

        # Debug-logging controls:  "none" for (almost) none, "all" for lots.
        # klipsdebug=all
        # plutodebug=dns

conn %default
    keyingtries=1
    compress=yes
    disablearrivalcheck=no
    authby=rsasig
    leftrsasigkey=%cert
    rightrsasigkey=%cert

conn roadwarrior-net
    leftsubnet=192.168.100.0/24
    also=roadwarrior

conn roadwarrior-all
    leftsubnet=0.0.0.0/0
    also=roadwarrior

conn roadwarrior
    left=%defaultroute
    leftsubnet=192.168.100.0/24
    leftcert=server.base.net.pem
    right=%any
    rightsubnet=vhost:%no,%priv
    auto=add
    pfs=yes
und hier vom "Roadwarrior" (IP 172.16.0.5):

Code: Alles auswählen

version 2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        interfaces="ipsec0=eth0"
        #net_traversal=no
        # Debug-logging controls:  "none" for (almost) none, "all" for lots.
        # klipsdebug=all
        # plutodebug=dns


# Add connections here.


conn %default
        keyingtries=1
        compress=yes
        authby=rsasig
        leftrsasigkey=%cert
        rightrsasigkey=%cert

conn roadwarrior-net
        leftsubnet=172.16.0.0/24
        also=roadwarrior

conn roadwarrior
        left=192.168.100.1
        leftcert=gateway.pem
        right=%defaultroute
        rightcert=roadwarrior.pem
        auto=add
        pfs=yes
Nach dem ipsec restart wollte ich die Verbindung vom roadwarrior aus mit

Code: Alles auswählen

ipsec auto --up roadwarrior
starten, aber es kam nur folgende Meldung:

Code: Alles auswählen

 021 no connection named "roadwarrior"
Komisch, meine Funktion heisst doch "conn roadwarrior"? Habe ich hier irgendein Fehler im Skript? Würde mich über jeden Tipp freuen, da ich nun schon längere Zeit dran rumbastele.

Gruß
Madcat

Benutzeravatar
mistersixt
Beiträge: 6601
Registriert: 24.09.2003 14:33:25
Lizenz eigener Beiträge: GNU Free Documentation License

Beitrag von mistersixt » 30.08.2004 08:17:54

Wenn Du das ipsec-Script in /etc/init.d/ noch nicht ausgeführt haben solltest, dann musst Du wahrscheinlich erstmal mit "ipsec auto --add roadwarrior" dem OpenSwan sagen, dass er diese Verbindung aus dem Config-File laden soll.

Gruss, mistersixt.
--
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE

lobo
Beiträge: 180
Registriert: 27.01.2002 21:48:08
Lizenz eigener Beiträge: GNU General Public License

Beitrag von lobo » 30.08.2004 19:03:31

Es sieht so aus als ob Pluto nicht gestartet ist. Sieh mal in /var/log/auth.log nach, ob dort Fehler geloggt wurden.

Gruss

Jochen

Benutzeravatar
Madcat2000
Beiträge: 46
Registriert: 07.05.2004 18:17:12

Beitrag von Madcat2000 » 30.08.2004 22:20:32

Leider geht es immer noch nicht, aber hier poste ich euch mal die jeweiligen Ausgaben:

/var/log/auth.log:

Code: Alles auswählen

Aug 30 20:59:25 acer ipsec__plutorun: Starting Pluto subsystem...
Aug 30 20:59:25 acer pluto[1313]: Starting Pluto (Openswan Version 2.1.3 X.509-1.4.8-1 PLUTO_USES_KEYRR)
Aug 30 20:59:25 acer pluto[1313]:   including NAT-Traversal patch (Version 0.6c) [disabled]
Aug 30 20:59:25 acer pluto[1313]: Using Linux 2.6 IPsec interface code
Aug 30 20:59:25 acer pluto[1313]: Changing to directory '/etc/ipsec.d/cacerts'
Aug 30 20:59:25 acer pluto[1313]:   loaded cacert file 'cacert.pem' (1318 bytes)
Aug 30 20:59:25 acer pluto[1313]: Changing to directory '/etc/ipsec.d/crls'
Aug 30 20:59:25 acer pluto[1313]:   loaded crl file 'crl.pem' (528 bytes)
Aug 30 20:59:26 acer pluto[1313]: listening for IKE messages
Aug 30 20:59:26 acer pluto[1313]: adding interface eth0/eth0 172.16.0.5
Aug 30 20:59:26 acer pluto[1313]: adding interface lo/lo 127.0.0.1
Aug 30 20:59:26 acer pluto[1313]: loading secrets from "/etc/ipsec.secrets"
Aug 30 20:59:26 acer pluto[1313]:   loaded private key file '/etc/ipsec.d/private/client.base.net.key' (1623 bytes)
Aug 30 21:04:14 acer su[1457]: + pts/5 madcat:root
Aug 30 21:04:14 acer su[1457]: (pam_unix) session opened for user root by marcel(uid=1000)
Aug 30 21:04:27 acer pluto[1313]: shutting down
Aug 30 21:04:27 acer pluto[1313]: forgetting secrets
Aug 30 21:04:27 acer pluto[1313]: shutting down interface lo/lo 127.0.0.1
Aug 30 21:04:27 acer pluto[1313]: shutting down interface eth0/eth0 172.16.0.5
Also das Skript in /etc/init.d/.. hatte ich schon gestartet, aber trotzdem habe ich nochmal ipsec auto --add roadwarrior eingegeben und da kam folgendes:

Code: Alles auswählen

020 attempt to redefine connection "roadwarrior"
Was heisst denn das nun? Im Anschluss habe ich auch ipsec auto --up roadwarrior eingegegben und dann diese Meldung:

Code: Alles auswählen

ipsec auto --up roadwarrior
022 "roadwarrior": We cannot identify ourselves with either end of this connection.
Hier noch die Ausgabe von route -n:

Code: Alles auswählen

Kernel IP Routentabelle
Ziel            Router          Genmask         Flags Metric Ref    Use Iface
192.168.100.0   0.0.0.0         255.255.255.0   U     0      0        0 eth0
0.0.0.0         192.168.100.1   0.0.0.0         UG    0      0        0 eth0

lobo
Beiträge: 180
Registriert: 27.01.2002 21:48:08
Lizenz eigener Beiträge: GNU General Public License

Beitrag von lobo » 30.08.2004 22:54:35

Madcat2000 hat geschrieben:...
Also das Skript in /etc/init.d/.. hatte ich schon gestartet, aber trotzdem habe ich nochmal ipsec auto --add roadwarrior eingegeben und da kam folgendes:

Code: Alles auswählen

020 attempt to redefine connection "roadwarrior"
Was heisst denn das nun?
[/quote]

Du hast in der "roadwarrior" Connection "auto=add" eingetragen, deswegen brauchst du "ipsec auto --add roadwarrior" nicht mehr aufrufen, nachdem Pluto gestartet wurde.
Es sieht irgendwie nach einem Problem mit den Zertifikaten oder der Datei ipsec.secrets aus. Am besten schaust du dir nochmal ein gutes [url=http://www.natecarlson.com/linux/ipsec-x509.php]HowTo[/url] zu diesem Thema an.

Du solltest auch die gleichen Namen für die Zertifikate auf beiden Seiten verwenden, damit du dich besser in den Konfigurationsdateien zurecht findest.

Hier sind mal Beispiel Konfigurationsdateien, die ich im Einsatz habe:

VPN Gateway (linux 2.4.27 + openswan 2.1.4 + grsecurity 2.0.1):
[url=http://www.roastbyte.net/conf/gw_ipsec.conf]ipsec.conf[/url]
[url=http://www.roastbyte.net/conf/gw_ipsec.secrets]ipsec.secrets[/url]

Roadwarrior (linux 2.6.8.1-mm4, openswan 2.1.3 Userspace-Tools):
[url=http://www.roastbyte.net/conf/rw_ipsec.conf]ipsec.conf[/url]
[url=http://www.roastbyte.net/conf/rw_ipsec.secrets]ipsec.secrets[/url]

Openswan hat mich am Anfang auch viele Nerven gekostet, aber meistens entdeckt man seine Konfigurationsfehler in /var/log/auth.log.

Gruss

Jochen

Benutzeravatar
Madcat2000
Beiträge: 46
Registriert: 07.05.2004 18:17:12

Beitrag von Madcat2000 » 31.08.2004 01:24:50

Vielen Dank für die Tipps! Es funktioniert endlich! Ich konnte zum ersten Mal Pakete mit tcpdmp empfangen. Auch ein Zugriff auf den Webserver des Gateways hat geklappt. Das Tutorial von natecarlson hatte ich schon vorher gelesen. Trotzdem habe ich noch ein paar Fragen: Was ist pts (pts=yes)? Verlangsamt Opportunistic-Encryption den Datenfluss und ist es ratsam sie einzuschalten (soll ja angeblich das Sicherheitsniveau erhöhen).

Gruß
Madcat :D

lobo
Beiträge: 180
Registriert: 27.01.2002 21:48:08
Lizenz eigener Beiträge: GNU General Public License

Beitrag von lobo » 31.08.2004 18:05:22

Madcat2000 hat geschrieben:Vielen Dank für die Tipps! Es funktioniert endlich! Ich konnte zum ersten Mal Pakete mit tcpdmp empfangen.
Gratulation! Ich hab damals gleich nen Screenshot von meinen ersten ESP Paketen gemacht :D
Madcat2000 hat geschrieben: ...
Was ist pts (pts=yes)?
Du meinst sicher PFS. Soweit ich das verstanden habe, ist es durch PFS nicht möglich, aus dem momentan verschlüsselten Datenstrom, Rückschlüsse auf die zuvor und danach verwendenten Schlüssel zu ziehen. Leider bin ich kein Kryptographe, sonst könnte ich dir das besser erklären.

PFS muss in der Konfiguration nicht definiert werden, da es per default auf pfs=yes steht.
Madcat2000 hat geschrieben: Verlangsamt Opportunistic-Encryption den Datenfluss und ist es ratsam sie einzuschalten (soll ja angeblich das Sicherheitsniveau erhöhen).

Gruß
Madcat :D
OE ist eigentlich nur ein anderer Ansatz, Schlüssel zu verteilen. Du brauchst dann aber einen DNS Server dazu, weil bei der OE die Public Keys dort gespeichert werden. Ich habe OE deaktiviert, wie man in meinen Konfigurationsdateien sehen kann. Wenn man andere IPSec Implementierungen oder Windows Roadwarriors an sein VPN anbinden will, dürften die x509 Zertifikate die beste Lösung sein.

Gruss

Jochen

Antworten