vpn linux

[gerdfa]

Hallo,

wir hatten das Problem mit der intranator.conf
(conn ist nicht erkannt worden).
Es muss eine Leerzeile am Anfang in der Datei intranator.conf
eingefügt werden dann funktioniert es.

Jetzt haben wir wahrscheinlich eine Verbindung aber kein ping funktioniert.

Log des Intranators.

Jan 24 20:43:13 intranator pluto[2917]: packet from 88.71.84.168:501: ignoring Vendor ID payload [strongSwan 4.2.4]
Jan 24 20:43:13 intranator pluto[2917]: packet from 88.71.84.168:501: ignoring Vendor ID payload [Cisco-Unity]
Jan 24 20:43:13 intranator pluto[2917]: packet from 88.71.84.168:501: received Vendor ID payload [XAUTH]
Jan 24 20:43:13 intranator pluto[2917]: packet from 88.71.84.168:501: received Vendor ID payload [Dead Peer Detection]
Jan 24 20:43:13 intranator pluto[2917]: "C2"[61] 88.71.84.168:501 #167: responding to Main Mode from unknown peer 88.71.84.168:501
Jan 24 20:43:13 intranator pluto[2917]: "C2"[61] 88.71.84.168:501 #167: Oakley Transform [OAKLEY_AES_CBC (256), OAKLEY_SHA, OAKLEY_GROUP_MODP2048] refused due to strict flag
Jan 24 20:43:13 intranator pluto[2917]: "C2"[61] 88.71.84.168:501 #167: no acceptable Oakley Transform
Jan 24 20:43:13 intranator pluto[2917]: "C2"[61] 88.71.84.168:501 #167: sending notification NO_PROPOSAL_CHOSEN to 88.71.84.168:501
Jan 24 20:43:14 intranator pluto[2917]: "C2"[61] 88.71.84.168:501: deleting connection "C2" instance with peer 88.71.84.168 {isakmp=#0/ipsec=#0}

Ist das alles ok ?

Gruss Gerd

[Gerd von Egidy]

Hallo,

Jetzt haben wir wahrscheinlich eine Verbindung aber kein ping funktioniert.

Laut dem Log steht die Verbindung nicht:

Jan 24 20:43:13 intranator pluto[2917]: "C2"[61] 88.71.84.168:501 #167: Oakley Transform [OAKLEY_AES_CBC (256), OAKLEY_SHA, OAKLEY_GROUP_MODP2048] refused due to strict flag
Jan 24 20:43:13 intranator pluto[2917]: "C2"[61] 88.71.84.168:501 #167: no acceptable Oakley Transform
Jan 24 20:43:13 intranator pluto[2917]: "C2"[61] 88.71.84.168:501 #167: sending notification NO_PROPOSAL_CHOSEN to 88.71.84.168:501

Die genauen Bedeutungen der Fehlermeldungen sind hier im Referenzhandbuch beschrieben:
http://www.intra2net.com/de/support/...ors-phase1.php

Sie haben den Client so konfiguriert, daß er nur die Verschlüsselung AES256-SHA1-MODP2048 versucht. Der Intranator ist aber wohl so konfiguriert, daß er das nicht akzeptiert.

Wenn Sie auf dem Intranator das Verschlüsselungsprofil "Standard (mit PFS)" verwenden, würde ich folgende Konfiguration vorschlagen:

ike=aes128-sha-modp1024!
esp=aes128-sha1!
pfs=yes

Herzliche Grüße,

v. Egidy

[gerdfa]

Hallo,

wir haben die Konfigurationsdatei geändert.

Aber keine Verbindung.

Jan 26 20:13:41 intranator pluto[2917]: "C4"[2] 88.71.84.168:501 #220: cannot respond to IPsec SA request because no connection is known for 192.168.3.0/24===213.39.236.47[C=de, O=meadim, CN=bmob22]...88.71.84.168:501[C=de, O=meadim, CN=bmob22]===192.168.2.104/32
Jan 26 20:13:41 intranator pluto[2917]: "C4"[2] 88.71.84.168:501 #220: sending encrypted notification INVALID_ID_INFORMATION to 88.71.84.168:501
Jan 26 20:13:51 intranator pluto[2917]: "C4"[2] 88.71.84.168:501 #220: received Delete SA payload: deleting ISAKMP State #220
Jan 26 20:13:51 intranator pluto[2917]: "C4"[2] 88.71.84.168:501: deleting connection "C4" instance with peer 88.71.84.168 {isakmp=#0/ipsec=#0}
Jan 26 20:13:51 intranator pluto[2917]: ERROR: asynchronous network error report on ppp0 for message to 192.168.2.104 port 500, complainant 88.71.84.168: Connection refused [errno 111, origin ICMP type 3 code 3 (not authenticated)]
Jan 26 20:13:52 intranator pluto[2917]: packet from 88.71.84.168:501: ignoring Vendor ID payload [strongSwan 4.2.4]
Jan 26 20:13:52 intranator pluto[2917]: packet from 88.71.84.168:501: ignoring Vendor ID payload [Cisco-Unity]
Jan 26 20:13:52 intranator pluto[2917]: packet from 88.71.84.168:501: received Vendor ID payload [XAUTH]
Jan 26 20:13:52 intranator pluto[2917]: packet from 88.71.84.168:501: received Vendor ID payload [Dead Peer Detection]
Jan 26 20:13:52 intranator pluto[2917]: "C4"[3] 88.71.84.168:501 #221: responding to Main Mode from unknown peer 88.71.84.168:501
Jan 26 20:13:52 intranator pluto[2917]: "C4"[3] 88.71.84.168:501 #221: Peer ID is ID_DER_ASN1_DN: 'C=de, O=meadim, CN=bmob22'
Jan 26 20:13:53 intranator pluto[2917]: "C4"[3] 88.71.84.168:501 #221: issuer cacert not found
Jan 26 20:13:53 intranator pluto[2917]: "C4"[3] 88.71.84.168:501 #221: X.509 certificate rejected
Jan 26 20:13:53 intranator pluto[2917]: "C4"[3] 88.71.84.168:501 #221: we have a cert and are sending it upon request
Jan 26 20:13:53 intranator pluto[2917]: "C4"[3] 88.71.84.168:501 #221: sent MR3, ISAKMP SA established
Jan 26 20:13:53 intranator pluto[2917]: "C4"[3] 88.71.84.168:501 #221: cannot respond to IPsec SA request because no connection is known for 192.168.3.0/24===213.39.236.47[C=de, O=meadim, CN=bmob22]...88.71.84.168:501[C=de, O=meadim, CN=bmob22]===192.168.168.0/24
Jan 26 20:13:53 intranator pluto[2917]: "C4"[3] 88.71.84.168:501 #221: sending encrypted notification INVALID_ID_INFORMATION to 88.71.84.168:501
Jan 26 20:14:03 intranator pluto[2917]: "C4"[3] 88.71.84.168:501 #221: Quick Mode I1 message is unacceptable because it uses a previously used Message ID 0x82673062 (perhaps this is a duplicated packet)
Jan 26 20:14:03 intranator pluto[2917]: "C4"[3] 88.71.84.168:501 #221: sending encrypted notification INVALID_MESSAGE_ID to 88.71.84.168:501

Was nun ?

Könnten Sie per ssh die Sache einrichten ?
Wie liegen die Kosten ?

Gruss Gerd

[Gerd von Egidy]

Hallo,

cannot respond to IPsec SA request because no connection is known for 192.168.3.0/24===213.39.236.47[C=de, O=meadim, CN=bmob22]...88.71.84.168:501[C=de, O=meadim, CN=bmob22]===192.168.168.0/24

Sie haben einen ID-Konflikt in den Zertifikaten, denn die Zertifikate beider Seiten haben die identische ID "C=de, O=meadim, CN=bmob22". Die IDs müssen unbedingt eindeutig sein. Sie müssen also für eine der beiden Seiten ein neues Zertifikat mit einer anderen ID anlegen.

Außerdem kann es natürlich sein daß Sie die Tunnel falsch konfiguriert haben. So wie der Client konfiguriert ist, müsste auf dem Intranator bei Lokales Netz 192.168.3.0/255.255.255.0 und bei Netz auf Gegenseite 192.168.168.0/255.255.255.0 eingestellt sein.

Könnten Sie per ssh die Sache einrichten ?
Wie liegen die Kosten ?

Wir können das gerne für Sie übernehmen. Die Kosten liegen bei 20 EUR netto pro angefangene 10 Minuten. Wenn Sie Interesse haben, melden Sie sich einfach telefonisch unter 07071-56510-0.

Herzliche Grüße,

v. Egidy

[gerdfa]

Hallo,

der VPN Zugang läuft unter Debian und Ubuntu einwandfrei.
Vielen Dank für die Hilfe.

Wir haben noch eine Verständnisfrage.

Die ipsec Dienst soll von einem normalen User per Menueintrag gestartet werden.

Wir haben per visudo einem User das Recht erteilt ipsec zu starten.
In einem Menueintrag steht "sudo ipsec start".
Im nächsten "sudo ipsec up intranator"

In einer Konsole funktioniert das einwandfrei.

Als Menueintrag funktioniert es nicht.
Es liegt wahrscheinlich daran das das Menu das Passwort nicht
abfragen kann.

Haben Sie eine andere Idee oder Vorgehensweise ?
Funktioniert das vpn mit dem shrew client ?

Vielen Dank im voraus.

Gruss Gerd

[Gerd von Egidy]

Hallo,

der VPN Zugang läuft unter Debian und Ubuntu einwandfrei. Vielen Dank für die Hilfe.

gut zu hören.

Die ipsec Dienst soll von einem normalen User per Menueintrag gestartet werden.

Soll das wirklich per Menüeintrag gestartet werden? Wäre es nicht besser, wenn die Verbindung startet, sobald ein Paket in das Zielnetz gesendet wird?

Das könnten Sie erreichen, in dem Sie in der Konfiguration das auto=add auf auto=route ändern.

Dann kann jeder Benutzer des Systems die Verbindung initiieren.

Funktioniert das vpn mit dem shrew client ?

Den shrew client für Linux haben wir noch nicht ausprobiert.

Herzliche Grüße,

v. Egidy

[gerdfa]

Hallo,

wir haben in der der .conf

auto=start auf auto=route geändert leider funktioniert es nicht.

Wenn in der Konsole "ipsec up intranator" eingegeben wird
bekommen wir eine Fehlermeldung "Verbindung intranator unbekannt"
nach einem "/etc/init.d/ipsec restart" funktioniert es dann.

Wo könnte hier der Fehler liegen ?
Warum kennt ipsec die Verbindung "intranator" erst nach einen restart ?

Gruss Gerd

[bjoerns]

Hallo Gerd,

Wenn in der Konsole "ipsec up intranator" eingegeben wird
bekommen wir eine Fehlermeldung "Verbindung intranator unbekannt"
nach einem "/etc/init.d/ipsec restart" funktioniert es dann.

auto=route sollte die VPN-Verbindung aufbauen, soblad ein Paket in das Zielnetz geschickt wird. Was passiert denn wenn Sie ein solches Paket losschicken?

"ipsec up intranator" sollte dann eigentlich nicht nötig sein.

Gruß,
Björn

[gerdfa]

Hallo,

das Problem des automatischen Starts von der ipsec Verbindung besteht immer noch.

intranator.conf
auto=start oder auto=route

keine Verbindung nach reboot.

Im Terminal mit root oder su,
1. ipsec up intranator - Ausgabe "021 no connectionname intranator"

2. /etc/init.d/ipsec stop, /etc/inet.d/ipsec start, - Verbindung funktioniert

Warum ?

Gruss Gerd

[Gerd von Egidy]

Hallo,

2. /etc/init.d/ipsec stop, /etc/inet.d/ipsec start, - Verbindung funktioniert

Das sieht mir danach aus, als ob der IPSec-Dienst beim Booten nicht automatisch gestartet wird.

Geben Sie mal folgendes nach einem frischen Boot ein:

Code:

ps ax | grep pluto | grep -v grep

Wenn da keine Daten ausgegeben werden, läuft der IPSec-Dienst nicht. Ich bin jetzt kein Debian-Experte, wenn ich mich aber richtig erinnere, ist unter Debian der Befehl update-rc.d für soetwas zuständig. Schauen Sie in den man-pages nach der richtigen Syntax.

Herzliche Grüße,

v. Egidy

[gerdfa]

Hallo,

die Ausgabe von ps ax nach einem reboot.
2732 ? Ss 0:00 /usr/lib/ipsec/pluto --nofork --uniqueids
2792 ? S 0:00 _pluto_adns

Es besteht danach keine Verbindung.

Nach /etc/init.d ipsec reboot funktioniert die Verbindung.

Wenn in webadmin
ipsec vpn Konfiguration file /etc/ipsec.d/intranator.conf eingetragen wird, funktioniert
die Verbindung. Im ipsec vpn Konfiguration file steht vorher /etc/ipesc.conf.

Was nun ?

Gruss Gerd

[bjoerns]

Hallo Gerd,

die Ausgabe von ps ax nach einem reboot.
2732 ? Ss 0:00 /usr/lib/ipsec/pluto --nofork --uniqueids
2792 ? S 0:00 _pluto_adns

also der Dienst scheint auf alle Fälle zu laufen.
Ich glaube das Beste wäre es, wenn Sie mal in die Logdatei schauen, was denn genau gemeldet wird, wenn die Verbindung nicht automatisch aufgebaut wird.

Wenn in webadmin ipsec vpn Konfiguration file /etc/ipsec.d/intranator.conf eingetragen wird, funktioniert die Verbindung. Im ipsec vpn Konfiguration file steht vorher /etc/ipesc.conf.

Ich kenne mich jetzt mit der standard Konfiguration nicht so gut aus, aber testen Sie doch mal, ob es geht, wenn Sie die /etc/ipsec.conf mit der intranator.conf überschreiben. Natürlich davor eine Sicherung von der alten Datei anlegen. Oder sind in der ipsec.conf Konfigurationsparameter hinterlegt, die in der intranator.conf nicht enthalten sind?

MFG Björn