Seite 1 von 1
IPSEC mit Strongswan
Verfasst: 20.12.2016 16:22:21
von Geralon
Moin moin @ll,
folgendes Scenario:
1 EC2 Instanz bei AWS
1 Server im Netzwerk
1 Tunnel zwischen beiden Netzen soll hergestellt werden, beide haben öffentliche IP's und Strongswan installiert und konfiguriert.
Fehlermeldung:
Code: Alles auswählen
root@xxx:/etc# ipsec up aws-rz
initiating IKE_SA aws-rz[2] to yyy
generating IKE_SA_INIT request 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) ]
sending packet: from yyy[500] to xxx[500] (1108 bytes)
received packet: from xxx[500] to yyy[500] (440 bytes)
parsed IKE_SA_INIT response 0 [ SA KE No N(NATD_S_IP) N(NATD_D_IP) N(MULT_AUTH) ]
local host is behind NAT, sending keep alives
authentication of 'xxx' (myself) with pre-shared key
establishing CHILD_SA aws-rz
generating IKE_AUTH request 1 [ IDi N(INIT_CONTACT) IDr AUTH SA TSi TSr N(MOBIKE_SUP) N(NO_ADD_ADDR) N(MULT_AUTH) N(EAP_ONLY) ]
sending packet: from xxx[4500] to yyy[4500] (348 bytes)
received packet: from yyy[4500] to xxx[4500] (76 bytes)
parsed IKE_AUTH response 1 [ N(AUTH_FAILED) ]
received AUTHENTICATION_FAILED notify error
establishing connection 'aws-rz' failed
folgende ipsec.config ist auf beiden Servern vorhanden (left und right getauscht):
Code: Alles auswählen
config setup
plutostart=no
charonstart=yes
conn %default
ikelifetime=60m
keylife=20m
rekeymargin=3m
keyingtries=1
authby=secret
keyexchange=ikev2
left=xxx
leftsubnet=xxx/23
#leftid=vvv
leftauth=psk
auto=start
esp=aes128-sha1
conn aws-rz
right=yyy
rightsubnet=zzz/16
rightauth=psk
Die PSK Keys sind bei beiden Identisch:
Vielleicht jemand von Euch eine Idee, woran es liegen kann.
Mit Google habe ich ein dutzend Lösungen gefunden von denen keine hilft.
Vielleicht übersehe ich auch nur etwas.
Gruß
Re: IPSEC mit Strongswan
Verfasst: 21.12.2016 06:35:44
von dufty2
Willkommen im Forum!
Mmmh, sollte das nicht ein host2host werden und kein net2net?
Sehe da aber in der config ein
leftsubnet=xxx/23
bzw.
rightsubnet=zzz/16
Dann wäre es auch noch ein
leftsubnet=www/23
da das lokale Netz != internet-IP ist (vermutlich
).
Muss aber nicht daran liegen.
(IPsec-)VPN ist immer so ein Gefummel
Re: IPSEC mit Strongswan
Verfasst: 21.12.2016 09:04:15
von Geralon
Danke für das Willkommen.
Das mit dem Net2Net ist schon richtig, da hinter den beiden VPN Servern die Netze liegen die miteinander kommunizieren.
Bei dem leftsubnet ist es kein WWW Subnet, da bei Amazon die EC2-Instanz nur mit der privaten IP Adresse arbeitet und von daher auch in dem Netz liegt, Die Instanz geht aber mit der öffentlichen IP nach draussen.
Das mit dem Gefummel ist schon richtig. Ich bin auch schon etwas genervt. Und die Kollegen kennen sich entweder nicht mit IPSec aus, oder haben auch keine Idee woran es liegen könnte.
Re: IPSEC mit Strongswan
Verfasst: 21.12.2016 10:38:05
von mludwig
Ist auf der Gegenseite die ipsec.secrets korrekt? Wenn es erstmal der einzige VPN ist, kann man die Zeile ja so schreiben:
Auf der Gegenseite sollte zumindest im Protokoll stehen, warum er die Authentifizierung abegelehnt hat ...
Re: IPSEC mit Strongswan
Verfasst: 23.12.2016 15:16:19
von Geralon
Sorry für die späte Antwort, aber ich war die letzten 2 Tage mit dem Backup beschäftigt.
Die Einstellungen sind identisch, halt die IP's getauscht, da ja gespiegelt.
Aber ich glaube ich habe das Problem eingegrenzt.
Fiel bis jetzt nicht auf, da ich nur die Ausgabe von ipsec up und syslog verglichen habe.
Im Vergleich der beiden Ausgaben bei ipsec up git es keine Unterschiede, aber die Syslogs sehen unterschiedlich aus.
Auf der einen Seite steht
charon: 16[ENC]
und auf der anderen Seite
ipsec[31229]: 13[IKE]
.
Der wirkliche Unterschied liegt in charon und ipsec.
Kann das Problem daran liegen und wo kann ich das einstellen?
P.S.:
Beide Versionen von strongswan sind identisch: 5.2.1
Re: IPSEC mit Strongswan
Verfasst: 23.12.2016 17:48:00
von mludwig
Ich würde eher nach Zeilen im Log suchen in denen failed oder error steht (auf beiden Seiten des Tunnels!). Ansonsten mal im debug-Modus starten, dann spuckt ipsec wesentlich mehr Meldungen aus. War in etwa so:
auf beiden Seiten, und dann mal an der Stelle wo eine Seite sagt auth failed auf der anderen Prüfen warum ...
Re: IPSEC mit Strongswan
Verfasst: 10.01.2017 11:44:53
von Geralon
Hi, war jetzt erst einmal im Urlaub.
Mit dem Debug bekomme ich die gleichen Fehlermeldungen wie vorher.
Das Problem muss hier liegen:
Code: Alles auswählen
tried 1 shared key for 'x.x.x.x' - 'y.y.y.y', but MAC mismatched
Der Shared key wird gefunden, aber der Abgleich funktioniert nicht, obwohl die PSK identisch sind.
Irgendwo hab ich da noch einen versteckten Fehler.