Freeswan/IPSec
Guten Morgen,
ich habe Probleme mit dem Aufbau eines VPN.
Ich versuche es erstmal nur Testweise.
Also von meinem internen Rechner (hort)auf mein Laptop,
welches eine statische IP hat.
Auf einem Rechner läuft Debian Woody mit Kernel
2.4.18 und auf Laptop Debian Sid Kernel 2.4.20.
Freeswan ist gepatcht und Kernel sind neu kompiliert.
Mit ifconfig sehe ich das ipsec0 Interface. Auf beiden PC's.
Mit iptraf kann ich nur auf Laptop ipsec0 auswählen
laptop:# iptraf -i ipsec0
hort:# iptraf -i ipsec0
hort:# Specified interface not supported
Da ist doch schon irgendwas faul.?
ein tail -f /var/log/syslog bringt folgendes währen eines /etc/init.d/ipsec
restart:
auf Laptop:
Jun 16 10:43:10 laptop ipsec_setup: Stopping FreeS/WAN IPsec...
Jun 16 10:43:11 laptop kernel: IPSEC EVENT: KLIPS device ipsec0 shut down.
Jun 16 10:43:12 laptop ipsec_setup: ...FreeS/WAN IPsec stopped
Jun 16 10:43:12 laptop ipsec_setup: Starting FreeS/WAN IPsec 1.99...
Jun 16 10:43:12 laptop ipsec_setup: KLIPS debug `none'
Jun 16 10:43:12 laptop ipsec_setup: KLIPS ipsec0 on eth0
xxx.yyy.zzz.16/255.255.255.128 broadcast xxx.yyy.zzz.255
Jun 16 10:43:12 laptop ipsec_setup: ...FreeS/WAN IPsec started
auf hort:
Jun 16 10:44:54 hort ipsec_setup: Stopping FreeS/WAN IPsec...
Jun 16 10:44:57 hort ipsec_setup: ...FreeS/WAN IPsec stopped
Jun 16 10:44:58 hort ipsec_setup: Starting FreeS/WAN IPsec 1.99...
Jun 16 10:44:58 hort ipsec_setup: KLIPS debug `none'
Jun 16 10:44:58 hort ipsec_setup: KLIPS ipsec0 on eth0
192.168.1.250/255.255.255.0 broadcast 192.168.1.255
Jun 16 10:44:59 hort ipsec_setup: ...FreeS/WAN IPsec started
Jun 16 10:45:00 hort ipsec__plutorun: 003 both sides of "roadwarrior" are
our interface eth0!
meine ipsec.confs:
auf laptop:
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
keyingtries=1
compress=yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
conn roadwarrior
leftsubnet=xxx.yyy.zzz.16/255.255.255.128
right=%any
left=%defaultroute
leftcert=laptop.domain.de.pem
auto=add
pfs=yes
auf hort:
config setup
interfaces=%defaultroute
klipsdebug=none
plutodebug=none
plutoload=%search
plutostart=%search
uniqueids=yes
conn %default
keyingtries=0
compress=yes
disablearrivalcheck=no
authby=rsasig
leftrsasigkey=%cert
rightrsasigkey=%cert
conn roadwarrior
left=192.168.1.250
leftsubnet=xxx.yyy.zzz.16/255.255.255.128
leftcert=hort.domain.de.pem
right=%defaultroute
rightcert=laptop.domain.de.pem
auto=add
pfs=yes
meine ipsec.secrets:
auf laptop:
: RSA laptop.domain.de.key "passwort"
auf hort:
: RSA /etc/ipsec.d/private/hort.domain.de.key "passwort"
HIER ist doch auf jeden Fall etwas verkehrt. Ich schreibe doch nicht das
Passwort da rein oder was?
Ist aber auf einer der vielen Dokus die ich schon durchhabe so erklärt.
Ist sowieso überall anders erklärt.
Wie mache ich die Zertifakate?
Das auf hort und laptop.
vi /etc/ssl/openssl.cnf
change 'default_bits' from 1024 to 2048
change 'default_days' from 365 to 3650
vi /usr/lib/ssl/misc/CA.sh
change 'DAYS="-days 365" to 3651
/usr/lib/ssl/misc/CA.sh -newca
/usr/lib/ssl/misc/CA.sh -newreq
/usr/lib/ssl/misc/CA.sh -sign
mv newcert.pem laptop.domain.de.pem
mv newreq.pem laptop.domain.de.key
vi laptop.domain.de.key
"delete everything down from the line starting with '---BEGIN CERTIFICATE
REQUEST'"
cp laptop.domain.de.key /etc/ipsec.d/private
cp laptop.domain.de.pem /etc/ipsec.d/
cp cacert.pem /etc/ipsec.d/cacerts
openssl ca -gencrl -out /etc/ipsec.d/crls/crl.pem
Das gleiche auf hort +:
hort:# scp torsten@xxx.yyy.zzz.16:/etc/ipsec.d/laptop.domain.de.pem
/etc/ipsec.d
So und nun will ich den VPN Link starten:
auf hort:
hort:# ipsec auto --up roadwarrior
hort:# 022 "roadwarrior": we have no ipsecN interface for either end of this
connection
auf laptop:
laptop:# ipsec auto --up roadwarrior
laptop:# 029 "roadwarrior": cannot initiate connection without knowing peer
IP address
Ich schätze mal ich habe Fehler in der ipsec.conf.
Habe schon vieles getestet. Ohne Erfolg.
Werd noch bleede hiermit.
Zwischen hort und laptop ist nur noch die Firewall 192.168.1.1
Für Hilfe wäre mal echt dankbar.
Torsten
Reply to: