Hi,
langsam bin ich am verzweifeln!
Ich brauche IPsec aber ich bekomm es einfach nicht gebacken!
Unter Suse hatte ich keine Probleme, nur unter Debian gehts nicht.
1. Installation: Kernel-package-2.4.20 - Kernel support for IPSec not found, aborting.
2. Update auf 2.6.7(backports) - Kernel support for IPSec not found, aborting.
3. Eigenen Kernel (2.6.7-backports) kompiliert mit:
make menuconfig
IPsec war bereits aktiviert (*)
make-kpkg clean
make-kpkg --initrd kernel-image
dpkp -i kernel-image-2.6.7_10.00.Custom_i386.deb
Neustart - Kernel support for IPSec not found, aborting.
Angeblich soll im Kernel 2.6.7 IPsec von Hause aus aktiviert sein.
Ich brauche dringend eure Hilfe!
mfg
diriget
Riesenproblem mit IPsec
sind die Module geladen ?
Diese Modulliste habe ich auf die schnelle beim Googeln gefunden, ob sie auch wirklich stimmt kann ich dir nicht sagen, probiers mal
wenn es danach funktionieren sollte diese Module einfach in die /etc/modules eintragen
Diese Modulliste habe ich auf die schnelle beim Googeln gefunden, ob sie auch wirklich stimmt kann ich dir nicht sagen, probiers mal
Code: Alles auswählen
modprobe af_key
modprobe ah4
modprobe esp4
modprobe ipcomp
modprobe xfrm_user
Momentan bin ich gerade im 2.4.26er Kernel.
Habe die Module mal eben geladen - kein Problem.
/etc/init.d/ipsec restart: Kernel support for IPSec not found, aborting.
mfg
diriget
p.s. Weshalb bekomme ich beim Kompilieren:
make-kpkg --added-patches freeswan --revision=v3 binary
immer die Fehlermeldung:
Habe die Module mal eben geladen - kein Problem.
/etc/init.d/ipsec restart: Kernel support for IPSec not found, aborting.
mfg
diriget
p.s. Weshalb bekomme ich beim Kompilieren:
make-kpkg --added-patches freeswan --revision=v3 binary
immer die Fehlermeldung:
Code: Alles auswählen
ipsec_init -c -o ipsec_init.o ipsec_init.c
In file included from /usr/src/kernel-source-2.4.27/include/linux/skbuff.h:27,
from /usr/src/kernel-source-2.4.27/include/linux/netdevice.h:15
9,
from ipsec_init.c:39:
/usr/src/kernel-source-2.4.27/include/linux/highmem.h: In function `bh_kmap':
/usr/src/kernel-source-2.4.27/include/linux/highmem.h:20: warning: pointer of ty
pe `void *' used in arithmetic
ipsec_init.c: In function `ipsec_init':
ipsec_init.c:152: too few arguments to function `inet_add_protocol'
ipsec_init.c:156: too few arguments to function `inet_add_protocol'
ipsec_init.c: In function `ipsec_cleanup':
ipsec_init.c:199: too few arguments to function `inet_del_protocol'
ipsec_init.c:204: too few arguments to function `inet_del_protocol'
make[4]: *** [ipsec_init.o] Error 1
make[4]: Leaving directory `/usr/src/kernel-source-2.4.27/net/ipsec'
make[3]: *** [first_rule] Error 2
make[3]: Leaving directory `/usr/src/kernel-source-2.4.27/net/ipsec'
make[2]: *** [_subdir_ipsec] Error 2
make[2]: Leaving directory `/usr/src/kernel-source-2.4.27/net'
make[1]: *** [_dir_net] Error 2
make[1]: Leaving directory `/usr/src/kernel-source-2.4.27'
make: *** [stamp-build] Error 2das ist eindeutig eine Inkompatibilität zwischen der Kernelversion und dem Patch
[edit]
Hier habe ich ein debianisiertes Howto gefunden:
http://www.fukt.bth.se/~teddy/debian-ipsec
[/edit]
[edit]
Hier habe ich ein debianisiertes Howto gefunden:
http://www.fukt.bth.se/~teddy/debian-ipsec
http://www.fukt.bth.se/~teddy/debian-ipsec hat geschrieben: If you're a really ardent "stable" user, then feel free to use the "freeswan" and "kernel-patch-freeswan" packages. However, I am not satisfied with Linux 2.4.18, which is what those packages require to patch cleanly. So, since we are not using official Debian stable packages, the following is going to be a bit messy.
[/edit]
Irgendwie habe ich das mit IPv6toIPv4 unter racoon nicht zum laufen bekommen.
Aus Verzweiflung bin ich von meiner Vorgabe, nur Debian-Pakete zu verwenden abgegangen und FreesWan-2.05 aus einer Source installiert.
Eine Kernelkompilierung war nicht notwendig, es wurden lediglich Module erzeugt.
Nach einigem hin und her stand dann der Tunnel und ich habe mein geliebtes ipsec0.
Nur leider routet mein Router mit ipsec nicht mehr!
Ich kann keine Pakete ins Internet oder durch den Tunnel schicken.
Was mir aufgefallen ist, ich habe nun auch ein Netz 128.0.0.0 für ipsec0.
Wo soll ich den Fehler suchen, im Routing oder in der Firewall?
IPtables ist völliges Neuland für mich, unter SuSEfirewall2 war es übersichtlicher.
mfg
diriget
Aus Verzweiflung bin ich von meiner Vorgabe, nur Debian-Pakete zu verwenden abgegangen und FreesWan-2.05 aus einer Source installiert.
Eine Kernelkompilierung war nicht notwendig, es wurden lediglich Module erzeugt.
Nach einigem hin und her stand dann der Tunnel und ich habe mein geliebtes ipsec0.
Nur leider routet mein Router mit ipsec nicht mehr!
Ich kann keine Pakete ins Internet oder durch den Tunnel schicken.
Was mir aufgefallen ist, ich habe nun auch ein Netz 128.0.0.0 für ipsec0.
Wo soll ich den Fehler suchen, im Routing oder in der Firewall?
IPtables ist völliges Neuland für mich, unter SuSEfirewall2 war es übersichtlicher.
mfg
diriget
naja, auf die Protokolle habe ich natürlich vergessen 
# IKE Protokoll = UDP Port 500:
iptables -A INPUT -p udp -sport 500 -dport 500 -j ACCEPT
iptables -A OUTPUT -p udp -sport 500 -dport 500 -j ACCEPT
# ESP Protokoll
iptables -A INPUT -p 50 -j ACCEPT
iptables -A OUTPUT -p 50 -j ACCEPT
# AH Protokoll
iptables -A INPUT -p 51 -j ACCEPT
iptables -A OUTPUT -p 51 -j ACCEPT
# IKE Protokoll = UDP Port 500:
iptables -A INPUT -p udp -sport 500 -dport 500 -j ACCEPT
iptables -A OUTPUT -p udp -sport 500 -dport 500 -j ACCEPT
# ESP Protokoll
iptables -A INPUT -p 50 -j ACCEPT
iptables -A OUTPUT -p 50 -j ACCEPT
# AH Protokoll
iptables -A INPUT -p 51 -j ACCEPT
iptables -A OUTPUT -p 51 -j ACCEPT
Die Iptables-Regeln waren goldrichtig, vielen Dank!
Mit "Router" meine ich meinen lokalen Debian-Server, welcher mir die Verbindung zum Internet ermöglicht. Wie gesagt, mit FreesWan 2.05.
Auf der anderen Seite lauscht ein IPCop 1.4 mit FreesWan 1.96.
Inzwischen habe ich den Tunnel erfolgreich in Betrieb.
Nur wenn ich auf dem Debian IPSec starte komme ich nicht mehr ins Internet.
Hier mal meine Routingtabelle:
Zwei Default-Gateways, das ist ja nun wirklich eins zu viel. 
Hast Du sowas schon mal gesehen?
Ich habe schon versucht die IPSec-Routen zu löschen, blieb aber erfolglos.
Wenn ich in ipsec.conf interfaces="ipsec0=eth0" angebe, wird IPSec zwar gestartet und die Routingtabelle ist ok, aber ich kann keine IPSec-Connection aufbauen, da die "conn admin" nicht geladen wurde.
Nun ist aber genug der Tipperei.
mfg
diriget
Mit "Router" meine ich meinen lokalen Debian-Server, welcher mir die Verbindung zum Internet ermöglicht. Wie gesagt, mit FreesWan 2.05.
Auf der anderen Seite lauscht ein IPCop 1.4 mit FreesWan 1.96.
Inzwischen habe ich den Tunnel erfolgreich in Betrieb.
Nur wenn ich auf dem Debian IPSec starte komme ich nicht mehr ins Internet.
Hier mal meine Routingtabelle:
Code: Alles auswählen
Kernel IP routing table
Destination Gateway Genmask Flags Metric Ref Use Iface
217.5.98.4 * 255.255.255.255 UH 0 0 0 ppp0
217.5.98.4 * 255.255.255.255 UH 0 0 0 ipsec0
localnet * 255.255.255.0 U 0 0 0 eth0
192.168.201.0 217.5.98.4 255.255.255.0 UG 0 0 0 ipsec0
default 217.5.98.4 128.0.0.0 UG 0 0 0 ipsec0
128.0.0.0 217.5.98.4 128.0.0.0 UG 0 0 0 ipsec0
default 217.5.98.4 0.0.0.0 UG 0 0 0 ppp0
Hast Du sowas schon mal gesehen?
Ich habe schon versucht die IPSec-Routen zu löschen, blieb aber erfolglos.
Wenn ich in ipsec.conf interfaces="ipsec0=eth0" angebe, wird IPSec zwar gestartet und die Routingtabelle ist ok, aber ich kann keine IPSec-Connection aufbauen, da die "conn admin" nicht geladen wurde.
Nun ist aber genug der Tipperei.
mfg
diriget
Heureka 
Für alle die das selbe Problem plagt meine ipsec.conf:
mfg
diriget
p.s. Nochmals Dank an gms!
Für alle die das selbe Problem plagt meine ipsec.conf:
Code: Alles auswählen
version 2.0
config setup
interfaces="%defaultroute"
klipsdebug=none
plutodebug=none
forwardcontrol=yes
uniqueids=yes
conn admin
left=remote.dyndns.org
leftsubnet=192.168.1.0/24
leftnexthop=%defaultroute
right=local.dyndns.org
rightsubnet=192.168.0.0/24
rightnexthop=%defaultroute
authby=secret
auto=add
conn block
auto=ignore
conn private
auto=ignore
conn private-or-clear
auto=ignore
conn clear-or-private
auto=ignore
conn clear
auto=ignore
conn packetdefault
auto=ignorediriget
p.s. Nochmals Dank an gms!