Freeswan/IPSec

To: "Debian User" <debian-user-german@lists.debian.org>
Subject: Freeswan/IPSec
From: "Torsten Puls" <debian@pumpum.de>
Date: Mon, 16 Jun 2003 11:32:59 +0200
Message-id: <[🔎] 000e01c333ea$49cf6bc0$4a01a8c0@main.luenecom.de>

Guten Morgen,

ich habe Probleme mit dem Aufbau eines VPN.
Ich versuche es erstmal nur Testweise.
Also von meinem internen Rechner (hort)auf mein Laptop,
welches eine statische IP hat.

Auf einem Rechner läuft Debian Woody mit Kernel
2.4.18 und auf Laptop Debian Sid Kernel 2.4.20.

Freeswan ist gepatcht und Kernel sind neu kompiliert.

Mit ifconfig sehe ich das ipsec0 Interface. Auf beiden PC's.

Mit iptraf kann ich nur auf Laptop ipsec0 auswählen
laptop:# iptraf -i ipsec0
hort:# iptraf -i ipsec0
hort:# Specified interface not supported
Da ist doch schon irgendwas faul.?

ein tail -f /var/log/syslog bringt folgendes währen eines /etc/init.d/ipsec
restart:
auf Laptop:

Jun 16 10:43:10 laptop ipsec_setup: Stopping FreeS/WAN IPsec...
Jun 16 10:43:11 laptop kernel: IPSEC EVENT: KLIPS device ipsec0 shut down.
Jun 16 10:43:12 laptop ipsec_setup: ...FreeS/WAN IPsec stopped
Jun 16 10:43:12 laptop ipsec_setup: Starting FreeS/WAN IPsec 1.99...
Jun 16 10:43:12 laptop ipsec_setup: KLIPS debug `none'
Jun 16 10:43:12 laptop ipsec_setup: KLIPS ipsec0 on eth0
xxx.yyy.zzz.16/255.255.255.128 broadcast xxx.yyy.zzz.255
Jun 16 10:43:12 laptop ipsec_setup: ...FreeS/WAN IPsec started

auf hort:

Jun 16 10:44:54 hort ipsec_setup: Stopping FreeS/WAN IPsec...
Jun 16 10:44:57 hort ipsec_setup: ...FreeS/WAN IPsec stopped
Jun 16 10:44:58 hort ipsec_setup: Starting FreeS/WAN IPsec 1.99...
Jun 16 10:44:58 hort ipsec_setup: KLIPS debug `none'
Jun 16 10:44:58 hort ipsec_setup: KLIPS ipsec0 on eth0
192.168.1.250/255.255.255.0 broadcast 192.168.1.255
Jun 16 10:44:59 hort ipsec_setup: ...FreeS/WAN IPsec started
Jun 16 10:45:00 hort ipsec__plutorun: 003 both sides of "roadwarrior" are
our interface eth0!


meine ipsec.confs:
auf laptop:

config setup
        interfaces=%defaultroute
        klipsdebug=none
        plutodebug=none
        plutoload=%search
        plutostart=%search
        uniqueids=yes

conn %default
        keyingtries=1
        compress=yes
        disablearrivalcheck=no
        authby=rsasig
        leftrsasigkey=%cert
        rightrsasigkey=%cert

conn roadwarrior
        leftsubnet=xxx.yyy.zzz.16/255.255.255.128
        right=%any
        left=%defaultroute
        leftcert=laptop.domain.de.pem
        auto=add
        pfs=yes

auf hort:
config setup
        interfaces=%defaultroute
        klipsdebug=none
        plutodebug=none
        plutoload=%search
        plutostart=%search
        uniqueids=yes

conn %default
        keyingtries=0
        compress=yes
        disablearrivalcheck=no
        authby=rsasig
        leftrsasigkey=%cert
        rightrsasigkey=%cert

conn roadwarrior
        left=192.168.1.250
        leftsubnet=xxx.yyy.zzz.16/255.255.255.128
        leftcert=hort.domain.de.pem
        right=%defaultroute
        rightcert=laptop.domain.de.pem
        auto=add
        pfs=yes

meine ipsec.secrets:
auf laptop:
: RSA laptop.domain.de.key "passwort"

auf hort:
: RSA /etc/ipsec.d/private/hort.domain.de.key "passwort"

HIER ist doch auf jeden Fall etwas verkehrt. Ich schreibe doch nicht das
Passwort da rein oder was?
Ist aber auf einer der vielen Dokus die ich schon durchhabe so erklärt.
Ist sowieso überall anders erklärt.

Wie mache ich die Zertifakate?
Das auf hort und laptop.
vi /etc/ssl/openssl.cnf

change 'default_bits' from 1024 to 2048
change 'default_days' from 365 to 3650

vi /usr/lib/ssl/misc/CA.sh

change 'DAYS="-days 365" to 3651

/usr/lib/ssl/misc/CA.sh -newca
/usr/lib/ssl/misc/CA.sh -newreq
/usr/lib/ssl/misc/CA.sh -sign

mv newcert.pem laptop.domain.de.pem
mv newreq.pem  laptop.domain.de.key

vi laptop.domain.de.key
"delete everything down from the line starting with '---BEGIN CERTIFICATE
REQUEST'"

cp laptop.domain.de.key /etc/ipsec.d/private
cp laptop.domain.de.pem /etc/ipsec.d/
cp cacert.pem /etc/ipsec.d/cacerts
openssl ca -gencrl -out /etc/ipsec.d/crls/crl.pem

Das gleiche auf hort +:

hort:# scp torsten@xxx.yyy.zzz.16:/etc/ipsec.d/laptop.domain.de.pem
/etc/ipsec.d

So und nun will ich den VPN Link starten:
auf hort:
hort:# ipsec auto --up roadwarrior
hort:# 022 "roadwarrior": we have no ipsecN interface for either end of this
connection

auf laptop:
laptop:# ipsec auto --up roadwarrior
laptop:# 029 "roadwarrior": cannot initiate connection without knowing peer
IP address


Ich schätze mal ich habe Fehler in der ipsec.conf.
Habe schon vieles getestet. Ohne Erfolg.
Werd noch bleede hiermit.
Zwischen hort und laptop ist nur noch die Firewall 192.168.1.1

Für Hilfe wäre mal echt dankbar.

Torsten

Reply to:

Follow-Ups:
- Re: Freeswan/IPSec
  - From: Rainer Ellinger <rainer@ellinger.de>

Prev by Date: Re: shutdown
Next by Date: Re: Serial ATA-Controller SIL 3112 wird nicht erkannt
Previous by thread: Re: ip-masquerading
Next by thread: Re: Freeswan/IPSec
Index(es):
- Date
- Thread