Hallo, ich hab folgendes problem. ich versuche mit racoon ein ipsec-gateway einzurichten! über diese gateway möchte ich in ein anderes netz zugreifen. der client ist ebenfalls eine linux kiste, allerdings läuft dort fedora.
Homenetz/fedora :eth0: 10.20.2.130-------Tunnel--------Racoongateway/Debian:eth0: 10.20.2.111, eth1: 192.168.64.5------------Fremdnetz: 192.168.64.x
Es soll also ein tunnel von 10.20.2.130 zu 10.20.2.111 eingerichtet werden. IPforward sowie NAT sind aktiviert, da man vom homenet ja das fremdnetz erreichen möchte. Auch der Tunnelaufbau klappt wunderbar, allerdings nur, wenn ich explizit einen Ping bzw. eine verbindung zwischen 10.20.2.130 und 10.20.2.111 aufbauen möchte.
Ein Ping zu 192.168.64.x läuft allerdings komplett unverschlüsslet über die Leitung, ich möchte aber logischerweise, dass dieser bis zum gateway durch den Tunnel läuft.
ipsec.conf für racoon gateway:
#config fuer 10.20.2.111
log debug2;
path pre_shared_key "/usr/local/etc/racoon/psk.txt";
remote 10.20.2.130 {
exchange_mode main;
my_identifier address 10.20.2.111;
peers_identifier address 10.20.2.130;
lifetime time 2 hours;
initial_contact off;
passive off;
proposal_check claim;
proposal {
encryption_algorithm 3des;
hash_algorithm md5;
authentication_method pre_shared_key;
dh_group modp1024 ;
}
}
sainfo address 10.20.2.111 [any] any address 10.20.2.130 [any] any {
pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
sainfo address 10.20.2.130 [any] any address 10.20.2.111 [any] any {
pfs_group 2;
encryption_algorithm 3des;
authentication_algorithm hmac_md5;
compression_algorithm deflate;
}
setkey.conf:
#setkey fuer 10.20.2.111
flush;
spdflush;
# src dest
spdadd 10.20.2.130 10.20.2.111 any -P in ipsec
esp/tunnel/10.20.2.130-10.20.2.111/require;
# src dest
spdadd 10.20.2.111 10.20.2.130 any -P out ipsec
esp/tunnel/10.20.2.111-10.20.2.130/require;
habe mich jetzt schon ne ganze weile durch google gewühlt und leider nicht passendes gefunden. ich nehme einfach an, dass man in der racoon.conf nicht explizit die beiden 10er adressen angeben darf, da racoon so nicht versteht, dass auch die pakete für das fremde netz bis zum gateway durch den tunnel müsse, deshalb geht es dann unverschlüsselt über die leitung. leiter finde ich keine lösung für dieses problem.
danke schonmal für eure hilfe.
Nutze ich diese config sagen die logs folgendes.
failed to get sainfo.
failed to get sainfo.
failed to pre-process packet.
mfg und danke
benny stoll