vpn openswan - routing problem(?)

MBraun · Beitrag von **MBraun** » 05.01.2005 16:58:12

Hi,
Ich habe den Draytek Router 2500WE welcher VPN unterstützt. Dies würde ich gerne nutzen um den WLAN-Traffic per ipsec zu verschlüsseln. Hierzu habe ich openswan installiert.
Der WLAN-Client hat die IP 192.168.1.100, kernel ist 2.6.10
der Router, der gleichzeitig VPN-Server 192.168.1.1

Die VPN Verbindung wird auch aufgebaut wie es scheint

Code: Alles auswählen

# ipsec auto --up vigor
104 "vigor" #1: STATE_MAIN_I1: initiate
106 "vigor" #1: STATE_MAIN_I2: sent MI2, expecting MR2
108 "vigor" #1: STATE_MAIN_I3: sent MI3, expecting MR3
004 "vigor" #1: STATE_MAIN_I4: ISAKMP SA established
112 "vigor" #2: STATE_QUICK_I1: initiate
004 "vigor" #2: STATE_QUICK_I2: sent QI2, IPsec SA established {ESP=>0xf1e3c68e <0x3742c626}

Jetzt das Problem. Anscheinend wird der IP-Traffic nicht durch den Tunnel geroutet. Zumindest zeigt tethereal beim anpingen von heise.de. Laut Doku dürfte man hier nur ESPs sehen.

Code: Alles auswählen

 0.000000 192.168.1.100 -> 192.168.1.1  ESP ESP (SPI=0xf1e3c68c)
  0.277618  192.168.1.1 -> 192.168.1.100 ESP ESP (SPI=0x04c5c7ba)
  0.277618 194.97.173.124 -> 192.168.1.100 DNS Standard query response A 193.99.144.80
  0.279000 192.168.1.100 -> 192.168.1.1  ESP ESP (SPI=0xf1e3c68c)
  0.447755  192.168.1.1 -> 192.168.1.100 ESP ESP (SPI=0x04c5c7ba)
  0.447755 193.99.144.80 -> 192.168.1.100 ICMP Echo (ping) reply
  1.281605 192.168.1.100 -> 192.168.1.1  ESP ESP (SPI=0xf1e3c68c)
  1.474634  192.168.1.1 -> 192.168.1.100 ESP ESP (SPI=0x04c5c7ba)
  1.474634 193.99.144.80 -> 192.168.1.100 ICMP Echo (ping) reply

zum vergleich ohne ipsec sieht das ganze so aus

Code: Alles auswählen

  0.000000 192.168.1.100 -> 194.97.173.124 DNS Standard query A heise.de
  0.079021 194.97.173.124 -> 192.168.1.100 DNS Standard query response A 193.99.144.80
  0.079328 192.168.1.100 -> 193.99.144.80 ICMP Echo (ping) request
  0.219661 193.99.144.80 -> 192.168.1.100 ICMP Echo (ping) reply
  1.080098 192.168.1.100 -> 193.99.144.80 ICMP Echo (ping) request
  1.169700 193.99.144.80 -> 192.168.1.100 ICMP Echo (ping) reply
  2.080925 192.168.1.100 -> 193.99.144.80 ICMP Echo (ping) request
  2.174185 193.99.144.80 -> 192.168.1.100 ICMP Echo (ping) reply

Es scheinen also nur ausgehende Packete verschlüsselt zu werden.

Hier noch etwas seltsame routing-tabelle nach dem start von ipsec.

Code: Alles auswählen

192.168.1.0     *               255.255.255.0   U     0      0        0 wlan0
default         192.168.1.1     128.0.0.0       UG    0      0        0 wlan0
128.0.0.0       192.168.1.1     128.0.0.0       UG    0      0        0 wlan0
default         192.168.1.1     0.0.0.0         UG    0      0        0 wlan0

Und noch die config von openswan.

Code: Alles auswählen

# /etc/ipsec.conf - Openswan IPsec configuration file
# RCSID $Id: ipsec.conf.in,v 1.13 2004/03/24 04:14:39 ken Exp $

# This file:  /usr/share/doc/openswan/ipsec.conf-sample
#
# Manual:     ipsec.conf.5


version 2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        # Debug-logging controls:  "none" for (almost) none, "all" for lots.
         klipsdebug=none
         plutodebug=none #"control parsing"
         interfaces="ipsec0=wlan0"
        myid=@xxx

# Add connections here

conn vigor
        left=192.168.1.100               # Local vitals
        right=192.168.1.1              # Remote vitals
        rightsubnet=0.0.0.0/0        #
        auto=add
        pfs=no
        authby=secret

#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf

Wenn ich den include um OE auszuschalten auskommentiere sieht das routing so aus, das Problem bleibt aber das gleiche.

Code: Alles auswählen

0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 wlan0

Hat jemand ne idee? Oder ist das Problem eher beim router zu suchen?

Gruß[/code]

mistersixt · Beitrag von **mistersixt** » 06.01.2005 09:55:09

Obwohl in der Tat die beiden Default-Routen etwas komisch aussehen, scheint ja das Openswan die Pakete brav zu verschlüsseln, hat da evtl. der Router ne Macke? Kannst Du evtl. mal Testweise einen anderen Debian-Rechner als Router testen?

Gruss, mistersixt.

MBraun · Beitrag von **MBraun** » 06.01.2005 12:44:03

Hi, habs mal mit ner anderen debian-kiste versucht. Genau das gleiche Problem. Die ping requests scheinen verschlüsselt zu sein, die replys aber nicht. Das gleiche passiert auch bei tcp verbindungen.

Die config auf der andern kiste

Code: Alles auswählen


version 2.0     # conforms to second version of ipsec.conf specification

# basic configuration
config setup
        # Debug-logging controls:  "none" for (almost) none, "all" for lots.
         klipsdebug=none
         plutodebug=none #"control parsing"
         interfaces="ipsec0=eth0"
# Add connections here

conn vigor
        right=192.168.1.100               # Local vitals
        left=192.168.1.200              # Remote vitals
        leftsubnet=0.0.0.0/0        #
        auto=add
        pfs=no
        authby=secret

#Disable Opportunistic Encryption
include /etc/ipsec.d/examples/no_oe.conf

und das routing auf der wlan-kiste wieder ziemlich seltsam

Code: Alles auswählen

192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 wlan0
0.0.0.0         192.168.1.200   128.0.0.0       UG    0      0        0 wlan0
128.0.0.0       192.168.1.200   128.0.0.0       UG    0      0        0 wlan0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 wlan0

mistersixt · Beitrag von **mistersixt** » 10.01.2005 08:38:13

Sorry, da fällt mir spontan auch nix mehr zu ein.

Gruss, mistersixt.