IPSec, dynamische IP und Aggressive-Mode

s-p · Beitrag von **s-p** » 14.05.2006 13:27:34

Hallo

Ich versuche im Moment eine VPN-Verbindung über IPSec herzustellen.
Die Gegenseite ist ein Bintec-Router mit dynamischer IP-Adresse, mit dem
auch schon erfolgreich mit dem Bintec VPN-Client (Nur für Windows) gearbeitet wird. Hab schon ein bisschen mit Openswan und Kvpnc probiert, aber Kvpnc ist häufig nur abgestürtzt und hat gemeldet, dass er die Version von Openswan nicht unterstützt. Im Moment komme ich nicht weiter. Im Netz habe ich leider nichts gefunden, was mir wirklich weitergeholfen hat.

Folgende Situation:
VPN-Gateway: DynDNS-Adresse
Ziel-Netz: 192.168.1.0/24
Client-IP (LAN, für den Tunnel): 192.168.100.1 (öffentliche IP ist dynamisch)
Typ: ESP-Tunnel
Phase 1: Aggressive-Mode, AES128-MD5, DH-Gruppe 2 (1024)
Phase 2: AES128-MD5, DH-Gruppe 2 (1024 -> PFS)
Anmeldung: benutzer@domäne.tld und PSK

Kennt jemand ein ein gutes HowTo zur Anbindung eines Client über dynamische Adressen im Aggressive-Mode oder kann mir vielleicht auch direkt weiterhelfen?

Vielen Dank.

Gruß
sp

s-p · Beitrag von **s-p** » 14.05.2006 21:27:54

Ich bin ein wenig weiter gekommen, aber es wird noch keine Verbindung aufgebaut. So wie es scheint, kommt er bis zum Quick-Mode und dann zu einem "Retry-Timeout". Es wirkt so, als ob einer der Verschlüsselungs-Parameter nicht stimmt.

Hat jemand eine Idee?

ipsec.conf

Code: Alles auswählen

config setup
        interfaces="ipsec0=ppp0"
        #net_traversal=no
        #Debug-logging controls:  "all" for (almost) none, "all" for lots.
        #klipsdebug=all
        #plutodebug=dns

conn firma
	type=tunnel
	ike=aes-md5-modp1024
	left=IP von ppp0, %defaultroute gibt eine Fehlermeldung
	leftid=benutzer@firma.tld
	right=firma.dyndns.info
	rightsubnet=192.168.1.0/24
	rightid=@firma.dyndns.info
	auto=add
	authby=secret
	aggrmode=yes
	pfs=yes
	esp=aes-md5-1024

ipsec.secrets

Code: Alles auswählen

@firma.dyndns.info benutzer@firma.tld: PSK "geheim"

mistersixt · Beitrag von **mistersixt** » 15.05.2006 08:09:51

Spontan sehe ich auch keinen Fehler. Bezgl. "left", da setze ich bei dynam. IP-Adressen immer "left=0.0.0.0". Was siehst Du denn genau in /var/log/auth.log, wenn Du Debugging einschaltest? Firewall ist offen bezgl. Protokoll 50 und UDP/500 ?

Gruss, mistersixt.

s-p · Beitrag von **s-p** » 15.05.2006 22:21:17

Hmm, also ich denke ohne den Log des Routers komme ich wohl nicht weiter.
Ich habe die Pakete mitgeschnitten, die Verbindung scheint nach einem
Paket mit dem Inhalt "Hash" abzubrechen. Der Router sendet danach eine
Notification mit dem Wert "Packet does not contain enough data" als Klartext.
Danach kommen keine Pakete mehr vom Router, nur Openswan sendet noch ein Paket
mit einem Hash und schaltet dann in den Quick-Mode und sendet wieder "Hash"-es.

Sagt jemandem die Meldung des Routers etwas?

Ich teste hier direkt über ISDN, also ohne NAT-T und Firewall ist auch aus.

Gruß
sp

s-p · Beitrag von **s-p** » 18.05.2006 20:02:02

Also ich komme nicht weiter...

Der Log des Routers sagt leider auch nur, dass die Größe des Pakets nicht stimmt.
(Ist allerdings nur der "lite" Log, vielleicht komme ich noch an den Debug-Log)

Firmware des Routers und Openswan hab ich auf die neuste Version aktualisiert.

Ausgabe von "ipsec auto --up firma":

Code: Alles auswählen

112 "firma" #1: STATE_AGGR_I1: initiate
003 "firma" #1: received Vendor ID payload [Dead Peer Detection]
004 "firma" #1: STATE_AGGR_I2: sent AI2, ISAKMP SA established {auth=OAKLEY_PRESHARED_KEY cipher=aes_128 prf=oakley_md5 group=modp1024}
117 "firma" #2: STATE_QUICK_I1: initiate
010 "firma" #2: STATE_QUICK_I1: retransmission; will wait 20s for response
010 "firma" #2: STATE_QUICK_I1: retransmission; will wait 40s for response
031 "firma" #2: max number of retransmissions (2) reached STATE_QUICK_I1.  No acceptable response to our first Quick Mode message: perhaps peer likes no proposal
000 "firma" #2: starting keying attempt 2 of an unlimited number, but releasing whack

Jemand eine Idee?