Hallo,
ich habe eine funktionierende Verbindung zwischen zwei Rechnern meines Heimnetzwerks. In der ipsec.conf steht unter conn setup der Eintrag interfaces="ipsec0=eth1". Nun ist ja damit das ipsec-Device an die Ethernet-Karte gebunden, aber müsste da nicht bei einem aufgebautem Tunnel unter ifconfig das ipsec0-Device angezeigt werden? Das ist bei mir nämlich nicht zu sehen.
Gruß
Madcat
Openswan: Frage zu ipsec-Device
-
Madcat2000
- Beiträge: 46
- Registriert: 07.05.2004 18:17:12
Openswan: Frage zu ipsec-Device
Zuletzt geändert von Madcat2000 am 22.09.2004 16:40:27, insgesamt 1-mal geändert.
-
mistersixt
- Beiträge: 6601
- Registriert: 24.09.2003 14:33:25
- Lizenz eigener Beiträge: GNU Free Documentation License
Bei FreeSwan gab es ein virtuelles Interfaces ipsec0, bei OpenSwan gibt es das nicht mehr. Daher ist es auch nicht mehr trivial, iptables-Rules zu erstellen, daher muss man jetzt die esp-Netzwerkpakete erst "markieren" und anschliessend erlauben oder blocken.
Gruss, mistersixt.
Gruss, mistersixt.
--
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
System: Debian Bookworm, 6.11.x.-x-amd64, ext4, AMD Ryzen 7 3700X, 8 x 3.8 Ghz., Radeon RX 5700 XT, 32 GB Ram, XFCE
-
Madcat2000
- Beiträge: 46
- Registriert: 07.05.2004 18:17:12
Hi,
danke für die Info! Ich hatte mir das schon irgendwie gedacht, war mir allerdings nicht sicher. Um über die iFrewall hinwegzukommen brauche ich ja doch einfach nur "nat_traversal=yes" einzuschalten und die vier Regeln:einzugeben oder habe ich noch was vergessen?
Gruss
Madcat
danke für die Info! Ich hatte mir das schon irgendwie gedacht, war mir allerdings nicht sicher. Um über die iFrewall hinwegzukommen brauche ich ja doch einfach nur "nat_traversal=yes" einzuschalten und die vier Regeln:
Code: Alles auswählen
iptables -A INPUT -p udp --dport 500 -j ACCEPT
iptables -A OUTPUT - udp --sport 500 -j ACCEPT
iptables -A INPUT -p 50 -j ACCEPT
iptables -A OUTPUT -p 50 -j ACCEPTGruss
Madcat
Hallo !
Ich bin gerade dabei, fuer meine Studiienarbeit verschiedene VPN-Loesungen zu testen. DAzu gehoert u. a. auch Openswan.
Koenntest Du bitte die funktionierenden config-dateien posten ?
Auf eine bereits funktionierende Konfiguration laesst sich viel besser aufbauen, ich denke, das ist auch im Interesse vieler anderer Nutzer
<<einzugeben oder habe ich noch was vergessen?
Soweit ich weiss, musst Du Protokoll Nr. 51 = ESP ( nicht Port 51 !!!) auch durchlassen !
Gruessle und danke schonmal !
Stefan
Ich bin gerade dabei, fuer meine Studiienarbeit verschiedene VPN-Loesungen zu testen. DAzu gehoert u. a. auch Openswan.
Koenntest Du bitte die funktionierenden config-dateien posten ?
Auf eine bereits funktionierende Konfiguration laesst sich viel besser aufbauen, ich denke, das ist auch im Interesse vieler anderer Nutzer
<<einzugeben oder habe ich noch was vergessen?
Soweit ich weiss, musst Du Protokoll Nr. 51 = ESP ( nicht Port 51 !!!) auch durchlassen !
Gruessle und danke schonmal !
Stefan
-
Madcat2000
- Beiträge: 46
- Registriert: 07.05.2004 18:17:12
Hi,
natürlich! Hier sind sie:
Probier's mal aus und schalte unbedingt bei den ersten Versuchen den Debug-Modus ein! Kommentiere am besten das "auto=add" zuerst einmal aus und lade die Verbindung mit
manuell. Diese sollte ohne Fehler geladen sein (auf beiden Seiten!). Danach beim Roadwarrior eingeben und schon geht's los. Viel Spass
Gruß
Madcat
natürlich! Hier sind sie:
Code: Alles auswählen
ipsec.conf (Gateway)
config setup
# Debug-logging controls: "none" for (almost) none, "all" for lots.
interfaces="ipsec0=eth1"
klipsdebug=all
plutodebug=all
nat_traversal=yes
virtual_private=%v4:10.0.0.0/8,%v4:172.16.0.0/12,%v4:192.168.0.0/16
conn %default
keyingtries=3
leftrsasigkey=%cert
compress=yes
disablearrivalcheck=no
authby=rsasig
rightrsasigkey=%cert
conn road
left=IP_vom_Gateway_eintragen
leftcert=Gateway_Zertifikat.pem
right=%any
rightsubnet=vhost:%no,%priv
type=tunnel
auto=add
pfs=yes
#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf
Code: Alles auswählen
ipsec.conf (Roadwarrior)
config setup
# Debug-logging controls: "none" for (almost) none, "all" for lots.
interfaces="ipsec0=eth0"
klipsdebug=all
plutodebug=all
conn %default
keyingtries=3
compress=yes
authby=rsasig
disablearrivalcheck=no
leftrsasigkey=%cert
rightrsasigkey=%cert
conn road
left=IP_vom_Gateway
leftcert=Gateway_Zertifikat.pem
right=IP_vom_Roadwarrior
rightcert=Roadwarrior_Zertifikat.pem
auto=add
pfs=yes
#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf
Code: Alles auswählen
ipsec auto --verbose --add Connection_name (z.B. wie bei mir "road")Code: Alles auswählen
ipsec auto --verbose --up roadGruß
Madcat
Du hast auf dem Server NAT-T eingeschalten, auf dem Client jedoch nicht. Werden die Daten bei Dir in UDP gekaplselt und übertragen oder werden die Daten direkt in ESP übertragen ?
Ich versuche gerade eine Verbindung mit NAT-T im LAN herzustellen, aber irgendwie klappts noch net so ganz.
Ich habe eine Minimalkonfiguration mit pre-shared-keys, bei der die Daten in ESP übertragen werden und würde jetzt auch gerne mal mit NAT-Traversal testen.
Welche Version von openswan hast Du denn ?
Ich habe hier openswan 2.3DR2 mit 2.6er Kernel...
Würde mich freuen, wenn Du mir hier paar Tips hast.
Ich versuche gerade eine Verbindung mit NAT-T im LAN herzustellen, aber irgendwie klappts noch net so ganz.
Ich habe eine Minimalkonfiguration mit pre-shared-keys, bei der die Daten in ESP übertragen werden und würde jetzt auch gerne mal mit NAT-Traversal testen.
Welche Version von openswan hast Du denn ?
Ich habe hier openswan 2.3DR2 mit 2.6er Kernel...
Würde mich freuen, wenn Du mir hier paar Tips hast.