Hallo,
habe mir endlich vpn gateway aufgebaut und (hoffe) richtig
konfiguriert(mit zertificate). Meine frage wäre wie kann ich testen ob vpn
läuft?weil ich über tcpdump garnichts von vpn sehe..
(das heisst doch eigentlich schon das es nicht läuft).
Wenn es so ist..wie kann ich den fehler finden?
die ports 500 sind auch frei, das ipsec verify sieht auch
gut aus(denke ich)..
Vielen Dank
gruss
ifconfig
tunnel
Hallo Six,
habe die ip´s unter ipsec.conf zugewiesen, ich kann von einem client den den VPN Gateway anpingen, aber nur wenn ich die firewall deaktiviere.
Ich habe auch die port 500 freigeschaltet.
Wieso sehe ich aber nichts bei tcpdump?
Aber nicht umgekehrt, ich meine auch wenn die firewall deaktiviert sind,
kann ich nicht vom VPN-Gateway zum anderen client pingen.
VPN-Pool? Ich habe im ipsec.conf die öffentlichen IPs angegeben und
die clients bekommen über dhcp ihre IPs von den Gateways,
meinste du das mit VPN-Pool?
Wäre sehr dankbar für jede hilfe, ich suche schon seit einer woche
nach der ursache dafür, wieso es nicht klappt.
Achja, ich weiss nicht ob es stimmt, habe bei http://www.spenneberg.com gelesen, dass
man das pingen von vpn-server an die gegenstelle (client) sein lassen sollte, ist da was dran?
Und habe eben heraus bekommen, dass man mit dem befehl
ipsec barf > ipsec.txt
alle konfigurationen anschauen kann(in dieser datei), aber es hilft mir nicht weiter,
ich kann nicht erkennen wo der fehler liegt.
Gruss
ifconfig
habe die ip´s unter ipsec.conf zugewiesen, ich kann von einem client den den VPN Gateway anpingen, aber nur wenn ich die firewall deaktiviere.
Ich habe auch die port 500 freigeschaltet.
Wieso sehe ich aber nichts bei tcpdump?
Aber nicht umgekehrt, ich meine auch wenn die firewall deaktiviert sind,
kann ich nicht vom VPN-Gateway zum anderen client pingen.
VPN-Pool? Ich habe im ipsec.conf die öffentlichen IPs angegeben und
die clients bekommen über dhcp ihre IPs von den Gateways,
meinste du das mit VPN-Pool?
Wäre sehr dankbar für jede hilfe, ich suche schon seit einer woche
nach der ursache dafür, wieso es nicht klappt.
Achja, ich weiss nicht ob es stimmt, habe bei http://www.spenneberg.com gelesen, dass
man das pingen von vpn-server an die gegenstelle (client) sein lassen sollte, ist da was dran?
Und habe eben heraus bekommen, dass man mit dem befehl
ipsec barf > ipsec.txt
alle konfigurationen anschauen kann(in dieser datei), aber es hilft mir nicht weiter,
ich kann nicht erkennen wo der fehler liegt.
Gruss
ifconfig
-
Six
- Beiträge: 8071
- Registriert: 21.12.2001 13:39:28
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Siegburg
Zunächst muß ich sagen, daß meine Erfahrungen mit IPSec sehr beschränkt sind. Ich benutze OpenVPN, wenn ich ein VPN zu errichten habe. Dennoch denke ich, daß einige technische Grundlagen gleich sind.ifconfig hat geschrieben:Hallo Six,
habe die ip´s unter ipsec.conf zugewiesen, ich kann von einem client den den VPN Gateway anpingen, aber nur wenn ich die firewall deaktiviere.
Ich habe auch die port 500 freigeschaltet.
Wieso sehe ich aber nichts bei tcpdump?
Dann muß ich dazu noch sagen, daß ich tcpdump auch noch nicht benutzt habe, aber vom Namen her würde ich tippen, das tcpdump TCP Verkehr überwacht, VPNs benutzen aber UDP, es sei denn man konfiguriert das VPN ausdrücklich anders.
Ob und wann das Gateway antwortet, hängt von deinen Firewall Regeln ab. Wenn du einfach alles dropst, was ankommt, überrascht das also nicht.
Wie sehen denn die Firewallregeln deines Clients aus? Denke dran, daß VPNs über Tunnel- oder Bridge-Devices (tun+ bzw. br+) laufen. Diese müssen in den Firewallregeln berücksichtigt werden.Aber nicht umgekehrt, ich meine auch wenn die firewall deaktiviert sind,
kann ich nicht vom VPN-Gateway zum anderen client pingen.
Ja, genau das meine ich.VPN-Pool? Ich habe im ipsec.conf die öffentlichen IPs angegeben und
die clients bekommen über dhcp ihre IPs von den Gateways,
meinste du das mit VPN-Pool?
Technisch spricht nichts dagegen, die Clients zu pingen. Evtl. hat sich Herr Spenneberg ja ein paar Gedanken zu gutem Verhalten gemacht. Ich könnte mir vorstellen, daß Pings vom Server Richtung Client MiM Attacks einfacher machen und bei WLANs hat man das ja noch schneller als sonst.Wäre sehr dankbar für jede hilfe, ich suche schon seit einer woche
nach der ursache dafür, wieso es nicht klappt.
Achja, ich weiss nicht ob es stimmt, habe bei http://www.spenneberg.com gelesen, dass man das pingen von vpn-server an die gegenstelle (client) sein lassen sollte, ist da was dran?
Evtl. postest du die Konfiguration mal in unser nopaste? Vielleicht -- nein, bestimmt -- gibt es einen Debianer, der sich mit IPSec (FreeSwan/OpenSwan/StrongSwan/26Sec und wie sie alle heißen) besser auskennt als ich. Der könnte dann vielleicht was dazu sagen. Vielleicht willst du hinsichtlich dessen auch den Thread-Titel verändern. Könnte noch ein Mitglieder anlocken, denn ich bin auch nur hier gelandet, weil ich mir als Mod jeden Post mit 0 Antworten wenigstens mal angucke.Und habe eben heraus bekommen, dass man mit dem befehl
ipsec barf > ipsec.txt
alle konfigurationen anschauen kann(in dieser datei), aber es hilft mir nicht weiter,
ich kann nicht erkennen wo der fehler liegt.
Gruss
ifconfig