IPsec Openswan

steff aka sid · Beitrag von **steff aka sid** » 26.01.2006 17:19:29

Mal wieder eine Frage zu diesem Thema auch wenn schon 1000 gestellt wurden ich finde einfach nicht die richtigen Antworten.
Installiert bis jetzt:
Debian module:
Ipsec tools
openswan 2.4.4

Kernel module:
xfrm_user
net_key
inet_ah
inet_esp
inet_tunnel

aktueller Kernel: 2.6.15

@ first:
Welche Module brauche ich auf jeden Fall im Kernel brauche ich die oben genannten??? Bekomme im Moment keine Fehlermeldungen allerdings wird auch kein Tunnel aufgebaut aber dazu später erstmal will ich die Vorraussetzungen für ipsec alle haben dann komme ich zur Config. Und vor allem brauche ich bei folgender Configuration net traversal und muss ich dafür meinen kernel patchen???

Tunnel Struktur

Laptop
IP: 192.168.0.2
NetMask: 255.255.255.0
|
|
v
DSL Router zu Hause
externe ip bzw. dyndns adresse
|
|
v
DSL Router der Firma
externe ip bzw. dyndns adresse
|
|
v
Firmen Netzwerk
Ip Bereich: 192.168.73.0
NetMask: 255.255.255.0

Dabei wird als Authentificierung ein Presharedkey eingesetzt.

Gruß Steff

mistersixt · Beitrag von **mistersixt** » 27.01.2006 10:23:30

Wenn Du den Debian-Kernel nimmst, dann brauchst Du eigentlich nicht per Hand die Module zu laden, dass mach der Kernel automatisch, sobald IPSEC aufgerufen wird.

NAT-T mit OpenSwan 2.4.X läuft einwandfrei seit Kernel-2.6.12 (ab diesem wurden ein paar Bugs behoben). Patchen braucht man da nichts.

Wichtig ist, daß Port UDP 4500 jeweils auf den Routern entsprechend weitergeleitet wird, sonst geht kein NAT-T.

Dann schalte mal klipsdebug und plutodebug in der ipsec.conf ein und schau in /var/log/auth.log, was da beim Verbindungsaufbau passiert.

Gruss, mistersixt.

steff aka sid · Beitrag von **steff aka sid** » 27.01.2006 11:40:37

Hm k ich meinte auch nicht das ich die von Hand lade nur das ich die halt im Kernel überhaupt aktiviert habe bzw. welche ich generell brauche.
Wenn ich Pluto debug etc. einstelle bekomme ich ne Menge Kram in der auth.log einen Eintrag den ich nicht so richtig verstehe ist folgender:

Code: Alles auswählen

Jan 27 11:38:43 sidnoti pluto[8926]: | unreference key: einHexValue steffen.rumpf@student.uni-siegen.de cnt 1--
Jan 27 11:38:43 sidnoti pluto[8926]: | unreference key: einHexValue C=DE, ST=Germany, L=Siegen, O=Uni Siegen, OU=HRZ, CN=Steffen Rumpf, E=steffen.rumpf@student.uni-siegen.de cnt 1--
Jan 27 11:38:43 sidnoti pluto[8926]: | processing connection proton
Jan 27 11:38:43 sidnoti pluto[8926]: "proton": deleting connection

Was bedeutet das???
Gruß Steff

mistersixt · Beitrag von **mistersixt** » 27.01.2006 14:08:15

Die Meldung habe ich so auch noch nicht gesehen. Poste doch mal bitte nach nopaste Deine ipsec.conf und ipsec.secret (den PSK natürlich aus-x-en), dann kann man vielleicht mehr sagen.

Was mich ansich etwas wundert, ist, daß da im Logfile irgendwelche X.509-Klamotten zu sehen sind, Du aber sagtest, daß Du PSK nehmen würdest...

Gruss, mistersixt.

steff aka sid · Beitrag von **steff aka sid** » 27.01.2006 19:45:14

Ne das war mein fehler ich will in der Uni auch ipsec nutzen und da ich da eben war hatte ich halt für den Post versucht den Tunnel hochzufahren. IPsec.conf und secrets werden gleich mal gepostet erstmal was essen

steff aka sid · Beitrag von **steff aka sid** » 27.01.2006 23:56:40

so hier mal meine ipsec.conf im nopaste:
http://nopaste.debianforum.de/2313

wobei die con vpn die ist worum es erstmal geht ich hoffe das wenn die läuft ich die andere auch zum laufen bekomme.
Und noch ein neuer Log Output:

Code: Alles auswählen

Jan 27 23:57:11 sidnoti pluto[11636]: Changing to directory '/etc/ipsec.d/aacerts'
Jan 27 23:57:11 sidnoti pluto[11636]: Changing to directory '/etc/ipsec.d/ocspcerts'
Jan 27 23:57:11 sidnoti pluto[11636]: Changing to directory '/etc/ipsec.d/crls'
Jan 27 23:57:11 sidnoti pluto[11636]:   Warning: empty directory
Jan 27 23:57:11 sidnoti pluto[11636]: | inserting event EVENT_LOG_DAILY, timeout in 169 seconds
Jan 27 23:57:11 sidnoti pluto[11636]: | next event EVENT_PENDING_PHASE2 in 114 seconds
Jan 27 23:57:11 sidnoti pluto[11636]: |  
Jan 27 23:57:11 sidnoti pluto[11636]: | *received whack message
Jan 27 23:57:11 sidnoti pluto[11636]: | Added new connection vpn with policy PSK+ENCRYPT+TUNNEL+PFS
Jan 27 23:57:11 sidnoti pluto[11636]: | counting wild cards for (none) is 15
Jan 27 23:57:11 sidnoti pluto[11636]: | counting wild cards for (none) is 15
Jan 27 23:57:11 sidnoti pluto[11636]: added connection description "vpn"
Jan 27 23:57:11 sidnoti pluto[11636]: | 192.168.0.20---192.168.0.99...80.131.229.65===192.168.73.0/24
Jan 27 23:57:11 sidnoti pluto[11636]: | ike_life: 3600s; ipsec_life: 28800s; rekey_margin: 540s; rekey_fuzz: 100%; keyingtries: 0; policy: PSK+ENCRYPT+TUNNEL+PFS

Wat heißt das genau wenn ich nen Trace route auf einen der Rechner im anderen Netz mache kommt der zwar raus aber net ins andere Netz d.h.

Code: Alles auswählen

 1  fritz.slwlan.box (192.168.0.99)  7.880 ms  0.849 ms  3.117 ms
 2  * * *
 3  G3-0.kln2-g.mcbone.net (62.104.194.165)  49.034 ms  48.158 ms  47.802 ms
 4  L0.kln2-g2.mcbone.net (62.104.191.151)  48.010 ms  47.820 ms  47.878 ms
 5  * * *
 6  * * *
 7  * * *

Weiter kommt er net.
Gruß Steff

P.s. Hab mal Port 500 und 4500 UDP weitergeleitet an auf meinen laptop der die VPN verbindung aufbauen soll

steff aka sid · Beitrag von **steff aka sid** » 28.01.2006 23:55:09

Und es läuft

War anscheind nur ne Sache an der ipsec.secrets hier mal die jetzige Konfiguration:
ipsec.conf

Code: Alles auswählen

# This file:  /usr/share/doc/freeswan/ipsec.conf-sample
      2 #
      3 # Manual:     ipsec.conf.5
      4 #
      5 # Help: 
      6 # http://www.freeswan.org/freeswan_trees/freeswan-2.04/doc/quickstart.html
      7 # http://www.freeswan.org/freeswan_trees/freeswan-2.04/doc/config.html
      8 # http://www.freeswan.org/freeswan_trees/freeswan-2.04/doc/adv_config.html
      9 #
     10 # Policy groups are enabled by default. See:
     11 # http://www.freeswan.org/freeswan_trees/freeswan-2.04/doc/policygroups.html
     12 #
     13 # Examples:
     14 # http://www.freeswan.org/freeswan_trees/freeswan-2.04/doc/examples   
     15 
     16 
     17 version 2.0     # conforms to second version of ipsec.conf specification
     18 
     19 # basic configuration
     20 config setup
     21         # Debug-logging controls:  "none" for (almost) none, "all" for lots.
     22         klipsdebug=none
     23         plutodebug=none
     24         interfaces=%defaultroute
     25 
     26 conn %default
     27         type=tunnel
     28 
     29 conn vpn
     30         authby=secret
     31         left=%defaultroute
     32         right=host.dyndns.biz
     33         rightsubnet=192.168.73.0/255.255.255.0
     34         auto=start
     35         pfs=yes

ipsec.secrets

Code: Alles auswählen

     <lokale IP> host.dyndns.biz: PSK "ganzgeheim"

Gruß Steff

mistersixt · Beitrag von **mistersixt** » 30.01.2006 09:11:57

Schön, daß der Tunnel funktioniert!! Weil es mich aber interessiert, woran es gelegen hat: was stand denn vorher in der ipsec.secrets? Die ipsec.conf sieht ja im Prinzip gleich aus mit der von Dir zuerst geposteten bei nopaste.debianforum.de ...

Gruss, mistersixt.

steff aka sid · Beitrag von **steff aka sid** » 30.01.2006 09:36:16

Ich hatte vorher meine dyndns adresse in der Ipsec.secrets und hatte dann aber noch die firmen adresse vorne stehen. So das er mich halt nicht Authentifizieren konnte.

Gruß Steff

P.s. Jetzt gehts demnächst an RSA jetzt weiß ich ja zumindest schonmal das es theoretisch laufen müsste

Edit: RSA Verbindung läuft auch