Racoon als Roadwarrior Client

[Criena]

Hallo Leute.

Es handelt sich zwar um einen Ubuntu-Client, aber im Ubuntu-Forum gibt es leider keine Antwort und in Bezug auf Netzwerkfragen findet sich hier sicherlich mehr Kompetenz. Die Versionen Sarge <-> Breezy unterscheiden sich ein klein wenig, aber das dürfte nicht von Belang sein.

Ich habe ein Problem im Verständnis der Racoon-Konfiguration für obiges Szenario. Im Netz gibt es zuhauf Beispiele wie der Server eingerichtet werden muss, alles super. Nur leider wird kein Wort über den Client verloren.

Den Server habe ich folgendermaßen konfiguriert (racoon.conf):

Code: Alles auswählen

remote anonymous {
        exchange_mode aggressive;
        generate_policy on;
        passive on;
        my_identifier fqdn "host.domain.de";
        proposal {
                encryption_algorithmus aes;
                hash_algorithmus sha2_256;
                authentication_method pre_shared_key;
                dh_group modp1536;
        }
}

sainfo anonymous {
        pfs_group modp1536;
        encryption_algorithmus aes;
        authentication_algorithmus hmac_sha1;
        compression_algorithm deflate;
}

setkey.conf ist unberührt geblieben, wegen generate_policy. Und in der psk.txt steht ein Eintrag user@domain.de mit dem PSK.

Den Client habe ich folgendermaßen konfiguriert (racoon.conf):

Code: Alles auswählen

remote ext.ip.des.Servers {
        exchange_mode aggressive;
        my_identifier user_fqdn "user@domain.de";
        proposal {
                encryption_algorithmus aes;
                hash_algorithmus sha2_256;
                authentication_method pre_shared_key;
                dh_group modp1536;
        }
}

sainfo address 192.168.0.0/24 any address 0.0.0.0 any {
        pfs_group modp1536;
        encryption_algorithmus aes;
        authentication_algorithmus hmac_sha1;
        compression_algorithm deflate;
}

In der psk.txt steht der identische PSK hinter host.domain.de.

Die setkey.conf auf dem Client sieht so aus:

Code: Alles auswählen

spdadd 192.168.0.0/24 0.0.0.0 any -P in ipsec
       esp/tunnel/0.0.0.0-ext.IP.des.Servers/require;
spdadd 0.0.0.0 192.168.0.0/24 any -P out ipsec
       esp/tunnel/ext.IP.des.Servers-0.0.0.0/require;

Wenn ich auf dem Client nun racoon starte (mit Parameter -F), passiert, außer dem bind an alle Interfaces, nichts.

Meine Frage ist nun zum einen ob die Configs korrekt sind und zum anderen warum er nichts tut.

Grüße,
Criena

[Criena]

Habe es mit ein wenig ausprobieren herausbekommen, wenn ich mit dem Ergebnis auch nicht ganz zufrieden bin und die Verbindung zwar zustande kommt, aber noch nichts hindurch geht.

Folgende Änderungen waren nötig:

sainfo in der racoon.conf des Clients:

Code: Alles auswählen

sainfo  address ext.IP.des.Clients/32 any address 192.168.0.0/24 any { 
        pfs_group modp1536; 
        encryption_algorithmus aes; 
        authentication_algorithmus hmac_sha1; 
        compression_algorithm deflate; 
}

Die setkey.conf auf dem Client:

Code: Alles auswählen

  spdadd 192.168.0.0/24 ext.IP.des.Clients/32 any -P out ipsec
       esp/tunnel/ext.IP.des.Clients-ext.IP.des.Servers/require;
spdadd ext.IP.des.Clients/32 192.168.0.0/24 any -P in ipsec
       esp/tunnel/ext.IP.des.Servers-ext.IP.des.Clients/require;

Zufrieden bin ich nicht, da in den beiden Dateien die (dynamische, da Roadwarrior) Adresse des Clients fest eingetragen werden muss.

Dass außer dem Verbindungsaufbau noch nichts funktioniert, ist natürlich auch nicht gerade Anlaß zur Freude, aber es dürfte machbar sein das Routing-Problem auch noch zu lösen.

2 be continued...

[Criena]

Läuft jetzt endgültig. Problem war, daß die Firewall auf der GW Seite alle Pakete weg geworfen hat (ext. IP -> int. IP durfte nicht, was ja normalerweise auch gut so ist). Ich hoffe, daß das so einfach zu handhabende ipsec0 bald wieder zur Verfügung steht...